Sécurité Cloudflare
Statut
Document de cadrage sécurité — version initiale.
Objectif
Cloudflare est utilisé ou prévu comme couche de protection et d'optimisation autour de l'écosystème DMV.
Cette documentation ne présume pas de la configuration production exacte. Elle définit le rôle cible et les points à vérifier.
Rôle attendu
Cloudflare peut contribuer à :
- sécuriser DNS et TLS ;
- filtrer le trafic malveillant ;
- limiter certains abus avant l'infrastructure applicative ;
- protéger les frontends web/PWA ;
- accélérer les contenus statiques ;
- gérer cache, Pages, Workers ou gateway selon les choix retenus ;
- compléter, sans remplacer, la sécurité Laravel et Nginx.
Principes
- Cloudflare ne doit pas être le seul contrôle de sécurité.
- Les règles critiques doivent aussi exister côté backend.
- Le cache ne doit jamais exposer de données personnalisées ou privées.
- Les pages d'administration doivent être plus strictement protégées.
- Les webhooks doivent rester compatibles avec la validation de signature.
- Les règles WAF doivent être testées pour éviter de bloquer des usages légitimes.
Mesures cibles
| Domaine | Mesure cible |
|---|---|
| DNS | Gestion centralisée, changements tracés. |
| TLS | HTTPS obligatoire, certificats valides, pas de contenu mixte. |
| WAF | Règles contre requêtes suspectes et routes sensibles. |
| DDoS | Protection réseau et limitation avant le VPS. |
| Cache | Cache réservé aux contenus publics et statiques. |
| Admin | Accès restreint, règles spécifiques, monitoring. |
| API | Respect des headers, CORS, rate limits et webhooks. |
Points d'attention cache
Le cache Cloudflare doit être exclu ou strictement encadré pour :
- réponses authentifiées ;
- données utilisateur ;
- backoffice ;
- pages mairie privées ;
- réponses IA personnalisées ;
- endpoints de paiement ;
- webhooks.
Il peut être utile pour :
- assets statiques ;
- pages publiques ;
- images publiques ;
- contenus publics peu sensibles ;
- endpoints explicitement cacheables.
État actuel vs cible
| Sujet | État actuel documentable | Cible |
|---|---|---|
| Cloudflare | Utilisé ou prévu selon contexte validé | Couche DNS, protection, cache et gateway maîtrisée. |
| Nginx | Configuration visible dans le repo | Complément serveur avec headers et rate limits. |
| Laravel | Sécurité applicative visible | Source de vérité pour auth, autorisations et règles métier. |
Points à clarifier
- Services Cloudflare réellement activés en production.
- Règles WAF existantes.
- Politique de cache par domaine.
- Protection du backoffice.
- Journalisation et exploitation des événements Cloudflare.
- Procédure de contournement ou rollback en cas de faux positif.