WAF (Web Application Firewall)
generalDéfinition
Un Web Application Firewall (WAF) est un dispositif de sécurité analysant le trafic HTTP/HTTPS entre les clients et les applications web pour détecter et bloquer les attaques applicatives. Contrairement aux firewalls réseau traditionnels qui opèrent aux couches 3-4, le WAF inspecte le contenu applicatif (couche 7) pour identifier des patterns malveillants : injections SQL, XSS, CSRF, path traversal, inclusions de fichiers, et les menaces du Top 10 OWASP. Les WAF modernes s'appuient sur des règles de signature (OWASP CRS — Core Rule Set), du machine learning pour détecter des anomalies comportementales, et des bases de réputation IP. Les déploiements peuvent être inline (reverse proxy), out-of-band, ou en mode cloud (Cloudflare WAF, AWS WAF, Akamai Kona). Des modes opératoires progressifs (détection seule, puis blocage) permettent la mise en production sans faux positifs. Les WAF complètent mais ne remplacent pas la sécurisation du code applicatif ; ils constituent néanmoins une défense en profondeur essentielle, notamment pour protéger des applications legacy ou des vulnérabilités en attente de correction (virtual patching).
Modes de déploiement
- Reverse proxy : le WAF reçoit tout le trafic et le relaie (le plus courant)
- Transparent bridge : en ligne sans modification des routes
- Cloud WAF : en tant que CDN/proxy cloud (Cloudflare, AWS WAF)
Approches de détection
- Signature-based : règles OWASP CRS (Core Rule Set)
- Anomaly scoring : score cumulatif des anomalies détectées
- Machine learning : apprentissage du trafic normal, détection des déviations
- Positive model : whitelist du trafic autorisé uniquement
Limites
Un WAF ne remplace pas le développement sécurisé. Il est contournable (encodage, obfuscation, logic flaws). Considérez-le comme une couche défensive supplémentaire, pas une solution unique.
Besoin d'un expert sur ce sujet ?
Audit, pentest, conformité ISO 27001, développement IA sécurisé — demandez un devis gratuit.
Demander un devis