Qu’est-ce que la Web App and API Protection (WAAP) ?
La Web App and API Protection (WAAP) désigne un ensemble intégré de services de sécurité qui fonctionnent ensemble pour atténuer les risques de sécurité liés aux API et aux applications Web.
Les solutions WAAP protègent contre les risques de sécurité des applications liés à l’exploitation des vulnérabilités, aux robots, aux attaques automatisées, aux dénis de service, aux fraudes et aux abus, ainsi qu’aux intégrations d’API tierces non sécurisées
Les contrôles de sécurité intégrés permettent aux organisations d’améliorer leur visibilité grâce à des informations exploitables capables d’arrêter des attaques spécifiques et d’identifier des campagnes de menaces coordonnées couvrant plusieurs vecteurs de menaces.
Faire vivre aux clients des expériences numériques attrayantes et sécurisées est un impératif commercial et une priorité pour les responsables de la sécurité et des risques. Le calcul bénéfice-risque, qui tente d’équilibrer sécurité et convivialité, n’a jamais été aussi délicat, crucial et lucratif que dans l’économie numérique moderne.
Un éventail de choix sans précédent, la faible tolérance des clients aux frictions ou aux échecs, et des implications réglementaires croissantes changent la perspective de la sécurité : jusque-là poste de coûts, elle est aujourd’hui un différenciateur numérique compétitif. En outre, les applications sont de plus en plus décentralisées et distribuées, déployées dans des architectures hétérogènes et multi-clouds, et intégrées dans des chaînes d’approvisionnement logicielles complexes et des pipelines CI/CD.
Figure 1 : Les applications sont de plus en plus décentralisées et distribuées
La sophistication croissante des robots et des attaques automatisées, ainsi que la prolifération des points de terminaison d’API due à l’utilisation accrue des applications mobiles et au développement d’applications modernes, élargissent considérablement la surface d’attaque et introduisent un risque imprévu lié aux intégrations tierces.
Le cycle de vie d’une attaque industrialisée commence par l’automatisation et se termine par la prise de contrôle du compte et la fraude.
Figure 2 : Les attaques d’applications sont persistantes et sophistiquées
Les solutions WAAP représentent l’évolution du marché du WAF vers des domaines adjacents, notamment la gestion des robots, la sécurité des API et l’atténuation des DDoS.
Un WAF qui s’intègre à des centres d’épuration DDoS basés sur le cloud est historiquement qualifié de WAAP, que le WAF soit un équipement matériel ou virtuel dans un centre de données, un cloud privé ou un cloud public. Cependant, le marché est à un point d’inflexion où de nombreuses organisations préféreront les plateformes WAAP basées sur le cloud, sous forme de sécurité en tant que service.
Plusieurs facteurs accroissent l’intérêt pour les plateformes WAAP basées sur le cloud :
- La nécessité d’une technologie spécialisée dans le bot management (gestion des robots) afin de prévenir la fraude et les abus
- Des contrôles de découverte et d’application des API qui peuvent atténuer les risques liés aux intégrations de tiers
- La maintenance continue des politiques via les API, les cadres de développement et les pipelines CI/CD
- Des protections automatisées et l’élimination des faux positifs grâce à l’IA assistée par l’humain
Les WAF basés sur des équipements, qui s’intègrent à des services de sécurité cloud axés sur les résultats commerciaux, resteront des options viables, voire privilégiées, dans les secteurs hautement réglementés tels que les services bancaires et financiers (BFSI).
Les solutions WAAP atténuent les risques de compromission, d’exfiltration de données, de prise de contrôle de comptes et d’interruption des applications en intégrant divers contrôles de sécurité pour protéger les applications, notamment :
- Pare-feu d’application Web (WAF)
- Bot Management
- Sécurité des API
- Atténuation des attaques de déni de service
Les solutions WAAP sont disponibles sous plusieurs formes :
- Équipements WAF physiques/virtuels qui s’intègrent aux services de sécurité cloud
- Instances WAF basées sur des microservices qui s’intègrent à des services de sécurité cloud
- Plateformes WAAP basées sur le cloud avec contrôles de sécurité WAF, Bot, API et DDoS intégrés
Les solutions WAAP comprennent également une sécurité côté client pour détecter les scripts malveillants et le skimming (comme les attaques de Magecart), des contrôles de sécurité pour empêcher les attaques par le biais d’agrégateurs malveillants, et une protection des comptes qui empêche la prise de contrôle par une fraude manuelle.
Les solutions Application Infrastructure Protection (AIP) renforcent la sécurité des applications et améliorent les mesures correctives grâce à la découverte dynamique des vulnérabilités et à la sécurisation des charges de travail cloud, ce qui empêche l’exploitation et l’abus de l’infrastructure sous-jacente grâce à l’intégration des contrôles WAAP.
F5 Distributed Cloud WAAP s’intègre nativement à n’importe quelle architecture, cloud et modèle d’exploitation. Cette solution offre ainsi aux équipes chargées de la sécurité et des risques une visibilité universelle et une application cohérente des politiques, afin de protéger les applications anciennes et modernes, du noyau au cloud et à la périphérie. Les solutions Distributed Cloud WAAP offrent flexibilité et choix en ce qui concerne les modèles de déploiement et d’exploitation.
Grâce à une observabilité inégalée, associée à un grand lac de données du monde réel et à des algorithmes d’apprentissage automatique, les clients de F5 peuvent adopter des services à valeur ajoutée (SVA) basés sur l’IA, comme l’Authentication Intelligence, qui optimise les transactions légitimes des clients en améliorant la personnalisation et en supprimant les frictions pour augmenter la rétention, la conversion et la fidélité.
Figure 3 : Plateforme de Web App and API Protection F5 Distributed Cloud Web
