Le Web Application Firewall est une brique de sécurité dont l’importance ne cesse de croître alors que les entreprises ont engagé leurs projets “Move to Cloud”. Un marché qui est ultra-concurrentiel et où les spécialistes font face aux hyperscalers.
Les entreprises migrent peu à peu leur informatique vers le Cloud public, ouvrent de plus en plus leurs applications et ont besoin de sécuriser ces workloads. Avec un taux de croissance annuel proche de 17 % sur la période 2021-2026 selon Mordor Intelligence, le marché mondial des WAF (Web Application Firewall) se porte bien.
De facto, ces solutions prennent une coloration de plus en plus Cloud comme en témoigne l’offre de Rohde & Schwarz Cybersecurity. L’éditeur européen ne compte pas moins de 4 WAF à son catalogue. Le premier, baptisé “Web Application Firewall” se déploie en on-premise ou sous forme de machines virtuelles. Ce logiciel se retrouve sur les market places des grands Cloud publics comme AWS, Azure et Google Cloud Platform.
Des services SaaS
L’offre Cloud Protector constitue la version SaaS de cette offre. Celle-ci est proposée et managée par l’éditeur lui-même qui héberge l’infrastructure et assure la montée en charge de la brique de sécurité en fonction des besoins de son client. Le trafic réseau de l’entreprise est donc redirigé vers les infrastructures Rhode & Schwarz avant de l’être vers les applications de l’entreprise une fois passés les contrôles de sécurité. Enfin, l’éditeur propose depuis Trusted Application Factory un WAF packagé sous forme de conteneur et amené à répondre aux besoins des DevSecOps.
Autre acteur majeur de ce marché, Fortinet qui, avec FortiWeb, propose un WAF sous forme d’équipement physique, de machine virtuelle, d’instance dans les Cloud publics, de conteneur et enfin de service SaaS. Il intègre des technologies d’apprentissage automatique pour détecter des menaces qui contournent les règles de filtrage. « Le Machine Learning est également mis en œuvre afin d’assurer la configuration automatique du service de protection » argumente Christophe Auberger, Evangéliste Cybersécurité chez Fortinet. « Cette capacité garantit une adéquation maximale entre la protection et l’application qui évolue très vite aujourd’hui dans un contexte de développement continu. » En outre, l’éditeur a intégré nativement des fonctions d’antimalware et de sandboxing à son WAF.
Face aux éditeurs du monde de la cyber, il existe une alternative et elle est évidente : activer le WAF que proposent les fournisseurs Cloud.
Brest of Breed ou WAF embarqué ?
Leurs solutions sont pleinement intégrées à leurs offres et d’un coût particulièrement abordable puisque c’est la facturation des ressources machine qui reste le business model de ces acteurs.
Les éditeurs spécialisés ont plusieurs atouts face à ces offres qu’ils considèrent d’entrée de gamme. « Il existe de gros différenciants technologiques avec le WAF d’AWS qui est certainement le plus avancé parmi ceux fournis par les hyperscalers » explique Stéphane de Saint Albin, dirigeant de Rohde & Schwarz Cybersecurity France. « La protection des API et la validation du trafic JSON en est un. La possibilité de créer des règles custom en est un autre. Cette capacité fut notamment utile lorsque la vulnérabilité Log4Shell a été découverte. Les entreprises ont pu créer une règle avant que les éditeurs ne proposent leurs propres règles. »
L’autre stratégie des éditeurs passe par les “Managed Rules”.
La stratégie des “Managed Rules”
Il s’agit de la capacité de piloter les règles exécutées par le WAF AWS à partir de leurs outils. Ainsi, les éditeurs profitent de l’intégration profonde du WAF AWS avec les autres services de l’hyperscaler. Christophe Auberger explique : « Cette solution offre une protection avancée supplémentaire pour les abonnés au WAF d’AWS. Il s’agit de jeux de règles WAF basés sur des signatures de sécurité supplémentaires qui peuvent être utilisées pour améliorer les protections incluses dans le produit WAF AWS de base. Ils sont régulièrement mis à jour pour inclure les dernières informations sur les menaces provenant de notre entité FortiGuard Labs. » Autre son de cloche pour Stéphane de Saint Albin : « Les Managed Rules réduisent la sécurité apportée par le WAF à de simples règles exécutées par un moteur. C’est la vision la plus basique possible d’un WAF or notre WAF offre la possibilité de modéliser la politique de sécurité avec des workflows visuels ; Cela permet de créer des cas d’usage très évolués, offrir des moteurs d’analyse évolués capables de faire de l’analyse grammaticale, de l’intelligence artificielle, etc. »