ARTICLE
Guide d’achat WAAP
Les menaces invisibles sont devenues beaucoup moins menaçantes
CONTENU CONNEXE
Livre électronique — Guide d’achat de la protection des applications Web et des API (WAAP) ›
Découvrez comment une protection efficace et facile à mettre en œuvre des applications Web et des API permet de préserver l’agilité de l’entreprise et l’expérience client pour faire passer la perspective de la sécurité d’un centre de coûts à un différenciateur numérique.
INTRODUCTION
Les nouvelles architectures informatiques décentralisées basées sur les clouds, les conteneurs et les API alimentent une nouvelle génération dʼinnovation numérique. Cependant, ces environnements dynamiques et distribués élargissent également la surface des menaces et augmentent les possibilités de compromission, de temps dʼarrêt et dʼabus qui mènent à la fraude. Découvrez comment des solutions de sécurité efficaces protègent les applications anciennes et modernes contre les exploits et les abus tout en réduisant la complexité opérationnelle et en optimisant lʼexpérience client.
Comment en sommes-nous arrivés à la protection des applications Web et des API (WAAP) ?
Le marché de la sécurité des applications Web a évolué pour suivre le rythme de la nouvelle économie numérique. Si le pare-feu dʼapplications Web (WAF) sʼest révélé être un outil efficace pour atténuer les vulnérabilités des applications, la prolifération des API et lʼamélioration de la sophistication des attaquants ont entraîné une convergence du WAF, de la sécurité des API, de la défense contre les robots et de la prévention DDoS dans les solutions WAAP afin de protéger les applications contre la compromission, les temps dʼarrêt et la fraude.
Un paysage numérique hautement concurrentiel a conduit les organisations à adopter le développement de logiciels modernes pour prendre de lʼavance sur le marché, ce qui se traduit par des cycles de publication rapides pour introduire de nouvelles fonctionnalités et un mélange dʼintégrations, dʼinterfaces utilisateur frontales et dʼAPI dorsales. Bien que lʼexistence dʼun panier dʼachat ou dʼun programme de fidélisation ne constitue pas une faiblesse ou un défaut, les points de terminaison qui facilitent le commerce et lʼengagement des clients sont une cible de choix pour les attaquants, ce qui exige que toutes les interactions avec lʼutilisateur et la logique commerciale soient protégées contre les vulnérabilités logicielles ainsi que les vulnérabilités inhérentes qui exploitent les fonctions de connexion, de création de compte et dʼajout au panier.
Aujourdʼhui, les clients ont un choix sans précédent et une faible tolérance pour les mauvaises expériences. Tout incident de sécurité ou toute friction lors dʼune transaction peut entraîner une perte de revenus, voire lʼabandon de la marque.
La nouvelle économie numérique exige donc une nouvelle ère en matière de sécurité des applications web pour libérer lʼinnovation en toute sécurité, gérer efficacement les risques et réduire la complexité opérationnelle.
Pourquoi cette impérieuse nécessité de WAAP ?
Lʼinnovation et lʼadoption généralisée du cloud ont donné lieu à une multitude dʼarchitectures et dʼinterdépendances entre les composants applicatifs. Les piles web traditionnelles à trois niveaux et les anciennes applications sont en cours de modernisation, voire de remplacement, par des applications modernes qui tirent parti dʼune architecture décentralisée telle que les conteneurs et les microservices pour faciliter la communication entre API. Les boîtes à outils « natives » et la continuité des activités ont favorisé lʼadoption de clouds multiples. Des applications mobiles facilement accessibles et des intégrations dʼAPI qui accélèrent la mise sur le marché sont essentielles pour conserver un avantage concurrentiel sur un marché défini par une innovation numérique continue.
La décentralisation de lʼarchitecture, le développement agile de logiciels et les intégrations tierces ont accru la surface des menaces et introduit des risques inconnus, ce qui nécessite de se concentrer à nouveau sur les principes de Shift Left tels que la modélisation des menaces et la garantie que la politique de sécurité et de contrôle dʼaccès peut être déployée et maintenue de manière cohérente dans toutes les architectures. En plus dʼatténuer les exploits et les erreurs de configuration, lʼInfoSec doit maintenant protéger ses pipelines CI/CD, sécuriser les composants open source et défendre ses applications contre les attaques automatisées qui abusent de la logique métier.
Croissance de la clientèle et des revenus
Les organisations qui offrent systématiquement des expériences numériques sécurisées verront leur clientèle et leurs revenus augmenter.
Avantage concurrentiel
Les incidents de cybersécurité et la friction des clients sont les plus grands risques pour le succès numérique et lʼavantage concurrentiel.
Surface de menace élargie
La prolifération des architectures et les interdépendances ont considérablement élargi la surface de la menace pour les attaquants sophistiqués.
Quʼest-ce qui fait un bon WAAP ?
En raison de la complexité de la sécurisation des applications Web et des API contre une attaque constante dʼexploits et dʼabus, les plateformes WAAP en tant que service dans le nuage gagnent en popularité. Ces plateformes sont issues dʼune variété de fournisseurs, y compris les opérateurs historiques de CDN, les pionniers de la livraison dʼapplications et les fournisseurs de sécurité qui se sont étendus aux marchés adjacents par le biais dʼacquisitions. |
Lʼefficacité et la facilité dʼutilisation sont souvent citées comme des critères dʼachat essentiels pour le WAAP, mais elles sont subjectives et difficiles à vérifier lors de la sélection des fournisseurs.
Une approche plus pratique consiste à définir et à regrouper les propositions de valeur du WAAP en critères de base, en capacités de liste restreinte et en différenciateurs pour aider les organisations à faire le choix le plus éclairé.
| Critères de base | Capacités de liste restreinte | Différenciateurs |
|---|---|---|
| Provisionnement facile et suivi à faible maintenance |
Modèle de sécurité positive avec apprentissage automatique
|
Visibilité et sécurité cohérente sur lʼensemble des applications et des API |
Analyse complète de la sécurité
|
Analyse comportementale et détection des anomalies | Taux de détection maximal (efficacité) |
| Sophistication au-delà des signatures, des règles, de la réputation |
Contre-mesure dʼévasion
|
Taux minimal de faux positifs |
| Découverte des API et application des politiques |
Remédiation des faux positifs |
Une protection transparente qui réduit la friction CX
|
| Protection évolutive contre les robots et les attaques DDoS |
Intégration avec les écosystèmes de sécurité et les outils DevOps |
Facile à utiliser, à exploiter et à intégrer
|
Quʼest-ce qui fait le meilleur WAAP ?
Le meilleur WAAP aide les organisations à améliorer leur posture de sécurité sans ralentir leurs activités, à atténuer les compromissions sans friction ou faux positifs excessifs, et à réduire la complexité opérationnelle pour offrir des expériences numériques sécurisées à lʼéchelle. Améliorer la posture de sécurité sans ralentir les activités
Atténuer les compromissions avec un minimum de friction et de faux positifs
Réduire la complexité opérationnelle
|
Le meilleur WAAP assure une sécurité efficace et facile à mettre en œuvre sur une plateforme distribuée. |
| Sécurité efficace | Plateforme distribuée | Facile à utiliser |
|---|---|---|
| Atténuation en temps réel |
Visibilité à travers les clouds et les architectures
|
Déploiement libre-service |
Analyse rétrospective
|
Sécurité auto-adaptative
|
|
| Faible friction |
Application des politiques cohérente
|
Tableaux de bord complets |
| Faible taux de faux positifs |
Analyses contextuelles détaillées
|
Lʼavantage de F5 WAAP
F5 WAAP sʼadapte à lʼévolution des applications et des attaquants pour sécuriser les expériences des clients dans la nouvelle économie numérique. |
Atténuation en temps réel
Une sécurité robuste, des renseignements sur les menaces et la détection des anomalies protègent toutes les applications et les API contre les exploits, les robots et les abus, afin dʼéviter les compromissions, les ATO et les fraudes en temps réel. |
Analyse rétrospective
Des informations corrélées sur plusieurs vecteurs et une évaluation basée sur le ML des événements de sécurité, des échecs de connexion, des déclencheurs de politique et de lʼanalyse comportementale permettent un auto-apprentissage continu. |
Protection automatisée
La découverte dynamique et la définition de politiques de base permettent lʼatténuation automatique, le réglage et la correction des faux positifs tout au long du cycle de développement/déploiement et au-delà. |
Sécurité adaptative
Les contre-mesures de sécurité autonomes qui réagissent au fur et à mesure que les attaquants se réoutillent, trompent et condamnent les mauvais acteurs sans sʼappuyer sur des mesures dʼatténuation qui perturbent lʼexpérience du client. |
Plateforme distribuée
La politique déclarative fait abstraction de lʼinfrastructure sous-jacente pour éviter les erreurs de configuration et déploie la sécurité à la demande, selon les besoins, pour une protection cohérente de lʼapplication à la périphérie. |
Intégration d’écosystèmes
Un déploiement et une maintenance pilotés par API qui sʼintègrent facilement dans des cadres de développement plus larges, des pipelines CI/CD et des systèmes de gestion des événements.
Exemple d’attaque par bourrage d’identifiants |
| Condition | Identification |
|---|---|
Abus
|
Détection des anomalies
|
Intention
|
Analyse comportementale
|
Origine
|
Étape 1 ML
|
Évasion
|
Étape 2 ML
|
Livre de jeu du bourrage d’identifiants
