Cloudflare gratuit pour PME africaines 2026 : guide complet

Cloudflare en plan gratuit (Free) est probablement l’outil le plus rentable de 2026 pour un site qui vise l’audience ouest-africaine. Edge mondial avec datacenters Lagos, Casablanca, Le Caire, Johannesburg → vos visiteurs accèdent au site en 30-80 ms au lieu de 200 ms vers Hetzner Helsinki. SSL gratuit, DDoS protection, cache aggressive, Workers, R2 object storage, DNS — le tout gratuit avec quotas généreux. Voici le guide pratique pour PME africaines.

Ce guide général couvre tout. Les articles connexes détaillent : DNS, cache et Page Rules, Workers à l’edge, R2 vs S3 vs B2, Tunnel sécurisé sans IP publique.

Pourquoi Cloudflare en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer)

• Plan Free très généreux : DNS illimité, SSL gratuit, DDoS protection, cache CDN, 100 000 requêtes Workers/jour
• Edge Afrique : Lagos, Casablanca, Le Caire, Johannesburg, Maputo, Mombasa, Nairobi, Le Cap → latence Afrique < 80 ms
• R2 storage : alternative S3 sans frais d’egress (vous payez juste storage ~0,015 USD/Go/mois, sortie gratuite)
• Workers : code à l’edge (JS/Wasm) sans serveur
• D1, KV, Queues, Durable Objects : services data à l’edge
• Pages : hébergement gratuit sites statiques (voir guide Astro)
• Tunnel (cloudflared) : exposer votre VPS sans IP publique

Étape 1 — Créer compte Cloudflare

1. dash.cloudflare.com/sign-up
2. Email + mot de passe + 2FA TOTP
3. Add a site → entrer votre domaine
4. Choisir Free plan
5. Cloudflare scanne vos enregistrements DNS existants
6. Modifier les nameservers chez votre registrar (OVH, Namecheap, Gandi) pour les nameservers Cloudflare
7. Attendre 24-48h propagation

Étape 2 — DNS et proxy orange

• Records A/AAAA → cliquer le nuage gris pour le rendre orange (proxied)
• Le proxy fait passer le trafic via Cloudflare avant votre serveur
• Cache, SSL, DDoS protection actifs
• Records mail (MX, TXT SPF/DKIM/DMARC) restent gris (DNS only)

Étape 3 — SSL/TLS

• SSL/TLS encryption mode : Full (strict) obligatoire pour la sécurité
• Always Use HTTPS : Activé
• Automatic HTTPS Rewrites : Activé
• Edge Certificates : auto par Cloudflare
• Origin Server : générer un certificat origin pour votre VPS si Caddy n’a pas de cert valide

Étape 4 — Cache et Page Rules

Voir notre tutoriel DNS, cache, Page Rules.

Étape 5 — Workers (edge compute)

Workers : code JavaScript exécuté à l’edge, à la requête. 100k req/jour gratuit. Cas d’usage : redirections, A/B testing, géo-routing, transformations de réponse. Voir notre tutoriel Workers.

Étape 6 — R2 (storage S3 sans egress)

R2 est l’offre stockage objet de Cloudflare, S3 compatible, sans frais d’egress (sortie). Idéal pour servir vidéos, images, downloads. Voir notre comparatif R2 vs S3 vs B2.

Étape 7 — Tunnel (cloudflared)

Exposer un service interne sans IP publique. Voir notre tutoriel Tunnel.

Adaptation Afrique de l’Ouest

Pour 99 % des sites visant l’Afrique, Cloudflare Free est non-négociable. Améliorations mesurables : LCP -50 % à -70 %, bandwidth coûts -80 % côté origin. Plus de protection DDoS automatique. Le seul cas où Cloudflare Free ne suffit pas : sites avec besoins enterprise (WAF avancé, bot mitigation Pro), à ce moment plan Pro à 25 USD/mois.

À lire ensuite

• DNS, cache, Page Rules
• Workers
• R2 vs S3 vs B2
• Tunnel sécurisé
• Documentation : developers.cloudflare.com

Étape 1 — Pourquoi Cloudflare gratuit pour une PME en Afrique de l’Ouest

Cloudflare exploite des points de présence à Lagos, Accra, Lomé, Abidjan, Dakar et Mombasa entre autres. Mettre votre site WordPress ou votre boutique WooCommerce derrière son réseau réduit la latence pour vos visiteurs ouest-africains de 800-1 200 ms à 80-150 ms typiquement, sans toucher à votre hébergement. Le plan Free couvre 100 % des besoins d’une PME jusqu’à plusieurs millions de pages vues mensuelles.

Vous gagnez en bonus : protection DDoS illimitée, certificat TLS gratuit, cache statique, règles de pare-feu basiques et résolveur DNS rapide. Le tout en 30 minutes de configuration, sans dépendance au type de serveur (VPS Hetzner, mutualisé OVH, hébergement local à Dakar — peu importe).

Étape 2 — Créer un compte et ajouter votre domaine

Rendez-vous sur cloudflare.com, créez un compte avec une adresse mail métier (jamais Gmail personnel). Ajoutez votre domaine via le bouton « Add Site », choisissez le plan Free. Cloudflare scanne automatiquement vos enregistrements DNS existants et les recopie dans son tableau de bord. Vérifiez que tous vos enregistrements actuels (A, AAAA, MX, TXT, CNAME) sont bien repris : il manque parfois des sous-domaines exotiques.

Cloudflare vous fournit ensuite deux serveurs DNS (du type nina.ns.cloudflare.com). Connectez-vous chez votre registrar (Hostinger, OVH, Gandi, NIC.SN) et remplacez vos serveurs DNS actuels par ceux de Cloudflare. La propagation prend de 5 minutes à 24 heures selon le TLD : .com en quelques minutes, .sn parfois plusieurs heures.

Étape 3 — Activer le mode proxy sur les enregistrements clés

Dans la page DNS de Cloudflare, chaque enregistrement A ou CNAME a une icône nuage. Nuage orange = trafic proxifié par Cloudflare (CDN, cache, WAF actifs). Nuage gris = DNS uniquement, le trafic va directement à votre serveur. Activez l’orange pour @ et www au minimum.

Type   Name      Content              Proxy
A      @         193.176.123.45       Orange
CNAME  www       exemple.sn           Orange
A      mail      193.176.123.45       Gris (toujours pour SMTP)
A      api       193.176.123.45       Orange (si HTTP/HTTPS)

Règle absolue : laissez en gris tout enregistrement qui sert un protocole non HTTP (SMTP sur 25/465/587, IMAP sur 993, FTP sur 21). Le proxy Cloudflare ne gère que HTTP/HTTPS et WebSocket. Sinon votre mail tombe immédiatement.

Étape 4 — Forcer HTTPS partout en quelques clics

Onglet SSL/TLS > Overview, choisissez le mode Full (strict). Ce mode chiffre Cloudflare ↔ visiteur et Cloudflare ↔ origine, en exigeant un certificat valide côté origine. Si votre serveur n’a pas encore de certificat valide, installez-en un avec Let’s Encrypt (Caddy le fait nativement, Apache/Nginx via certbot).

Onglet SSL/TLS > Edge Certificates, activez « Always Use HTTPS » et « Automatic HTTPS Rewrites ». Le premier redirige automatiquement HTTP vers HTTPS, le second réécrit les liens internes http:// en https:// à la volée. Vos visiteurs à Cotonou et Bamako ne verront plus jamais d’avertissement de mixed content.

Étape 5 — Configurer le cache pour économiser la bande passante

Onglet Caching > Configuration. Activez « Always Online » qui sert une copie de cache si votre serveur est down. Définissez le « Browser Cache TTL » à 4 heures pour une boutique ou 1 jour pour un site vitrine peu mis à jour. Onglet Caching > Tiered Cache, activez « Argo Tiered Cache » (gratuit en plan Free désormais) qui ajoute un niveau de cache régional, divisant les hits sur votre origine par 2 à 5 selon le trafic.

Pour un blog WordPress, créez une Page Rule : URL *.exemple.sn/wp-content/*, Cache Level = Cache Everything, Edge Cache TTL = 1 mois. Le rendu des images et CSS est servi 100 % depuis Cloudflare, votre VPS Hetzner ne reçoit plus que les requêtes dynamiques. La facture en bande passante chute de 70 à 90 %.

Étape 6 — Bloquer les bots et pays non pertinents

Onglet Security > WAF > Custom rules. Créez une règle qui bloque les requêtes provenant de pays où vous n’avez aucun client. Pour une PME ouest-africaine, vous pouvez whitelister les pays UEMOA + France + Canada et bloquer le reste sur les zones administratives.

Expression :
(http.request.uri.path contains "/wp-admin" 
 and not ip.geoip.country in {"SN" "CI" "BJ" "ML" "TG" "BF" "NE" "GW" "FR" "CA"})
Action : Block

Cette règle seule bloque 95 % des tentatives d’attaque sur wp-admin. Combinez avec une seconde règle qui bloque les User-Agent vides ou contenant python-requests, curl, libwww. Vous éliminez la quasi-totalité du trafic automatisé indésirable.

Étape 7 — Activer Bot Fight Mode

Onglet Security > Bots, activez « Bot Fight Mode » (gratuit). Cloudflare classe le trafic en 4 catégories (humain, bot vérifié, bot probable, bot certain) et challenge ou bloque les deux dernières. Pour un site WordPress, le gain est immédiat : les centaines de tentatives quotidiennes contre xmlrpc.php et wp-login.php sont absorbées par Cloudflare avant d’atteindre votre VPS.

Surveillez l’onglet Security > Events pendant les 48 premières heures. Si vous voyez des faux positifs (un client légitime bloqué), ajoutez une règle d’exception sur son IP ou son ASN. La calibration prend 1 heure, vous économisez ensuite des dizaines d’heures de monitoring sur l’année.

Étape 8 — Cloudflare Tunnel pour exposer un serveur sans IP publique

Si votre serveur est derrière un NAT (bureau à Dakar avec une box opérateur sans IP fixe), utilisez Cloudflare Tunnel. Aucune ouverture de port nécessaire, aucune IP publique. Le tunnel sortant depuis votre serveur vers Cloudflare permet aux visiteurs externes d’accéder à votre service via votre domaine.

cloudflared tunnel login
cloudflared tunnel create mon-tunnel
cloudflared tunnel route dns mon-tunnel app.exemple.sn
cloudflared tunnel run mon-tunnel

Si la commande run reste active sans erreur, le tunnel est établi. Tapez https://app.exemple.sn depuis n’importe où dans le monde : Cloudflare achemine la requête à votre serveur via le tunnel. Combiné avec Cloudflare Access (gratuit jusqu’à 50 utilisateurs), vous obtenez un accès Zero Trust sans VPN.

Étape 9 — Page Rules essentielles à créer

Le plan Free permet 3 Page Rules. Utilisez-les ainsi : règle 1 = redirection http://exemple.sn/* vers https://exemple.sn/$1 en 301 (redondant avec « Always Use HTTPS » mais utile pour SEO), règle 2 = cache Everything sur */wp-content/* avec TTL 1 mois, règle 3 = bypass cache complet sur */wp-admin/* et */wp-login.php pour ne pas casser l’authentification.

Pour aller au-delà de 3 règles sans payer, basculez sur les Cache Rules et Configuration Rules (illimitées en Free désormais). Les Page Rules sont en voie de dépréciation, mais restent fonctionnelles.

Étape 10 — Surveiller le trafic et la sécurité

Onglet Analytics & Logs > Traffic, vous voyez le volume de requêtes, l’origine géographique, le pourcentage servi depuis le cache. Onglet Security > Events, vous voyez les attaques bloquées avec détail (IP, pays, règle déclenchée). Une PME bien configurée à Abidjan ou Bamako voit typiquement Cloudflare bloquer 5 000 à 50 000 requêtes malveillantes par jour, sans intervention humaine.

Activez les alertes par email pour les pics de trafic anormaux. Cinq minutes de configuration, vous serez averti d’un éventuel DDoS ciblé avant que vos clients ne s’en aperçoivent.

Pour creuser ce sujet, voyez aussi notre guide sur les headers de sécurité Caddy qui complète Cloudflare côté origine, et notre tutoriel sur Zero Trust pour PME africaines.

Étape 11 — Optimiser les images avec Polish et Mirage (Pro) ou alternatives gratuites

Polish (compression automatique des images) et Mirage (chargement adaptatif selon le réseau du visiteur) sont réservés au plan Pro à 25 USD/mois soit ~16 400 FCFA/mois. En plan Free, obtenez 80 % du résultat avec deux astuces gratuites. Première astuce : activez « Auto Minify » sur HTML, CSS et JS dans Speed > Optimization. Deuxième astuce : utilisez le plugin WordPress Imagify ou EWWW Image Optimizer pour compresser les images à l’upload. Combinés au cache Cloudflare, vos pages se chargent en 1 à 2 secondes même sur 3G dakaroise.

Mesurez avant/après avec PageSpeed Insights ou WebPageTest depuis un emplacement de test à Lagos ou Johannesburg. Le gain typique est de 30 à 60 % sur le LCP (Largest Contentful Paint) après une bonne configuration Cloudflare + compression d’images locale.

Étape 12 — Workers gratuits pour de petites fonctions edge

Le plan Free inclut 100 000 requêtes Workers par jour. Largement suffisant pour des cas d’usage typiques : redirection conditionnelle, A/B testing, modification de headers, page de maintenance. Exemple — afficher une bannière personnalisée selon le pays du visiteur :

export default {
  async fetch(request) {
    const country = request.cf.country
    const response = await fetch(request)
    const text = await response.text()
    const banner = country === 'SN' 
      ? 'Livraison gratuite à Dakar' 
      : 'Livraison internationale disponible'
    const modified = text.replace('<!--BANNER-->', banner)
    return new Response(modified, response)
  }
}

Déployez via le tableau de bord Cloudflare ou en CLI avec wrangler deploy. La latence ajoutée est de ~5 ms, imperceptible. Vous personnalisez votre site à l’edge sans toucher à WordPress.

Étape 13 — Erreurs courantes et solutions

Erreur « 521 Web server is down » : votre serveur d’origine refuse la connexion ou son pare-feu bloque les IP Cloudflare. Solution : whitelistez les plages IP officielles publiées sur cloudflare.com/ips. Erreur « 525 SSL handshake failed » : votre serveur n’a pas de certificat valide alors que vous êtes en mode Full (strict). Solution : installez un certificat Let’s Encrypt ou passez temporairement en mode Full (non strict) le temps de corriger.

Erreur « 1020 Access denied » côté visiteur : une de vos règles WAF bloque trop large. Solution : consultez l’événement dans Security > Events, identifiez la règle déclenchée, ajoutez une exception. Erreur « 526 Invalid SSL certificate » : votre certificat origine est expiré ou auto-signé. Solution : renouvelez avec Let’s Encrypt, automatique avec Caddy.