Auto-héberger Nextcloud : checklist sécurité

Nextcloud est l'alternative open-source à Dropbox, Google Workspace et Microsoft 365 réunis. L'auto-héberger signifie que vos fichiers, calendriers, contacts et notes vivent sur une infrastructure que vous contrôlez. Le revers : auto-héberger signifie aussi que vous êtes maintenant l'équipe sécurité.

Fondamentaux serveur

Avant les considérations spécifiques Nextcloud, le VPS sous-jacent doit être durci :

• Auth SSH par clé uniquement. PasswordAuthentication no dans /etc/ssh/sshd_config.
• Utilisateur SSH non-root. Créez un utilisateur sans privilèges, donnez-lui sudo, désactivez le SSH root direct.
• Firewall UFW, deny par défaut. Autorisez 22, 80, 443 uniquement.
• Mises à jour de sécurité automatiques.
• Fail2ban pour SSH.

Configuration serveur web

Utilisez Nginx avec le profil "modern" du Mozilla SSL config generator :

• TLS 1.2+ uniquement.
• HSTS avec preload.
• Redirection HTTP vers HTTPS. Toujours 301.
• Suites de chiffrement fortes. ECDHE-ECDSA ou ECDHE-RSA avec AES-GCM ou ChaCha20-Poly1305.
• Certificat Let's Encrypt avec auto-renouvellement via certbot.

Sécurité applicative Nextcloud

Mot de passe admin fort. 20+ caractères, généré. Ne réutilisez nulle part ailleurs.

2FA obligatoire pour les comptes admin. Activez le provider TOTP, exigez-le pour l'admin, idéalement pour tous les utilisateurs.

Désactivez les apps inutilisées. Par défaut Nextcloud livre des apps que vous n'utilisez peut-être pas (Talk, Mail, Calendar). Chaque app activée augmente la surface d'attaque.

Configurez Brute Force Protection. Intégré, vérifiez Settings → Security qu'il est actif.

Définissez 'overwrite.cli.url' dans config.php avec votre URL HTTPS complète.

Configurez les domaines de confiance. Listez uniquement ceux que vous servez.

Durcissement base de données

Faites tourner PostgreSQL ou MariaDB localement (plus sécurisé qu'exposé réseau). Configurez :

• Listen sur localhost uniquement (bind-address = 127.0.0.1)
• Mot de passe DB fort, généré, différent de l'admin Nextcloud
• Slow query log activé pour détecter les patterns anormaux

Chiffrement au repos

Nextcloud a un module de chiffrement côté serveur. Pesez les compromis :

• Pro : si VPS compromis au niveau filesystem, fichiers illisibles
• Con : les clés vivent sur le même serveur — un attaquant en mémoire peut quand même lire
• Con : casse la déduplication, complique le DR

Pour la plupart des modèles de menace, le chiffrement complet du disque (LUKS) du VPS sous-jacent est plus utile que le chiffrement applicatif Nextcloud. FranceVPS supporte les volumes chiffrés LUKS.

Backups, correctement

La règle 3-2-1 s'applique : trois copies, deux supports différents, une hors site.

• Copie 1 : données live sur votre VPS Nextcloud
• Copie 2 : snapshots quotidiens même fournisseur, autre région
• Copie 3 : backup hebdomadaire chez un autre fournisseur (Hetzner Storage Box, Backblaze B2)

Critique : les backups doivent inclure DB ET data directory ET config/config.php.

Testez les restores trimestriellement. Un backup non testé est du théâtre.

Monitoring

Monitoring minimum viable :

• Check uptime externe (Uptime Kuma, Healthchecks.io)
• Alerte espace disque à 80%. Nextcloud casse silencieusement quand le disque est plein.
• Alertes login échoué via le dashboard sécurité Nextcloud
• Alertes slow queries de votre DB
• Alerte expiration certificat 30 jours avant

Discipline mises à jour

Nextcloud release ~mensuel, patches sécu plus fréquents. Ne tournez pas sur des versions à plus de 2 minor versions de retard. Le chemin de mise à jour intra-major est généralement smooth via l'updater intégré. Les majors (28→29) peuvent être plus disruptives — lisez les release notes, testez sur staging.

Articles liés

• Configurer WireGuard VPN
• Conformité RGPD
• Topologie disaster recovery