Prévention · WAF + DDoS

Protection WAF & anti-DDoS. Le trafic malveillant bloqué en amont.

Déploiement complet de Cloudflare Pro + CrowdSec + règles WAF custom adaptées à votre stack. Les attaques sont filtrées avant d'atteindre votre serveur. Notre stack de référence, déployée chez tous nos clients récurrents.

SetupSur devis

Déploiement2 à 5 jours

StackCloudflare + CrowdSec

Demander un devis Voir la stack technique

═══ Cloudflare Pro (couche 1)

✓ Anti-DDoS L3/L4/L7 always-on

✓ WAF managed rules + custom rules

✓ Bot Fight Mode + Super Bot Fight

✓ Rate limiting par IP / pattern

✓ Page Rules + Workers (si besoin)

✓ TLS 1.3, HSTS, certificat auto

═══ CrowdSec (couche 2, IPS local)

→ Detection comportementale en temps réel

→ Blocklist communautaire mondiale

→ Bouncers nginx, Cloudflare, iptables

→ Scenarios custom adaptés à votre stack

═══ Résultat (cas client cigares)

2 847 tentatives bloquées/mois (WAF)

14 IPs bannies/mois (CrowdSec)

0 attaque ayant atteint le serveur en 14 mois

Le diagnostic

Trois signaux qu'il vous faut une protection WAF.

public

Aucun WAF actif aujourd'hui

Votre site est en accès direct, sans filtre. Tout le trafic suspect (scans, bots, tentatives d'injection) arrive sur votre serveur. Surface d'attaque maximale, charge serveur élevée pour rien.

bug_report

Cloudflare gratuit mais mal configuré

Cloudflare est actif mais en mode "Off" pour le WAF, sans rate limiting, sans Bot Fight Mode. La couche gratuite filtre uniquement les attaques massives évidentes. Le tuning custom fait toute la différence.

flash_on

Vous avez subi un pic de trafic suspect

Tentatives de brute force admin, scans massifs, défacement tenté, DDoS modeste qui a fait tomber le site quelques heures. Symptôme : vous êtes dans le radar des attaquants, pas dans leur blocklist.

Stack et méthode

Cloudflare + CrowdSec : deux couches complémentaires.

Cloudflare bloque à l'edge (avant que ça atteigne votre serveur). CrowdSec analyse les logs du serveur en temps réel pour ce qui passe à travers. Les deux ensemble = défense en profondeur.

Ce qu'on déploie

check_circleMigration DNS vers Cloudflare (avec votre approbation, sans interruption)
check_circleActivation Cloudflare Pro (~20 USD/mois, payé par vous directement)
check_circleConfiguration WAF managed rules + custom rules adaptées à votre stack
check_circleConfiguration Bot Fight Mode + Super Bot Fight (selon plan Cloudflare)
check_circleRate limiting par IP, par pattern URL, par endpoint sensible
check_circleInstallation CrowdSec sur serveur + bouncers (nginx ou Cloudflare)
check_circleScenarios CrowdSec custom (login brute force, scan ports, etc.)
check_circleDashboard de monitoring + alertes sur les 3 premiers mois

Méthodologie en 4 étapes

N°1

Audit de l'existant

État actuel : DNS, CDN, WAF, IPS. Identification des points d'amélioration et du plan de migration.

N°2

Migration DNS et Cloudflare

Migration progressive (subdomain par subdomain si critique), activation Cloudflare Pro, tuning des règles managed.

N°3

Règles WAF custom + CrowdSec

Écriture de règles WAF adaptées à votre stack (WordPress, WooCommerce, app custom), installation CrowdSec, bouncers configurés.

N°4

Tuning et passation

Période de tuning 2-4 semaines (faux positifs, ajustements). Documentation complète remise à votre équipe ou prestataire récurrent.

Suite logique

Combinez avec monitoring continu.

Protection continue

Maintenance WAF + monitoring 24/7 + alertes. La protection ne reste efficace que si elle est tenue à jour.

En savoir plus → public

Audit sécurité web

Avant de déployer le WAF, identifier les failles applicatives à corriger.

En savoir plus → dns

Audit serveur

WAF + serveur durci = défense en profondeur. Audit du serveur en complément.

En savoir plus →

Le trafic malveillant bloqué en amont

Cloudflare Pro + CrowdSec déployés en moins d'une semaine.

Devis personnalisé sous 48h après un appel de cadrage.

Réserver un appel de cadrage Audit urgence (post-incident)