Cloudflare Sécurité — Tour Complet des Modules Activables 2026

Cloudflare est bien plus qu'un simple CDN ou un pare-feu applicatif. Au fil des années, la plateforme a développé un écosystème complet de modules de sécurité couvrant l'ensemble du spectre des menaces modernes : des attaques volumétriques DDoS de plusieurs térabits par seconde aux bots sophistiqués capables de contourner les CAPTCHA classiques, en passant par les menaces par email, la protection des scripts côté client, et la gestion complète du cycle de vie SSL/TLS. Ce panorama exhaustif détaille chaque module de sécurité Cloudflare disponible en 2026, ses mécanismes de fonctionnement, ses cas d'usage concrets et ses recommandations d'activation selon la taille et le secteur d'activité de votre organisation. Que vous soyez une PME cherchant à sécuriser un site WordPress avec les outils gratuits de Cloudflare, ou une grande entreprise évaluant Magic Transit pour la protection de son infrastructure réseau complète, ce guide vous donne les clés pour comprendre, configurer et optimiser chaque couche de sécurité. La compréhension fine de ces modules est également indispensable pour les consultants en sécurité qui réalisent des audits d'infrastructure ou accompagnent leurs clients dans des démarches de conformité NIS 2, DORA ou ISO 27001, où la protection multicouche est explicitement exigée par les référentiels.

\n\n

Protection DDoS automatique L3/L4 et L7

\n\n

La protection DDoS de Cloudflare est la fonctionnalité la plus fondamentale — et la seule qui soit entièrement automatique et toujours active, même sur le plan gratuit. Cloudflare absorbe en moyenne 170 milliards de menaces par jour sur son réseau.

\n\n

DDoS L3/L4 — Protection réseau et transport

\n\n

La protection contre les attaques volumétriques aux couches 3 (réseau) et 4 (transport) est incluse dans tous les plans, y compris le plan gratuit :

\n\n

\n
• Attaques UDP flood : amplification NTP, DNS, SSDP, CLDAP
\n
• SYN flood : épuisement des tables de connexions TCP
\n
• ACK flood et RST flood : perturbation des sessions établies
\n
• ICMP flood : saturation de la bande passante
\n

\n\n

Cloudflare gère un réseau de 260+ Tbps de capacité, ce qui lui permet d'absorber les plus grandes attaques connues. En octobre 2024, Cloudflare a mitigé une attaque DDoS HTTP record de 3,8 Tbps — la plus grande jamais enregistrée — de manière entièrement automatisée.

\n\n

DDoS L7 — Protection applicative (HTTP)

\n\n

La protection DDoS L7 analyse le trafic HTTP/HTTPS et détecte les attaques applicatives :

\n\n

\n
• HTTP flood : envoi massif de requêtes HTTP légitimes en apparence
\n
• Slowloris : connexions lentes maintenues ouvertes pour épuiser les ressources serveur
\n
• CC Attack : simulation de vrais navigateurs pour contourner les détections simples
\n

\n\n

# Vérifier le statut DDoS Analytics\n# Dashboard > Security > Events > filtrer par "DDoS"\n\n# API : récupérer les événements DDoS des dernières 24h\ncurl "https://api.cloudflare.com/client/v4/zones/{zone_id}/security/events"   -H "Authorization: Bearer {token}"   -G --data-urlencode "source=ddos_l7"   --data-urlencode "since=-86400"

\n\n

Managed Rulesets DDoS HTTP

\n\n

Les règles managées DDoS HTTP (Security > DDoS > HTTP DDoS attack protection) permettent d'ajuster la sensibilité globale sans désactiver la protection :

\n\n

\n
• Sensitivity : Low : pour les sites avec du trafic bot légitime élevé (scraping autorisé, partenaires API)
\n
• Sensitivity : Medium : valeur par défaut, équilibre entre protection et faux positifs
\n
• Sensitivity : High : protection maximale, idéale pour les sites ciblés
\n

\n\n

Pour les organisations soumises à des exigences de continuité de service, notamment dans le cadre de la conformité DORA, la protection DDoS de Cloudflare constitue une mesure de résilience opérationnelle documentable.

\n\n

Bot Management et Super Bot Fight Mode

\n\n

Les bots représentent environ 30% du trafic web mondial. Certains sont légitimes (Googlebot, Bingbot), d'autres sont malveillants (scrapers, credential stuffing, carding). Cloudflare propose plusieurs niveaux de protection selon votre plan.

\n\n

Super Bot Fight Mode (plan Pro et supérieur)

\n\n

Super Bot Fight Mode est le système de détection des bots disponible dès le plan Pro ($20/mois). Il identifie trois catégories :

\n\n

\n
• Definitely Automated : bots certainement automatisés (score 1-29)
\n
• Likely Automated : trafic probablement automatisé (score 30-49)
\n
• Verified Bots : bots légitimes vérifiés par Cloudflare (Googlebot, etc.)
\n

\n\n

Pour chaque catégorie, les actions possibles sont : Allow, Block, ou Managed Challenge (Turnstile).

\n\n

# Configuration via Firewall Rules (WAF Custom Rules)\n# Bloquer les bots certainement automatisés sauf les crawlers vérifiés\n\nExpression:\n  (cf.bot_management.score lt 30) AND\n  (not cf.bot_management.verified_bot)\nAction: Block\n\n# Challenger les bots probablement automatisés\nExpression:\n  (cf.bot_management.score lt 50) AND\n  (not cf.bot_management.verified_bot)\nAction: Managed Challenge

\n\n

Bot Management Enterprise

\n\n

Le plan Enterprise débloque des capacités avancées :

\n

\n
• Score de bot entre 1 et 99 pour un contrôle granulaire
\n
• Machine Learning mis à jour continuellement
\n
• Détection du JavaScript Fingerprinting
\n
• Bot Analytics détaillée
\n
• Liste blanche de bots partenaires
\n

\n\n

Protéger les formulaires sensibles

\n\n

# Protéger une page de login contre le credential stuffing\nExpression:\n  (http.request.uri.path eq "/login") AND\n  (cf.bot_management.score lt 50)\nAction: Managed Challenge\n\n# Rate limiting sur les endpoints d'API\n# Security > WAF > Rate Limiting Rules\nExpression: (http.request.uri.path contains "/api/auth/")\nRate: 10 requests / 1 minute / IP\nAction: Block (duration: 10 minutes)

\n\n

La protection contre les bots s'inscrit dans une démarche globale de sécurisation des accès, complémentaire aux audits d'infrastructure réguliers qui évaluent l'exposition aux attaques automatisées.

\n\n

Turnstile — Alternative CAPTCHA invisible et accessible

\n\n

Cloudflare Turnstile est la réponse de Cloudflare aux CAPTCHA traditionnels (reCAPTCHA v2, hCaptcha) qui dégradent l'expérience utilisateur et posent des problèmes d'accessibilité. Turnstile est entièrement gratuit et fonctionne de manière invisible pour la grande majorité des utilisateurs légitimes.

\n\n

Comment Turnstile fonctionne

\n\n

Au lieu de demander à l'utilisateur de reconnaître des images ou de cocher des cases, Turnstile évalue une série de signaux non intrusifs :

\n

\n
• Analyse comportementale passive (mouvements de souris, timing de frappe)
\n
• Empreinte du navigateur (User-Agent, capacités WebGL, fontes)
\n
• Historique de réputation de l'IP via le réseau Cloudflare
\n
• Présence ou absence d'automatisation détectable
\n

\n\n

Si les signaux sont suffisamment positifs, le challenge est résolu silencieusement en arrière-plan. Sinon, un challenge visuel simple est présenté. Le taux de résolution silencieuse dépasse 99% pour les utilisateurs légitimes typiques.

\n\n

Intégration dans un formulaire HTML

\n\n

<!-- Dans le <head> -->\n<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>\n\n<!-- Dans le formulaire -->\n<form method="POST" action="/contact">\n  <div class="cf-turnstile"\n       data-sitekey="0x4AAAAAABxxxxxxxxxxxxxx"\n       data-theme="dark"></div>\n  <button type="submit">Envoyer</button>\n</form>

\n\n

Vérification côté serveur

\n\n

# Python — vérifier le token Turnstile\nimport httpx\n\nasync def verify_turnstile(token: str, ip: str) -> bool:\n    response = await httpx.post(\n        "https://challenges.cloudflare.com/turnstile/v0/siteverify",\n        data={\n            "secret": "0x4AAAAAABxxxxxxx_secret",\n            "response": token,\n            "remoteip": ip,\n        }\n    )\n    result = response.json()\n    return result.get("success", False)

\n\n

Modes d'affichage

\n

\n
• managed : Cloudflare décide (invisible ou challenge visuel)
\n
• non-interactive : toujours invisible (peut échouer pour certains bots)
\n
• invisible : totalement transparent, résolution en arrière-plan
\n

\n\n

Email Routing — Redirection d'emails gratuite

\n\n

Cloudflare Email Routing permet de créer des adresses email sur votre domaine et de les rediriger vers n'importe quelle boîte de réception existante — Gmail, Outlook, Fastmail — sans serveur mail à gérer.

\n\n

Activation et configuration

\n\n

Dans Email > Email Routing > Get started :

\n

\n
1. Cloudflare crée automatiquement les enregistrements MX nécessaires dans votre DNS
\n
2. Ajoutez une ou plusieurs adresses de destination vérifiées
\n
3. Créez vos règles de routage
\n

\n\n

Types de règles de routage

\n\n

# Adresse spécifique → destination unique\ncontact@votre-domaine.com → votre-boite@gmail.com\n\n# Catch-all → toutes les adresses non définies\n*@votre-domaine.com → catch@votre-boite.com\n\n# Plusieurs destinations pour une même adresse\nfacturation@votre-domaine.com → compta@gmail.com + direction@gmail.com

\n\n

Email Workers — Traitement programmatique

\n\n

Pour les cas avancés, Cloudflare Email Workers permet de traiter les emails avec du code JavaScript :

\n\n

// Email Worker : filtrer et rediriger selon l'expéditeur\nexport default {\n  async email(message, env, ctx) {\n    const from = message.from;\n\n    // Bloquer les spammeurs connus\n    if (from.includes('spam-domain.com')) {\n      message.setReject('Known spam source');\n      return;\n    }\n\n    // Rediriger les emails d'urgence vers une adresse prioritaire\n    if (message.headers.get('subject')?.includes('[URGENT]')) {\n      await message.forward('astreinte@votre-domaine.com');\n      return;\n    }\n\n    // Routage par défaut\n    await message.forward('contact@gmail.com');\n  }\n}

\n\n

La documentation officielle d'Email Routing est disponible sur developers.cloudflare.com/email-routing.

\n\n

Email Security (Area 1) — Protection anti-phishing avancée

\n\n

Cloudflare Area 1 (rebaptisé Cloudflare Email Security) est une solution anti-phishing de niveau entreprise, acquise par Cloudflare en 2022. Elle analyse les emails avant leur livraison pour détecter les menaces sophistiquées.

\n\n

Capacités de détection

\n\n

\n
• BEC (Business Email Compromise) : usurpation d'identité de dirigeants
\n
• Spear phishing : attaques ciblées avec personnalisation
\n
• Malware et ransomware : analyse des pièces jointes en sandbox
\n
• Liens malveillants : réécriture et analyse en temps réel des URLs
\n
• Domain spoofing : détection des domaines similaires (typosquatting)
\n

\n\n

Intégration

\n\n

Area 1 s'intègre comme MX gateway devant Google Workspace, Microsoft 365, ou tout autre serveur mail. La configuration se fait en changeant les enregistrements MX pour pointer vers les serveurs Area 1, qui analysent chaque email avant de le livrer.

\n\n

Cette solution est particulièrement pertinente dans le cadre de la conformité NIS 2 et des obligations de protection des systèmes d'information contre les menaces par email, qui constituent le vecteur initial d'attaque dans plus de 90% des incidents de cybersécurité.

\n\n

SSL/TLS — Gestion complète des certificats

\n\n

Cloudflare gère l'intégralité du cycle de vie SSL/TLS pour vos domaines, des certificats universels gratuits aux certificats personnalisés avec CA privée.

\n\n

Modes SSL/TLS

\n\n

\n
• Off : HTTP uniquement (à ne jamais utiliser)
\n
• Flexible : HTTPS entre visiteur et Cloudflare, HTTP entre Cloudflare et votre serveur (déconseillé)
\n
• Full : HTTPS de bout en bout, certificat auto-signé accepté sur l'origine
\n
• Full (Strict) : HTTPS de bout en bout, certificat valide exigé sur l'origine (recommandé)
\n

\n\n

Certificats universels et avancés

\n\n

# Certificat universel gratuit : *.votre-domaine.com + votre-domaine.com\n# Renouvelé automatiquement, valable 90 jours\n\n# Certificat avancé (plan Pro) : SAN avec plusieurs domaines\n# SSL/TLS > Edge Certificates > Order Advanced Certificate\n\n# Certificat personnalisé (plan Business+) : importer votre propre certificat\n# SSL/TLS > Edge Certificates > Upload Custom Certificate

\n\n

HSTS et Preload

\n\n

# Activer HSTS (HTTP Strict Transport Security)\n# SSL/TLS > Edge Certificates > HTTP Strict Transport Security (HSTS)\n\nmax-age = 31536000  # 1 an\nInclude subdomains: ON\nPreload: ON (attention : irréversible, inscrit dans les navigateurs)

\n\n

TLS 1.3 et QUIC/HTTP3

\n\n

Cloudflare supporte TLS 1.3 (le plus sécurisé) et HTTP/3 (QUIC) sur tous les plans. Activez-les depuis SSL/TLS > Edge Certificates :

\n

\n
• TLS 1.3 : réduit le nombre de round-trips de la poignée de main TLS
\n
• 0-RTT TLS : pour les reconnexions ultra-rapides (avec prudence pour les replay attacks)
\n

\n\n

La documentation officielle SSL est disponible sur developers.cloudflare.com/ssl.

\n\n

Page Shield — Détection de scripts malveillants

\n\n

Page Shield surveille les scripts JavaScript tiers chargés par vos pages et détecte les injections malveillantes (attaques Magecart, formjacking, skimming de carte bancaire).

\n\n

Fonctionnement

\n\n

Page Shield analyse chaque script JavaScript chargé par vos pages en :

\n

\n
1. Inventoriant tous les scripts tiers (CDN, analytics, publicité, chat)
\n
2. Vérifiant la réputation de chaque domaine source
\n
3. Analysant le comportement du script (accès aux champs de formulaire, données de carte)
\n
4. Alertant en cas de nouveau script ou de comportement suspect
\n

\n\n

Configuration des alertes

\n\n

# Dans Security > Page Shield :\n# 1. Activer la surveillance des scripts\n# 2. Configurer les alertes pour :\n#    - Nouveaux scripts détectés\n#    - Scripts avec comportement malveillant détecté\n#    - Scripts chargés depuis des domaines à risque\n\n# Politique CSP automatique générée par Page Shield\n# Copier et appliquer dans un Transform Rule ou via le serveur d'origine

\n\n

Content Security Policy (CSP)

\n\n

Page Shield peut générer automatiquement une politique CSP basée sur les scripts légitimes détectés. Cette CSP peut être déployée en mode "report-only" pour évaluer l'impact avant activation en mode bloquant.

\n\n

Pour les sites soumis à PCI-DSS (e-commerce) ou NIS 2, Page Shield fournit une couche de protection essentielle contre les attaques de chaîne d'approvisionnement logicielle (supply chain attacks). Consultez notre article sur les vulnérabilités logicielles pour comprendre l'importance de la surveillance des dépendances.

\n\n

Cloudflare Waiting Room — Gestion des pics de trafic

\n\n

Cloudflare Waiting Room est une fonctionnalité de gestion de file d'attente virtuelle qui protège vos serveurs lors des pics de trafic imprévus (soldes, lancements de produits, événements viraux).

\n\n

Comment ça fonctionne

\n\n

Quand le trafic dépasse votre seuil configuré, Cloudflare dirige les nouveaux visiteurs vers une page de file d'attente personnalisée. Ils avancent dans la file au fur et à mesure que des "sessions" se libèrent. Les visiteurs actifs ne sont jamais interrompus.

\n\n

# Configuration d'une Waiting Room\n# Security > Waiting Room > Create\n\nTotal active users: 500        # Nombre max d'utilisateurs simultanés sur votre site\nNew users per minute: 200      # Débit d'entrée maximum\nSession duration: 15 minutes   # Durée d'une session\nQueue all traffic: OFF         # Activer la file uniquement quand le seuil est atteint\n\n# Page de file d'attente personnalisée (HTML/CSS)\n# Variables disponibles : waitTime, queueIsFull, prequeueEnabled

\n\n

Template de Waiting Room personnalisé

\n\n

<!-- Template minimal avec estimation du temps d'attente -->\n<!DOCTYPE html>\n<html>\n<body>\n  <h1>Vous êtes dans la file d'attente</h1>\n  {{#if waitTimeKnown}}\n    <p>Temps d'attente estimé : {{waitTime}} minutes</p>\n  {{else}}\n    <p>Calcul du temps d'attente en cours...</p>\n  {{/if}}\n</body>\n</html>

\n\n

Magic Transit et Magic Firewall — Protection réseau entreprise

\n\n

Magic Transit et Magic Firewall sont les offres réseau de niveau entreprise de Cloudflare, conçues pour protéger des blocs d'adresses IP entiers (pas seulement des domaines web).

\n\n

Magic Transit

\n\n

Magic Transit annonce vos préfixes IP (via BGP) au réseau Cloudflare. Tout le trafic entrant vers vos IPs est absorbé par Cloudflare, filtré, et réacheminé via des tunnels GRE ou IPSec vers votre infrastructure. Résultats :

\n\n

\n
• Protection DDoS pour l'ensemble de votre réseau (pas seulement les sites web)
\n
• Réduction de la latence grâce au routage via l'anycast Cloudflare
\n
• Élimination du besoin de scrubbing centers traditionnels
\n

\n\n

Magic Firewall

\n\n

Magic Firewall est un pare-feu réseau géré dans le cloud Cloudflare, accessible via une API ou le dashboard. Il filtre le trafic à la couche 3/4 avant qu'il n'atteigne votre réseau :

\n\n

# Exemple de règle Magic Firewall (format Wireshark-like)\n# Bloquer tout le trafic UDP entrant sauf sur les ports spécifiques\nip.proto == "udp" and not (udp.dstport in {53, 123, 500, 4500})\n\n# Bloquer les adresses BOGON\nip.src in {0.0.0.0/8, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24}

\n\n

Ces fonctionnalités sont particulièrement pertinentes pour les organisations qui doivent démontrer une architecture de sécurité réseau robuste dans le cadre d'un audit d'infrastructure ou d'une certification NIS 2.

\n\n

Audit des logs de sécurité — Logpush vers SIEM

\n\n

La visibilité sur les événements de sécurité est indispensable pour la détection d'incidents et la conformité réglementaire. Cloudflare Logpush permet d'exporter en temps quasi-réel tous les logs vers votre SIEM ou votre stockage de données.

\n\n

Destinations Logpush supportées

\n\n

\n
• Splunk, IBM QRadar, Microsoft Sentinel, Elastic
\n
• Amazon S3, Google Cloud Storage, Azure Blob Storage
\n
• Datadog, New Relic, Sumo Logic
\n
• HTTP endpoint personnalisé
\n

\n\n

Configuration Logpush via API

\n\n

# Créer un job Logpush vers un bucket S3\ncurl -X POST "https://api.cloudflare.com/client/v4/zones/{zone_id}/logpush/jobs"   -H "Authorization: Bearer {token}"   -H "Content-Type: application/json"   --data '{\n    "name": "security-logs-siem",\n    "destination_conf": "s3://mon-bucket/cloudflare-logs?region=eu-west-1",\n    "dataset": "http_requests",\n    "logpull_options": "fields=ClientIP,ClientRequestHost,ClientRequestMethod,ClientRequestURI,EdgeResponseStatus,SecurityLevel,WAFAction,BotScore",\n    "enabled": true\n  }'

\n\n

Datasets disponibles

\n\n

\n
• http_requests : toutes les requêtes HTTP (avec champs WAF, Bot, cache)
\n
• firewall_events : événements WAF, rate limiting, IP reputation
\n
• dns_logs : requêtes DNS (avec Gateway)
\n
• audit_logs : actions sur le compte Cloudflare (accès dashboard, modifications de config)
\n

\n\n

Pour les environnements soumis à DORA, la centralisation des logs de sécurité dans un SIEM est une exigence réglementaire explicite. Cloudflare Logpush fournit les données brutes ; leur analyse et corrélation doivent être assurées par votre équipe SOC ou votre RSSI externalisé.

\n\n

La protection des infrastructures exposées sur Internet nécessite également des vérifications régulières des configurations. Un pentest cloud permet de valider que les règles Cloudflare sont correctement configurées et qu'aucune règle de bypass non intentionnelle n'expose votre origine.

\n\n

FAQ — Modules de sécurité Cloudflare

\n\n

Quels modules de sécurité Cloudflare sont disponibles gratuitement ?

\n

Le plan gratuit de Cloudflare inclut déjà une protection significative : protection DDoS L3/L4/L7 illimitée et toujours active, WAF avec règles managées (limité à 5 règles custom), Bot Fight Mode basique, SSL/TLS avec certificat universel gratuit, Email Routing (jusqu'à 200 règles), Turnstile (illimité), et les fonctionnalités de base de Page Shield. Pour les PME avec un budget limité, ce niveau de protection gratuit surpasse la plupart des solutions payantes du marché. Les modules avancés comme Super Bot Fight Mode, le WAF complet, la Waiting Room et Logpush nécessitent les plans Pro ($20/mois), Business ($200/mois) ou Enterprise.

\n\n

Comment Cloudflare Turnstile est-il différent de reCAPTCHA ?

\n

Les différences sont significatives sur plusieurs points. En termes de confidentialité, Turnstile ne collecte pas de données pour améliorer les produits Google — il est conçu pour la protection des données et respecte le RGPD plus strictement. En termes d'expérience utilisateur, Turnstile résout le challenge de manière invisible pour plus de 99% des utilisateurs légitimes, contre reCAPTCHA v2 qui affiche des grilles d'images. En termes de coût, Turnstile est entièrement gratuit sans limite de requêtes, contre reCAPTCHA Enterprise qui facture au-delà d'un certain volume. Enfin, Turnstile exploite l'intelligence du réseau Cloudflare (réputation IP, comportements observés sur des milliards de requêtes) pour sa détection.

\n\n

La protection DDoS Cloudflare impacte-t-elle les performances ?

\n

Non, la protection DDoS de Cloudflare est conçue pour être transparente en conditions normales. Le trafic légitime est analysé et acheminé sans latence perceptible — les systèmes de détection opèrent en temps réel au niveau du silicium des serveurs Cloudflare. En cas d'attaque active, Cloudflare peut temporairement activer des challenges supplémentaires pour les nouvelles connexions, ce qui peut ajouter 100-300ms pour les premiers visiteurs pendant la période de détection. Une fois l'empreinte de l'attaque caractérisée (généralement en moins de 3 secondes), le trafic légitime est à nouveau servi normalement.

\n\n

Cloudflare Bot Management peut-il bloquer les crawlers de moteurs de recherche ?

\n

Non, par conception. Les bots vérifiés (Verified Bots) comme Googlebot, Bingbot, ou les crawlers de réseaux sociaux (FacebookBot, Twitterbot) sont identifiés et toujours autorisés, quelle que soit la configuration Bot Management. Cloudflare vérifie l'authenticité de ces crawlers en validant leur IP source contre les plages officiellement publiées par chaque moteur de recherche. Si vous avez des cas où Googlebot semble bloqué, vérifiez vos règles WAF Custom, vos règles de rate limiting, et consultez le Security Events Log pour identifier la règle qui intercède.

\n\n

Comment fonctionne la protection contre le phishing avec Cloudflare Area 1 ?

\n

Cloudflare Area 1 (Email Security) analyse chaque email entrant avant sa livraison via un système multi-couches. La première couche vérifie les mécanismes d'authentification email : SPF, DKIM et DMARC. La deuxième couche analyse les liens contenus dans l'email — Area 1 visite chaque URL dans un environnement sandbox pour vérifier si la destination est malveillante. La troisième couche utilise le machine learning pour détecter les techniques de BEC (Business Email Compromise) : analyse du nom d'expéditeur vs adresse réelle, détection des domaines similaires (typosquatting), analyse du contenu pour les demandes de virement urgentes. Le taux de détection annoncé pour les attaques zero-day est supérieur à 99,9%.

\n\n

Peut-on utiliser Magic Transit sans être une très grande entreprise ?

\n

Magic Transit est conçu pour les organisations qui disposent de leurs propres blocs d'adresses IP (au minimum un /24, soit 256 adresses) et ont besoin de protéger une infrastructure réseau complète. Ce n'est pas adapté aux PME qui hébergent des sites web sur des serveurs partagés. Pour les entreprises de taille intermédiaire avec des data centers propres ou des hébergements dédiés significatifs, Magic Transit est accessible — Cloudflare ne publie pas de tarifs mais le prix est négocié par contrat. Pour la grande majorité des besoins, le WAF + Bot Management + DDoS Protection des plans Pro/Business est suffisant. Magic Transit est réservé aux cas où vous avez besoin de protéger des services non-HTTP (jeu en ligne, VoIP, protocoles propriétaires).

\n\n \n\n

Pour une évaluation complète de votre posture de sécurité Cloudflare, un audit d'infrastructure spécialisé permet de vérifier que l'ensemble des modules sont correctement configurés et qu'aucune règle de bypass non intentionnelle n'expose votre origine. En complément, notre article sur les fondamentaux de la sécurisation WordPress détaille comment combiner Cloudflare avec des bonnes pratiques applicatives.