Pourquoi les pares-feux d'applications Web sont-ils un élément indispensable en matière de sécurité ?

Par Derek Kiely, VP Product, Progress

Il s’agit d’une loi absolue en matière de cybersécurité : quelle que soit la taille d’une entreprise, son site Web est une cible. Comment cela ne pourrait-il pas être le cas? Après tout, un cybercriminel n’a rien à perdre en tentant de pirater votre site et vos applications Web. L’échec ne leur coûte rien, tandis que le succès peut leur apporter de nombreux avantages. Et cela peut courter cher à votre entreprise. 

Les pares-feux réseau constituent ici la ligne de défense la plus connue ; ils font partie d'une stratégie défensive globale qui peut inclure des systèmes de détection d'intrusion, des solutions de détection et de réponse réseau (NDR), des systèmes de gestion des informations et des événements de sécurité (SIEM), et bien plus encore. Cependant, en matière de sécurité des applications, il existe un autre type de pare-feu, tout aussi essentiel mais relativement sous-estimé : le pare-feu d'application Web (WAF).

 Vous pouvez imaginer un WAF comme le sel : pas un repas complet en soi, mais un ingrédient indispensable. Laisser un WAF en dehors de votre recette globale de cybersécurité revient à sacrifier une couche de défense vitale et pourrait vous conduire au désastre.

Comment les pares-feux d'applications Web fonctionnent-ils ? 

Les WAF fonctionnent au niveau de la couche application et inspectent le contenu du trafic Web. Cela leur permet de détecter et de bloquer les comportements malveillants, ce qu'un pare-feu réseau traditionnel ne peut pas faire. Ils fonctionnent comme une couche de défense supplémentaire de première ligne, positionnée directement entre les terminaux et les serveurs d'applications Web au sein du trafic Web.  Cette évaluation rapide est réalisée grâce à l'analyse des protocoles HTTP/HTTPS utilisés par le trafic Web. Les WAF analysent rapidement les paquets réseau pour détecter les menaces (pensez à un agent frontalier fouillant le coffre d'une voiture) et, ce faisant, ils déjouent les types d'exploits de menaces que les pares-feux réseau ne sont pas équipés pour détecter.

Pourquoi les pares-feux d'applications Web sont-ils nécessaires ? 

Un bon WAF peut détecter et bloquer automatiquement les types d’attaques les plus courants contre les applications Web. Cela libère du temps pour le personnel informatique et de sécurité, leur permettant de se concentrer sur des tâches plus complexes et plus exigeantes. Un WAF empêche les services Web de devenir une solution facile pour les attaquants potentiels. Si un site Web ou une application Web est destiné au public, un WAF devrait alors contribuer à assurer la protection. Pour les applications critiques pour l’entreprise, ce mantra est doublement vrai. Un WAF peut protéger contre les risques de sécurité les plus dangereux et les plus répandus, comme détaillé dans le OWASP Top 10, et bien plus encore. Quelques-uns des risques spécifiques contre lesquels un WAF se défend méritent d’être soulignés ici. Prenons l’exemple de Cross-Site Request Forgery (CSRF), l’un des exploits Web les plus importants, représentant près de 5 % de toutes les attaques de couche applicative en 2022. Lors d’une attaque CSRF, un attaquant recherche une victime authentifiée pour une application Web donnée et se fait passer pour elle pour accéder à l'application et exécuter des commandes indésirables. Les WAF peuvent bloquer ces attaques en vérifiant les en-têtes de référence, ce qui peut leur indiquer l'origine de la demande. En conséquence, ils réduisent considérablement le risque d’attaques CSRF.

Les attaques par injection sont ici un autre cas d’utilisation notable. Lors d'une attaque par injection, un acteur malveillant envoie une charge utile d'attaque spécialement conçue pour tenter de lire ou de modifier des données privilégiées ou d'exécuter des opérations administratives non autorisées. L'utilisation d'un WAF atténue considérablement le risque de ces attaques grâce à la surveillance dynamique des flux de trafic client : ils sont conçus pour reconnaître, signaler et bloquer les modèles d'injection malveillants et en conséquence peuvent empêcher les exécutions non autorisées. Il existe ensuite la prévention contre la perte de données (DLP), c'est-à-dire le transfert non autorisé d'informations sensibles hors d'un réseau. Même si cela peut se produire par accident ou par malveillance, dans les deux cas, les WAF constituent un outil inestimable grâce à leur capacité à inspecter et à refuser le trafic de sortie contenant des données non autorisées. Ces trois exemples ne représentent qu'une poignée des actions malveillantes les plus notables que les WAF peuvent empêcher, qui incluent également la falsification des cookies, les attaques par déni de service (DoS) et les scripts intersites (XSS).

Trouver et implémenter le pare-feu d'application Web idéal 

Le WAF idéal gérera la gamme de menaces décrites ci-dessus sans perturber le fonctionnement normal. Ce point est crucial. Un WAF mal configuré est comme un agent de sécurité trop zélé : il sera trop strict et finira par refuser le trafic Web légitime, conduisant à une mauvaise expérience utilisateur et créant plus de problèmes qu'il n'en résout.  Les équipes informatiques surchargées n’ont pas besoin d’être inondées de faux positifs : des cas où le WAF signale par erreur un trafic réel et légitime. La dernière chose dont une entreprise a besoin est d’interdire par erreur aux consommateurs l’accès à leurs applications Web. Distinguer le trafic convivial du trafic malveillant est une tâche complexe, en particulier lorsque le volume de trafic est élevé. Il est impératif que votre WAF puisse fonctionner sans goulots d'étranglement, même lorsque des dizaines de milliers d'utilisateurs tentent d'accéder simultanément à votre application Web. Configurer correctement un WAF pour y parvenir nécessite une gamme d’approches méthodiques et stratégiques. La tâche la plus importante ici consiste à identifier les faux positifs lorsqu'ils se produisent et à « régler » la configuration WAF pour empêcher que les faux positifs ne se reproduisent. Cela peut être un processus laborieux, il est donc essentiel d’utiliser des outils et des techniques intelligents pour accélérer la résolution des faux positifs. Une fois cela accompli, les entreprises peuvent appliquer en toute confiance des ensembles de règles et des configurations testées pour bloquer les menaces connues. (Il est essentiel que ces ensembles de règles soient fréquemment mis à jour pour garder une longueur d’avance sur les menaces à l’horizon.)

Une fois votre WAF correctement réglé, une surveillance continue devient essentielle, tout comme un ajustement en fonction des modèles de trafic et des menaces observés. L'intégration d'une surveillance et d'alertes proactives permet au personnel informatique d'être informé lorsque l’attention est requise, par exemple lors d’une augmentation soudaine des demandes bloquées qui pourrait indiquer une attaque active. Cela doit être combiné à des analyses et des tableaux de bord robustes, permettant aux opérateurs d'obtenir des informations en un coup d'œil et d'être sûrs que le WAF fonctionne comme prévu et fournit une valeur de sécurité tangible.

 Bien entendu, trouver le bon équilibre (assurer la sécurité de vos actifs sans interrompre les services) n’est possible qu’avec un WAF qui peut être facilement personnalisé pour une gamme de scénarios de sécurité différents. En d’autres termes, la flexibilité est essentielle, ce qui signifie que votre WAF doit prendre en charge les modèles sur site, cloud et hybrides et être disponible sous forme de périphérique matériel, d’installation nue et de machine virtuelle ou de conteneur. 

Fondamentalement, la tâche principale de votre WAF est de détecter efficacement les tentatives d'attaque dans le trafic réseau avant qu'elles n'atteignent vos applications, ce qui inclut également le décryptage du trafic TLS/SSL pour pouvoir inspecter de manière significative son contenu. Un trafic Web d'apparence anormale devrait également déclencher une réponse WAF: l'utilisation de règles WAF génériques pour détecter un comportement de trafic inhabituel permet de bloquer les attaques zero-day, ce qui n'est pas possible avec une approche traditionnelle basée sur les signatures. Les WAF doivent être flexibles et génériques afin de pouvoir détecter cette activité et l'arrêter avant qu'elle ne devienne un problème. Encore une fois, bien que les WAF soient extrêmement précieux, ils ne peuvent constituer qu’un élément d’une approche de défense en profondeur à plusieurs niveaux qui prend en compte la gamme complète de solutions de cybersécurité actuellement disponibles pour les entreprises. L’objectif devrait être de mettre en place autant de couches défensives que possible autour de vos applications afin que si l’une d’entre elles échoue, d’autres soient en place pour prendre le relais. Mais même s'ils ne gagneront peut-être pas la partie à eux seuls, les WAF resteront toujours un élément essentiel de l'équipe, un élément sans lequel la plupart des entreprises ne peuvent se permettre d’exister.