Aujourd’hui, leur adoption se démocratise dans tous les secteurs d’activités : PME et collectivités locales s’équipent pour faire face aux menaces qui ciblent leurs sites web, leurs applications intranet et extranet. Les « défacements » dont ont été victimes 20 000 sites français en janvier 2015 ne sont que la partie visible de l’iceberg. Tous prennent conscience du risque d’indisponibilité, de vol de données et d’intrusion, lié aux attaques systématiques et ciblées.
Démocratisation de la sécurité applicative
Cette démocratisation est rendue possible par une maturation significative des WAFs, qui sont à la fois plus performants et bien plus faciles à administrer qu’à la fin des années 90. Les techniques de filtrage initiales, basées sur des signatures d’expressions régulières et le principe des listes blanches, se sont avérées suffisantes pour sécuriser les premiers sites. Cependant, les applications Web ayant beaucoup évolué et changeant rapidement, les fournisseurs spécialisés en sécurité applicative ont dû inventer des méthodes de filtrage alternatives et mettre en place des fonctions de gestion répondant au besoin de disponibilité des applications, tout en minimisant les intrusions et les faux positifs.
Les fonctions simples de la première génération de WAFs, que l’on retrouve aussi désormais dans certains parefeux réseau et équipements d’équilibre de charge, ne sont plus adaptées ni suffisantes. Depuis quelques années, une nouvelle génération de WAFs émerge, grâce aux efforts d’innovation des experts dans ce domaine. Aujourd’hui, plusieurs technologies doivent être maitrisées et intégrées pour transformer la sécurité applicative en un véritable « activateur de business », répondant à la demande croissante en automatisation et simplicité, combinant un faible coût de possession et une grande efficacité en matière de sécurité.
Parmi les technologies avancées que doit proposer un WAF de nouvelle génération, il faut citer la capacité à découvrir et tester les applications, celle d’ausculter efficacement le trafic http/https et XML utilisant les langages modernes tels que HTML5 et JSON, la possibilité d’évaluer la réputation des utilisateurs, celle de simplifier les accès aux utilisateurs légitimes, grâce à des fonctions de Web Single Sign On et, enfin, un environnement de travail assurant la productivité des administrateurs qui veillent à la sécurisation et à l’optimisation des flux applicatifs.
Scope fonctionnel d’un WAF de nouvelle génération
Un parefeu applicatif de nouvelle génération doit avoir les capacités suivantes :
- Découvrir automatiquement les applications non protégées, en faire le profil, identifier leurs vulnérabilités, et provisionner des politiques ad-hoc pour alléger le fardeau des administrateurs ;
- Apprendre comment fonctionnent les applications, identifier les attaques possibles, et aider les administrateurs à affiner la politique de sécurité ;
- Utiliser des technologies d’analyse grammaticale et de « sandboxing » pour identifier la nature des requêtes entrantes, avant d’interpréter leur contenu, si nécessaire, afin de bloquer les attaques complexes, « zero day » et les tentatives de contournement ;
- Combiner le routage des flux XML avec une sécurité avancée pour les Web Services;
- Gérer diverses méthodes d’authentification et le Single Sign On aux applications protégées, pour simplifier et sécuriser l’accès au système d’information ;
- Analyser le comportement des utilisateurs pour identifier et bloquer une activité anormale, évaluer la réputation des utilisateurs et limiter les accès aux pirates supposés ;
- Assurer la sécurité de la session afin d’éviter que les appareils compromis ne deviennent des vecteurs de fuites de données ;
- Proposer une visualisation synthétique de la politique de sécurité, afin que les administrateurs puissent optimiser les flux et ajuster facilement la politique s’appliquant à des applications en perpétuelle évolution ;
- « Scaler » automatiquement en fonction de l’évolution du trafic, grâce à une architecture modulaire, des APIs et une capacité d’orchestration hybride.
