Aller au contenu
Contactez-nous
  1. Accueil
  2. /
  3. Blog
  4. /
  5. Durcir la configuration d'Apache pour la sécurité web

Linux
Sécurité
Web

Durcir la configuration d'Apache pour la sécurité web

3 octobre 2025

2 min de lecture

Sommaire
Plan de l'article
Masquer les informations sensibles
Activer HTTPS et forcer TLS
Configurer les en-têtes de sécurité
Restreindre les accès aux répertoires
Bonnes pratiques supplémentaires
Conclusion

Apache HTTP Server fait tourner une grande partie du web.
Sa configuration par défaut fonctionne, mais laisse plusieurs portes ouvertes côté sécurité.

Ce guide détaille le durcissement d'Apache, en-têtes HTTP, TLS, modules à désactiver, isolation des vhosts.

Plan de l'article

  • Masquer les informations sensibles
  • Activer HTTPS et forcer TLS
  • Configurer les en-têtes de sécurité
  • Restreindre les accès aux répertoires
  • Bonnes pratiques supplémentaires
  • Conclusion

Masquer les informations sensibles

Évitez d'exposer la version d'Apache et du système :

Fichier /etc/apache2/conf-available/security.conf :

ServerTokens Prod
ServerSignature Off

Activer HTTPS et forcer TLS

Installer le module SSL et générer un certificat (exemple avec Let's Encrypt) :

sudo apt install certbot python3-certbot-apache
sudo certbot --apache

Forcer l'utilisation de TLS et interdire les protocoles obsolètes :

SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Configurer les en-têtes de sécurité

Dans /etc/apache2/conf-available/security.conf :

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src 'self'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Activer le module headers :

sudo a2enmod headers
sudo systemctl restart apache2

Restreindre les accès aux répertoires

Exemple dans un VirtualHost :

<Directory /var/www/html>
    Options -Indexes
    AllowOverride None
    Require all granted
</Directory>

👉 Options -Indexes empêche la navigation dans les répertoires.
👉 AllowOverride None limite l'usage des .htaccess.


Bonnes pratiques supplémentaires

  • Désactiver les modules non utilisés (a2dismod).
  • Restreindre l'accès SSH et surveiller les journaux (/var/log/apache2/).
  • Déployer un WAF (Web Application Firewall).
  • Garder Apache et OpenSSL à jour.

Conclusion

Ces réglages réduisent nettement la surface d'attaque de votre serveur Apache. Un serveur bien configuré coupe l'accès aux menaces courantes avant qu'elles n'atteignent vos applications web.

Pour une alternative côté débit, voyez Nginx avancé, et ajoutez un WAF comme ModSecurity en seconde barrière.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

Secure Boot et UKI : une chaîne de démarrage signée
Sécurité
Linux

Secure Boot et UKI : une chaîne de démarrage signée

Secure Boot ferme la chaîne de boot, UKI signe noyau, initramfs et cmdline en un bloc. Clés PK/KEK/db, shim, MOK, ukify, scellement TPM2 sur serveur.

11 juil. 2026

Lire plus

AIDE : intégrité des fichiers Linux contre rootkits et compromissions
Sécurité
Linux
Administration

AIDE : intégrité des fichiers Linux contre rootkits et compromissions

Configurer AIDE pour détecter modifications fichiers système, baseline, comparaisons, intégration cron et alerting. Outil d'intégrité Linux historique, toujours utilisé en production.

14 juin 2026

Lire plus

auditd et ausearch : audit kernel Linux pour la conformité
Sécurité
Linux
Administration

auditd et ausearch : audit kernel Linux pour la conformité

Configurer auditd, écrire des règles audit, requêter avec ausearch et aureport. Audit syscalls et fichiers, intégration SIEM, conformité PCI/CIS, retours ops.

13 juin 2026

Lire plus


SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Contactez-nousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr