Les menaces pesant sur les applications font des web application firewalls une approche v\u00e9ritablement compl\u00e9mentaire aux bonnes pratiques de d\u00e9veloppement et aux tests de s\u00e9curit\u00e9 (audits).
La protection globale qu\u2019ils apportent contre les attaques connues (et non connues), le patching virtuel et le reporting d\u2019\u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 ont une vraie valeur ajout\u00e9e.<\/p>\n\n\n\n\n\n\n\n
Un march\u00e9 en \u00e9volution<\/h2>\n\n\n\n
Le march\u00e9 des WAF est en constante \u00e9volution, et voit r\u00e9guli\u00e8rement venir de nouveaux acteurs. Il comprend diff\u00e9rents types de vendeurs : les pure-players du WAF, les fournisseurs de services cloud, les logiciels open source, les vendeurs de s\u00e9curit\u00e9 plus g\u00e9n\u00e9raux, les vendeurs d\u2019ADC (Application Delivery Controller)…
Nous voyons \u00e9galement r\u00e9guli\u00e8rement des fusions\/acquisitions, soulignant le caract\u00e8re mouvant du march\u00e9.<\/p>\n\n\n\n
Le march\u00e9 des WAF \u00e9volue en fait comme le paysage des menaces. Les produits de type WAF doivent \u00e9voluer rapidement afin de rester efficaces et fournir une bonne protection aux applications web.<\/p>\n\n\n\n
Dans ce contexte, il est \u00e9vident que les organisations doivent bien \u00e9tudier et comprendre les caract\u00e9ristiques des offres de WAF disponibles, afin de trouver un produit qui conviendra \u00e0 leurs besoins.<\/p>\n\n\n\n Ajouter un WAF \u00e0 votre infrastructure IT est un r\u00e9el projet qui doit \u00eatre correctement g\u00e9r\u00e9 afin d\u2019\u00e9viter des erreurs et un mauvais choix.<\/p>\n\n\n\n Avoir les bonnes personnes dans votre projet WAF est un \u00e9l\u00e9ment cl\u00e9. La protection d\u2019un site web public vous a tr\u00e8s certainement amen\u00e9 \u00e0 penser \u00e0 la solution WAF. Mais qu\u2019en est-il des applications internes ou d\u2019autres applications destin\u00e9es aux partenaires, ou priv\u00e9es? Peut-\u00eatre ces applications sont-elles \u00e0 inclure dans le p\u00e9rim\u00e8tre de la protection. Les options de d\u00e9ploiement ne sont pas tr\u00e8s nombreuses, mais suffisamment pour qu\u2019un choix soit \u00e0 faire. Quelle solution est la plus adapt\u00e9e \u00e0 votre infrastructure existante ?<\/p>\n\n\n\n Les types de configuration peuvent \u00e9galement varier. Les deux premi\u00e8res options sont les plus courantes.<\/p>\n\n\n\n Chaque type de d\u00e9ploiement et de configuration vient avec son lot de challenges et de contraintes, il y a donc clairement besoin d\u2019analyser les possibilit\u00e9s avant d\u2019en impl\u00e9menter une.<\/p>\n\n\n\n Il s\u2019agit de la partie la plus challengeante du projet. Le m\u00eame type de question se pose lorsqu\u2019il s\u2019agit des autres genres de menaces, de la gestion des exceptions, des mises \u00e0 jour, ou encore de la gestion des signatures, pour en nommer quelques uns.<\/p>\n\n\n\n Quelques questions \u00e0 aborder :<\/p>\n\n\n\n En conclusion, choisir un WAF est un r\u00e9el projet avec des enjeux n\u00e9cessitant une approche rigoureuse. N\u2019h\u00e9sitez pas un prendre contact avec des experts si vous souhaitez \u00eatre accompagn\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":" L\u2019int\u00e9r\u00eat d\u2019un web application firewall Si vous ne voyez pas exactement la diff\u00e9rence entre un firewall \u201cclassique\u201d et un WAF (web application firewall), je vous conseille de consulter un article pr\u00e9c\u00e9dent, expliquant les diff\u00e9rences : Firewalls traditionnels ou Web Application Firewalls?Les menaces pesant sur les applications font des web application firewalls une approche v\u00e9ritablement compl\u00e9mentaire aux<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":{"0":"post-1746","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-solutions-fr"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1746","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=1746"}],"version-history":[{"count":3,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1746\/revisions"}],"predecessor-version":[{"id":4014,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1746\/revisions\/4014"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=1746"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=1746"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=1746"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Comparer](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2015\/05\/compare-waf.jpg\")
<\/figure>\n\n\n\n
De plus, certains web application firewalls sont con\u00e7us pour r\u00e9pondre aux plus hautes exigences des grandes entreprises, l\u00e0 o\u00f9 certains sont moins puissants et efficaces, mais beaucoup moins chers (m\u00eame gratuits, pour les WAF de type open source). Certains WAF sont \u00e9galement fournis avec une suite de services tels que de l\u2019optimisation de flux et de la gestion d\u2019identit\u00e9 : en avez-vous besoin ?<\/p>\n\n\n\nComment choisir votre WAF ?<\/h2>\n\n\n\n
Impliquer les bonnes personnes<\/h3>\n\n\n\n
Peut-\u00eatre certains de vos coll\u00e8gues ont-ils d\u00e9j\u00e0 une exp\u00e9rience dans ce domaine ?
Vous devez bien \u00e9videmment impliquer les personnes responsable des applications web \u00e0 prot\u00e9ger, mais \u00e9galement celles impliqu\u00e9es dans la strat\u00e9gie de s\u00e9curit\u00e9 globale de votre entreprise.
Maintenant que vous avez les bonnes personnes avec vous, quels seront leurs r\u00f4les et leurs responsabilit\u00e9s ? Les points essentiels \u00e0 aborder sont :<\/p>\n\n\n\nCollecter et valider les besoins<\/h3>\n\n\n\n
Il est important de prendre en compte les futurs besoins en termes de protection, et d\u2019anticiper les besoins d\u2019\u00e9volution de l\u2019infrastructure. Si un site web additionnel doit prochainement \u00eatre ajout\u00e9 dans le p\u00e9rim\u00e8tre du WAF, cette t\u00e2che sera-t-elle facile ?<\/p>\n\n\n\nChoisir la bonne option de d\u00e9ploiement<\/h3>\n\n\n\n
Un web application firewall peut \u00eatre :<\/p>\n\n\n\nComparer les offres de WAF<\/h3>\n\n\n\n
Parcourir les documents commerciaux, vid\u00e9os et datasheets n\u2019est pas assez si vous souhaitez vous assurer que le WAF choisi r\u00e9pondra \u00e0 l\u2019int\u00e9gralit\u00e9 de vos besoins.
Par exemple, la majorit\u00e9 (tous) des vendeurs de WAF avancent le fait que leur produit vous prot\u00e8ge contre les attaques de type injection SQL, et plus largement contre le Top 10 de l\u2019OWASP. Mais cette simple affirmation cache en r\u00e9alit\u00e9 des diff\u00e9rences importantes dans la fa\u00e7on de d\u00e9tecter et de g\u00e9rer les diff\u00e9rents types d\u2019attaques. Les injections SQL peuvent varier dans leurs nature, et \u00eatre plus ou moins difficiles \u00e0 d\u00e9tecter.
Les attaquants regardent cet aspect en terme de techniques d\u2019\u201d\u00e9vasion\u201d : Un type de WAF = des techniques d’\u00e9vasion sp\u00e9cifiques pour passer \u00e0 travers le WAF sans \u00eatre arr\u00eat\u00e9.<\/p>\n\n\n\n