L’objectif d’un WAF (Web Application Firewall) est de protéger les serveurs d’applications web contre les divers types de cyberattaques : phishing, ransomware, ddos ou malware. Il va donc protéger principalement des url et applications présentes sur le web.   

Aujourd’hui, peu de fournisseurs offrent un WAF de qualité. Une dizaine de solutions existent, mais seulement trois leaders valent la peine d’être étudiées : Imperva, Radware et  F5. Ce dernier propose une qualité de solution supérieure aux deux autres. Que ce soit au niveau de la granularité de paramétrage, la protection apportée, la capacité volumétrique de traitement ou encore de l’implémentation, F5 dépasse ses concurrents. Toutefois, l’offre ne correspond pas nécessairement à toutes les entreprises ou tous les besoins de protection. REDOPUS décrypte pour vous 7 questions clés qui détermineront le choix de votre WAF. 

Question N°1 : Que protégez-vous ? 

Cette question est un incontournable de votre cahier des charges. Vous devez définir précisément les applications et url à protéger. Le nombre d’applications ainsi que les technologies développées impacteront directement le choix du WAF. Plus il y a de volume de données, plus vous devez choisir une solution puissante. Si vos applications sont développées avec plusieurs technologies, elles sont davantage exposées à des  risques de failles. Vous devez donc privilégier un firewall qui saura gérer l’ensemble du volume et des technologies employées. 

Une fois la liste des applications dressée, entrons plus précisément dans certains critères décisifs du WAF. 

Question N°2 : Cloud ou On Premise ? 

Le type d’hébergement détermine le choix de votre WAF. Vous souhaitez protéger des applications hébergées dans le cloud ? Le WAF doit impérativement intégrer cette spécificité. L’offre de Radware est aujourd’hui la plus adaptée à l’hébergement cloud. 

Si les url à protéger sont hébergées On Premise, d’autres critères de sélection du WAF sont à considérer. 

Question N°3 : L’application est-elle à destination de l’interne ou de l’externe ? 

L’application à protéger est-elle uniquement à destination des collaborateurs de votre entreprise ou est-elle destinée à l’externe ? Dans le cas d’url internes, le risque est moins important que pour l’externe. Un WAF avec peu de granularité de paramétrage sera donc suffisant. De plus, il a pour avantage d’être moins onéreux qu’une solution plus complète. Pour les applications internes, privilégiez la solution Imperva qui répondra parfaitement aux enjeux de sécurité interne. 

Dans le cas d’applications exposées à l’externe, le risque est plus élevé. Il faudra envisager une solution plus complète en fonction des technologies utilisées, du budget disponible ou encore du volume de données à protéger. F5 répond à l’ensemble de ces enjeux facilement. 

Question N°4 : Applications avec ou sans API ?

La présence ou l’absence d’API va directement influer sur le niveau de risques de cyberattaques. Si votre application dispose d’API, il faut prévoir un WAF qui saura gérer les flux de données entrants et sortants. Là aussi, un WAF avec un haut de niveau de granularité de paramétrage s’impose. F5 est le seul à proposer une telle offre sur le marché. 

Question N°5 : Existe-t-il des compétences en interne pour administrer le WAF ? 

L’administration d’un WAF nécessite des compétences techniques. Certaines solutions sont toutefois plus facilement administrables que d’autres. Dans certains cas, votre niveau de compétences internes limite votre choix. Si vos applications sont peu critiques, attendez un faible niveau de support et ne disposez pas de compétences internes fortes, privilégiez Radware en mode SaaS. Ce dernier sera le plus simple à administrer. Puis, selon vos compétences, vous pouvez opter pour Imperva ou enfin F5 qui représente le niveau le plus expert. 

Toutefois, vous avez toujours la possibilité d’externaliser la mise en place et l’administration à des consultants experts de la cybersécurité. Dans ce cas, vous ne serez pas limité par un manque de compétences. L’externalisation est d’autant plus pertinente lorsque les données gérées par votre entreprise ont un caractère sensible. 

Question N°6 : Quel est le budget alloué au WAF ? 

Dernier critère de sélection, mais non des moindres : votre budget dédié à la cybersécurité. Parmi les WAF cités, la solution la plus onéreuse est F5. Le budget s’explique par la performance de la solution. Selon votre besoin, les tarifs peuvent s’envoler autour des 5 000 à 15 000 euros. L’enveloppe budgétaire représente potentiellement une limite aux solutions que vous mettez en place.

Question n°7 : Quel est le mode de déploiement du WAF ? 

Que ce soit en appliance ou en VM les ressources nécessaires du WAF diffèrent selon le dimensionnement et le mode de déploiement. Pour faire un bon choix du modèle il faut identifier les bonnes métriques réseau (Architecture, Throughput, Interfaces... ) et applicatifs (Header Count, Header Size, Request Method Ratio, Parametres, URI Length...). 

Un bon dimensionnement permettra de choisir le WAF adapté à votre infrastructure et les ressources nécessaires selon le besoin. 

 

En résumé, pour protéger vos serveurs d'application web, nous vous préconisons de vous tourner vers : 

> F5 pour des données critiques et des solutions complexes avec un budget conséquent alloué à la cybersécurité

>Imperva pour la protection d’applications internes

> Radware pour sécuriser vos données hébergées dans le cloud. 

N’hésitez pas à prendre contact avec nos experts. Vos besoins sont uniques,mieux vaut analyser à la loupe vos besoins de WAF.