Prévention · WAF + DDoS

Protection WAF & anti-DDoS. Le trafic malveillant bloqué en amont.

Déploiement complet d'un WAF managé en edge + IPS comportemental côté serveur + règles WAF custom adaptées à votre stack. Les attaques sont filtrées avant d'atteindre votre serveur. Notre méthode de référence, déployée chez tous nos clients récurrents.

SetupDès 1 800 CHF
Récurrent~80 CHF/mois
Déploiement2 à 5 jours
StackWAF edge + IPS serveur
Le diagnostic

Trois signaux qu'il vous faut une protection WAF.

public

Aucun WAF actif aujourd'hui

Votre site est en accès direct, sans filtre. Tout le trafic suspect (scans, bots, tentatives d'injection) arrive sur votre serveur. Surface d'attaque maximale, charge serveur élevée pour rien.

bug_report

Un WAF en place mais mal configuré

Un service edge est actif, mais le WAF est en mode "Off", sans rate limiting, sans filtrage bots. La couche par défaut ne bloque que les attaques massives évidentes. Le tuning custom fait toute la différence.

flash_on

Vous avez subi un pic de trafic suspect

Tentatives de brute force admin, scans massifs, défacement tenté, DDoS modeste qui a fait tomber le site quelques heures. Symptôme : vous êtes dans le radar des attaquants, pas dans leur blocklist.

Data center avec baies serveurs protégées par un WAF edge et un IPS comportemental en frontal
Stack et méthode

WAF edge + IPS serveur : deux couches complémentaires.

Le WAF managé bloque à l'edge (avant que ça atteigne votre serveur). L'IPS comportemental analyse les logs du serveur en temps réel pour ce qui passe à travers. Les deux ensemble = défense en profondeur.

Ce qu'on déploie

  • check_circleBascule du trafic via le WAF edge (avec votre approbation, sans interruption)
  • check_circleActivation du WAF managé en edge (licence éditeur facturée séparément selon l'outil retenu)
  • check_circleConfiguration WAF managed rules + custom rules adaptées à votre stack
  • check_circleConfiguration du filtrage bots avancé (selon l'outil retenu)
  • check_circleRate limiting par IP, par pattern URL, par endpoint sensible
  • check_circleInstallation de l'IPS comportemental sur serveur + agents de blocage (nginx, apache, edge)
  • check_circleScenarios IPS custom (login brute force, scan ports, etc.)
  • check_circleDashboard de monitoring + alertes sur les 3 premiers mois

Méthodologie en 4 étapes

N°1

Audit de l'existant

État actuel : DNS, CDN, WAF, IPS. Identification des points d'amélioration et du plan de migration.

N°2

Bascule du trafic via le WAF edge

Migration progressive (subdomain par subdomain si critique), activation du WAF managé, tuning des règles managed.

N°3

Règles WAF custom + IPS serveur

Écriture de règles WAF adaptées à votre stack (WordPress, WooCommerce, app custom), installation de l'IPS comportemental, agents de blocage configurés.

N°4

Tuning et passation

Période de tuning 2-4 semaines (faux positifs, ajustements). Documentation complète remise à votre équipe ou prestataire récurrent.

Suite logique

Combinez avec monitoring continu.

Questions fréquentes

Ce qu'on nous demande avant déploiement.

Faut-il déléguer le DNS au WAF edge ? Si non, quelles options ?
La bascule DNS complète vers le WAF edge est la config standard (proxy intégral). Si vous ne pouvez pas migrer (contraintes politiques ou DNSSEC custom), options alternatives : intégration en CNAME, ou architecture edge alternative chez un autre fournisseur. Compter +40% sur le setup pour une stack alternative.
WAF custom rules adaptées à mon CMS ?
Oui. Règles personnalisées par CMS : WordPress (xmlrpc, wp-admin, wp-login bruteforce, wp-config.php access), Drupal (CVE Drupalgeddon family), Magento (admin path, downloader), Laravel (.env access, debug routes), Symfony (config exposure). Plus 10 à 15 règles génériques anti-injection et anti-upload.
L'IPS serveur fonctionne-t-il sur VPS partagé ou mutualisé ?
L'IPS comportemental nécessite un accès root (iptables/nftables). Sur mutualisé : impossible. Sur VPS standard (Hetzner, OVH, Infomaniak, Hostpoint) : oui. On déploie l'agent de blocage adapté à votre stack (nginx, apache, traefik, caddy). Avec le WAF edge seul (sans IPS côté serveur) : protection L7 OK, mais on rate les attaques contournant le proxy.
Impact performance et latence ?
Le CDN du WAF edge améliore la latence pour 80% des visiteurs (POP géographiquement proches). L'IPS local : +1 à 3 ms par requête (vérification IP en mémoire). WAF rules custom : +0.5 à 2 ms selon complexité. Total : amélioration nette de la latence pour la majorité des sites.
Mode bypass urgence si l'edge est défaillant ?
Documenté dans le runbook livré. Bascule DNS manuelle vers IP origine (TTL bas configuré pour permettre <60min). Procédure documentée, checklist, rôles définis. Test bi-annuel obligatoire pour les clients récurrents.
DNS compatible WAF edge ?

Appel de cadrage offert (30 min).

Un de nos engineers regarde votre setup actuel (hébergeur, DNS, CMS, certificats), vérifie la compatibilité avec le WAF edge et l'IPS serveur, et chiffre le déploiement. Sans engagement.

Réserver un appel de cadrage
Filtrage couches réseau, ports et flux entrants analysés par les règles WAF edge et l'IPS comportemental
Le trafic malveillant bloqué en amont

WAF edge + IPS serveur déployés en moins d'une semaine.

Devis personnalisé sous 48h après un appel de cadrage.