Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Qu'est-ce que le pare-feu d'application web ? Définition & Utilisation

Découvrez pourquoi les principaux analystes du secteur classent systématiquement Okta et Auth0 parmi les leaders de l’identité

Mis à jour: 29 août 2024 Temps de lecture: ~

Sujette

IT Management

Sommaire

 

Cet article a été traduit automatiquement.

 

Un pare-feu d'application web, ou WAF, protège vos applications web contre les attaques courantes. Un WAF n'est pas une solution de sécurité autonome, car il est souvent utilisé de concert avec d'autres outils (tels que le pare-feu traditionnel). Mais un WAF peut vous faire gagner du temps lorsque votre application est menacée.

Qu'est-ce qu'un WAF ?

Un pare-feu d'application web, ou WAF, est conçu pour protéger votre application web des menaces extérieures. 

Qu'est-ce qu'une application web? Tout, du site de médias sociaux que vous visitez au programme de messagerie électronique que vous utilisez, est programmé et fourni par une application. Comme vous pouvez l'imaginer, ces programmes sont très attrayants pour les pirates informatiques. Ils aimeraient avoir accès à toutes les données stockées dans une application. Un WAF rend le piratage plus difficile. 

Un WAF peut être un appliance physique (comme un serveur) ou un outil virtuel (comme un nuage). La technologie de l'information est installée entre votre application et l'internet, et elle inspecte le trafic entrant et sortant. Un WAF peut :

  • Contrôle. Les règles de sécurité que vous concevez et mettez en œuvre déterminent le mouvement du trafic. 
  • Bloc. les règles de personnalisation filtrent le trafic que vous jugez dangereux. 
  • Protégez. Les règles vous aident à éliminer le trafic susceptible de déclencher des attaques. 
  • Complétez. Un WAF fonctionne de concert avec vos autres outils de sécurité. 

Les entreprises ont commencé à utiliser les WAF à la fin des années 1990. Aujourd'hui, la plupart des organisations dotées d'une application web ne peuvent plus s'en passer.

Comment un WAF peut-il vous aider ?

La plupart des entreprises sont attaquées, mais certaines ne le savent pas. Environ 91 pour cent de tous les incidents d'attaque ne génèrent pas d'alerte. Un WAF peut vous aider. 

Un WAF peut contribuer à améliorer la protection parce que l'informatique :

  • Mises à jour. Vous pouvez créer une règle et la mettre en œuvre rapidement sans affecter votre trafic entrant. Dès que la règle entre en vigueur, le trafic change. 
  • Apprend. Utilisez les règles créées par un fournisseur et vous pourrez les modifier en fonction des attaques menées par d'autres. Par exemple, l'OWASP tient une liste des 10 premiers des risques de sécurité les plus critiques pour les applications web. Des règles prédéfinies peuvent vous aider à améliorer la sécurité sur la base de ces recherches. 
  • Gère. Filtrez le trafic entrant et sortant de votre application. Ne vous préoccupez pas de la formation de votre personnel - utilisez plutôt des règles. 

Examinons les attaques les plus courantes. Il s'agit de vecteurs les plus courants auxquels les les plus courants auxquels les entreprises sont confrontées :

  • Scripting de site croisé. Le site hacker cible d'autres utilisateurs qui, en les contrôlant, ont accès à des données sensibles. 
  • Falsification de requête intersite. Le site hacker oblige un utilisateur à faire quelque chose sur l'application qu'il ne veut pas faire. 
  • Fuite d'informations. Le site hacker a accès à des données sensibles. 
  • Contrôle d'accès brisé. Une fois de plus, un hacker accède à des données qui devraient être protégées. 
  • Injection SQL. Un hacker place un code malveillant à l'intérieur d'une application. 

Si vous êtes préoccupé par l'une de ces attaques, un WAF pourrait vous convenir. Comment fonctionne le WAF ?

Un WAF se situe entre l'application web et l'internet. Les services informatiques examinent le trafic entrant et sortant d'un serveur. Les WAF sont parfois décrits comme des boucliers. 

Un WAF peut être mis en place avec :

  • Listes de blocage. Le développeur identifie les caractéristiques des attaques connues. Tout trafic répondant à ces modèles est bloqué. 
  • Les listes d'attente. Le développeur identifie le trafic sain et naturel. Tout trafic qui ne répond pas à ces modèles est bloqué. 
  • Hybrides. Certaines entreprises mélangent les règles pour protéger leurs actifs. 

Vous pouvez mettre en place un WAF sur un :

  • Réseau. Le matériel installé dans votre bâtiment protège votre application web.
  • Hôte. Un WAF peut être intégré à votre logiciel. 
  • Nuage. Un WAF pourrait provenir d'un fournisseur de services en nuage qui met en œuvre des technologies de l'information sur votre réseau. 

La sécurité du WAF est permanente, il ne s'agit donc pas d'un plan "set-IT" et "forget-IT". Les équipes doivent mettre à jour les règles et le suivi est essentiel. Il se peut que vous repériez dans le trafic du lundi un élément qui doit être corrigé le mardi. 

Mais un WAF peut être ajusté et modifié très rapidement, de sorte que vous pouvez mettre ces règles en application presque immédiatement. Pour les entreprises qui fonctionnent au plus juste, c'est l'idéal.

Si vous cherchez d'autres solutions pour sécuriser vos données, pensez à un pare-feu. Cet article de blog vous en dit plus sur ce qu'ils sont et comment ils fonctionnent.  

Références

Les applications web ne font que s'améliorer. (avril 2018). The Verge

Combien de temps faut-il aux services informatiques pour détecter une cyberattaque ? (Mars 2019). IT La gouvernance. 

Top 10 de l'OWASP. OWASP. 

Introduction au piratage des applications web. (mai 2019). Medium. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter