Guide de sécurité serveur Discord 2026 : Protégez votre communauté

Votre serveur Discord est précieux. Il représente votre communauté, les conversations, et les relations — et cela vaut la peine d'être protégé.

En 2026, les attaques sur le serveur Discord prennent plusieurs formes : les raids (des jointures massives qui spammez les canaux), les inondations de bots, les tentatives de phishing ciblant les comptes admin, et les attaques coordonnées des communautés externes. Un seul compte admin compromis peut supprimer votre serveur entier.

La bonne nouvelle : avec la bonne configuration et la conscience, vous pouvez prévenir la plupart des attaques avant qu'elles ne se produisent.

Les quatre catégories de menace

Avant de plonger dans les défenses, comprenez ce que vous défendez.

Raids et attaques de membres Les raids se produisent quand les utilisateurs coordonnés (souvent une communauté hostile) rejoignent votre serveur simultanément et spammez, postez du contenu offensant, ou supprimez les canaux. Discord a environ des milliers de serveurs actifs mensuellement, et les raids affectent des milliers de communautés par semaine. Un seul raid peut dommager la confiance et prendre des heures à nettoyer.

Spam de bot Les bots malveillants inondent votre serveur de messages, spammez des liens, ou tentent d'escalader les privilèges. Contrairement aux raids (utilisateurs humains), le spam de bot est automatisé et peut surcharger la modération.

Phishing et arnaques Les attaquants se font passer pour le staff, offrent du faux Nitro, ou envoient des messages avec des liens malveillants qui volent les tokens Discord (un token accorde l'accès complet au compte). La compromission d'un compte staff précède souvent une prise de contrôle complète du serveur.

Compromission du compte admin Si quelqu'un obtient votre mot de passe admin ou vos codes 2FA, il peut supprimer votre serveur entier, vous verrouiller, et voler les données. C'est l'option nucléaire.

Couche 1 : Niveaux de vérification (votre première défense)

Le système de vérification intégré de Discord est votre défense la moins chère. Cela ne coûte rien et bloque la plupart des attaques cassuelles.

Comprendre les cinq niveaux

• Niveau 0 (Aucun) : N'importe qui peut voir et chatter. Pas de protection. À utiliser seulement pour les serveurs d'amis privés.
• Niveau 1 (Bas) : Nécessite l'email vérifiée. Bloque les comptes jetables mais pas les raids organisés.
• Niveau 2 (Moyen) : Nécessite l'email vérifiée + 5 minutes d'adhésion. Retarde les raids. La plupart des serveurs devraient commencer ici.
• Niveau 3 (Élevé) : Nécessite l'email vérifiée + 10 minutes d'adhésion. Bon pour les serveurs plus grands. Friction visible pour les nouveaux membres légitimes.
• Niveau 4 (Très élevé) : Nécessite l'adhésion + porte manuelle (les membres doivent réagir à un message). Friction maximale, seulement pour les communautés haute-confiance ou après les attaques actives.

Définissez votre niveau

Allez à Paramètres du serveur → Configuration de sécurité → Niveau de vérification. La recommandation :

• Nouveaux serveurs : Niveau 2 (Moyen). C'est un bon équilibre — arrête le spam casual sans ennuyer les vrais membres.
• 1 000+ membres : Niveau 2 ou 3. Vous avez besoin de la friction pour ralentir les attaques organisées.
• Cible de raid active : Niveau 3 (Élevé). Le délai de 10 minutes arrête la plupart des raids à froid.
• Après un raid se produit : Passez au niveau 4 temporairement. Une fois les choses stabilisées, réduisez au niveau 2 ou 3.

La vérification seule n'est pas assez, mais c'est votre fondation.

Couche 2 : AutoMod et filtres de mots-clés

Le système AutoMod de Discord fonctionne 24/7 sans intervention humaine. Configurez-le dans Paramètres du serveur → AutoMod.

Règles AutoMod à activer

Détection de spam

• Permet : Détection de raid (plusieurs nouveaux comptes postant simultanément), spam de mention, messages répétés
• Action : Timeout pendant 10 minutes (bon pour tester), ou Silence pendant 1 heure (sûr pour les serveurs établis)
• Pourquoi : Attrape les inondations de bot et l'activité de raid automatiquement

Liens et invites

• Activez : Bloquez les liens d'invite (sauf des rôles de confiance)
• Action : Supprimez silencieusement ou envoyez au canal mod pour examen
• Pourquoi : Le phishing vient souvent via des raccourcisseurs de liens. Les liens d'invite invitent les raids.

Filtre de mots-clés

• Ajoutez : Termes bloqués spécifiques au serveur (slurs, harcèlement, liste de domaines de phishing)
• Action : Supprimez + envoyez au canal mod
• Pourquoi : Attrape le contenu problématique avant que les humains le voient. Ajoutez les domaines que vous découvrez dans les raids.

Nouveaux comptes

• Signaler : Les comptes plus jeunes que 24 heures dans les catégories sujettes aux raids
• Action : Timeout ou porte de rôle automatique
• Pourquoi : Les raids organisés utilisent les comptes jetables

Spam de mention

• Limite : Max 5 @mentions par message
• Action : Timeout
• Pourquoi : Arrête le spam @everyone/@here et le harcèlement ciblé

Stratégie de mots-clés avancée

Commencez avec une liste de mots-clés générale (directives de communauté, slurs bannies). Au fil du temps, ajoutez les termes spécifiques au serveur qui signalent le spam ou les attaques (phrases de raid précédentes, liens d'arnaque connus, modèles d'usurpation d'identité). Examinez les rapports mod chaque semaine pour attraper les nouveaux modèles.

Couche 3 : Bot de modération avec mode raid

AutoMod attrape les modèles, mais vous avez besoin d'un bot de modération pour la réponse aux menaces avancées. Les meilleurs choix en 2026 :

Dyno

• Mode raid : Auto-expulse les nouveaux comptes si X rejoint en Y secondes
• Journalisation : Piste d'audit complète des jointures, départs, suppressions, changements de rôle
• Automod : Redondance à l'AutoMod de Discord
• Définissez : Mode raid pour expulser 5+ comptes en 5 secondes

MEE6

• Détection de raid similaire et journalisation
• Meilleur enregistrement de disponibilité historiquement
• Définissez : Protection contre les raids + journalisation activée par défaut

Carl-bot

• Plus petit mais fiable
• Support de commande personnalisée fort
• Définissez : Détection de raid basique

Configurer la détection de raid

Dans le dashboard de votre bot :

1. Activez le mode raid
2. Définissez la sensibilité : Signaler 5+ jointures en 10 secondes
3. Action : Auto-expulse + notifiez le canal mod
4. Examinez les logs dans votre canal mod

Quand le mode raid se déclenche, vous verrez les notifications instantanées. Cela donne aux mods 30 secondes pour réagir avant que les dommages s'aggravent.

Couche 4 : Sécurité du compte admin (critique)

Un compte admin compromis est une compromission complète du serveur.

Sécurité obligatoire

Authentification à deux facteurs (2FA)

1. Allez à Paramètres utilisateur → Compte
2. Activez l'authentification à deux facteurs
3. Sauvegardez les codes de récupération dans un gestionnaire de mots de passe (pas une note)
4. Exigez la 2FA pour les utilisateurs au niveau admin : Paramètres du serveur → Admin
5. Rendez-le une règle du staff : « Tous les admins doivent activer la 2FA »

Cette seule étape bloque 99% des prises de contrôle de compte.

Sécurité du mot de passe

• Utilisez un mot de passe unique (ne pas réutilisé sur les comptes)
• Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass)
• Si vous suspectez une compromission, changez-le immédiatement
• Vérifiez les sessions actives chaque semaine : Paramètres → Sessions actives → déconnectez-vous des sessions inconnues

Sécurité du compte email Votre email du compte Discord est la porte de récupération. Si quelqu'un obtient votre email, il peut réinitialiser votre mot de passe Discord.

• Activez la 2FA sur votre compte email aussi
• Utilisez un mot de passe unique et fort
• Vérifiez l'activité de connexion régulièrement

Attention à l'exposition du token Les tokens Discord sont la « clé maître ». Ne jamais :

• Collez votre token dans Discord, GitHub, ou les forums
• Partage-le avec les bots ou les sites de « vérification »
• Cliquez sur les liens prétendant montrer votre token

Si vous divulguez accidentellement un token :

1. Roulez-le immédiatement : Paramètres utilisateur → Avancé → Régénérez le token (ou changez simplement votre mot de passe)
2. Vérifiez les sessions actives et déconnectez-vous des sessions inconnues
3. Signalez l'incident à Discord Trust & Safety s'il implique la malveillance

Couche 5 : Sécurité des canaux et portes de rôle

Les défenses structurelles rendent plus difficile pour les attaquants de causer des dommages.

Hiérarchie des rôles

1. Rôle admin : Positionné au-dessus de tous les autres rôles. Seulement le propriétaire et 1-2 co-admins de confiance.
2. Rôle modérateur : Peut supprimer les messages, rendre muet, expulser, mais PAS supprimer les canaux ou gérer les rôles.
3. Membre de confiance : Pour les leaders actifs de la communauté. Peut gérer les canaux spécifiques seulement.
4. @everyone : Refuser les permissions dangereuses (Gérer les canaux, Gérer les rôles, Bannir les membres, Expulser les membres, Supprimer les messages)

Ne donnez jamais la permission Administrateur légèrement. « Avec grand pouvoir vient grande responsabilité » — et grande responsabilité si ce compte est piraté.

Verrouillage des canaux

Créez un canal #admin-only avec :

• Visibilité : Rôle de modérateur + au-dessus seulement
• Objectif : Discussion de staff, réponse aux incidents, décisions de sécurité
• Sauvegarde : Si le chaos s'ensuivit, le staff peut se coordonner ici

Pour vos canaux les plus importants (#rules, #announcements) :

• Refuser envoyer les messages pour @everyone
• Permettre envoyer les messages pour le rôle staff seulement
• Définir en lecture seule pour la communauté

Couche 6 : Plan de réponse aux incidents

Malgré vos meilleurs efforts, un raid peut se produire. Voici comment réagir.

Quand un raid commence

1. Immédiat : Verrouillez tous les canaux — Paramètres du serveur → Permissions → @everyone → Refuser envoyer les messages
2. Contactez les mods : Laissez un message dans votre canal mod privé (si vous en avez) et contactez via Discord/appels
3. Rassemblez les preuves : Captures d'écran des messages de raid, temps de jointure, noms d'utilisateur (pour signaler)
4. Auto-expulse les envahisseurs : Si votre bot fonctionne toujours, déclenchez manuellement le mode raid
5. Supprimez le spam : Parcourez les canaux et supprimez le contenu offensant/spam. Les bots peuvent accélérer.

Après le raid

1. Bannissez et signalez : Bannissez tous les comptes de raid. Signalez les plus graves à Discord Trust & Safety s'il implique les menaces.
2. Examinez les logs : Vérifiez ce qui a été dit et supprimé. Faites une capture d'écran de tout ce qui importe.
3. Notifiez votre communauté : Postez un message bref dans #general : « Nous avons expérimenté un incident de sécurité. Tous les attaquants ont été supprimés. Nous examinons nos mesures de sécurité. »
4. Débriefing avec le staff : Qu'a fonctionné ? Qu'a échoué ? AutoMod l'a-t-il attrapé ? Le mode raid a-t-il expulsé les utilisateurs ? Améliorez-vous en fonction de ce que vous avez appris.
5. Serrez la vérification : Augmentez votre niveau de vérification pendant 48 heures, puis décidez si vous voulez le garder plus élevé.

Signalez à Discord

Si le raid impliquait des menaces, du harcèlement, ou du discours de haine ciblé :

1. Allez au contact Discord Trust & Safety : discord.com/safety
2. Fournissez : ID du serveur, plage horaire du raid, captures d'écran, attaquants principaux
3. Discord peut enquêter et prendre des mesures contre les comptes des attaquants

Couche 7 : Formation du staff et culture de la communauté

Votre meilleure défense est une communauté consciente et un staff entraîné.

Entraînez vos mods

• Reconnaître les indicateurs de raid : comptes nouveaux coordonnés, modèles de spam, messages similaires
• Savoir ce que le phishing ressemble : « Cliquez ici pour vérifier votre compte », faux Nitro, « boosts gratuits »
• Comprendre l'escalade : ne donnez jamais admin à quelqu'un que vous n'avez pas personnellement rencontré
• Documenter les incidents : sauvegardez les captures d'écran, enregistrez les temps de jointure, notez quels utilisateurs ont rejoint ensemble

Communiquez avec votre communauté

Postez dans #rules ou #announcements :

Restez en sécurité sur notre serveur

Nous valorisons la sécurité. Voici ce qu'il faut savoir :

• Le staff ne DM jamais non sollicité vous demandant votre mot de passe ou vérification
• Ne cliquez pas sur les liens des utilisateurs inconnus
• Signalez l'activité suspecte aux @mods
• Ne partagez jamais votre token Discord (les clés de votre compte)

Ce simple message prévient la plupart des arnaque. Quand votre communauté sait que les attaques sont possibles, elles sont moins vulnérables.

Suivi et sécurité continue

La sécurité n'est pas une configuration ponctuelle. Surveillez activement :

• Hebdomadaire : Vérifiez les sessions actives dans Discord (Paramètres → Sessions actives). Déconnectez-vous des sessions inconnues.
• Mensuellement : Examinez vos règles d'AutoMod. Ajoutez les nouveaux mots-clés bloqués si vous voyez les modèles.
• Trimestriellement : Auditez les comptes admin. Supprimez les admins inactifs. Examinez les permissions des rôles.
• Après n'importe quel incident : Augmentez la vérification, exécutez un forage de sécurité, mettez à jour votre plan de réponse aux incidents.

Rally aide aussi — listez votre serveur sur Rally pour atteindre les communautés engagées et réduire la dépendance sur la découverte publique Discord (qui attire plus de raids aléatoires). Le classement basé sur l'activité de Rally signifie que votre communauté est visible pour les gens qui cherchent réellement à rejoindre et participer, pas les raiders de passage.

Protéger votre serveur signifie penser comme un défenseur — des couches d'avertissements précoces bon marché, des procédures d'escalade claires, et une communauté qui connaît les menaces. Faites cela, et les raids deviennent des nuisances, pas des catastrophes.