WAAP
Qu'est-ce que WAAP ?
WAAPWAAP (Web Application and API Protection) est l'evolution moderne du WAF, ajoutant securite des API, gestion des bots et mitigation DDoS dans un service cloud unifie.
Web Application and API Protection (WAAP) est la categorie utilisee par Gartner pour les services cloud combinant les quatre piliers de la securite en bordure d'application : WAF, protection des API, gestion des bots et mitigation DDoS. Par rapport a un WAF traditionnel, un WAAP comprend les architectures modernes (JSON, GraphQL, microservices, clients mobiles) et traite les API comme des actifs de premier ordre : decouverte, validation de schema, detection d'abus. Les WAAP sont generalement livres par des fournisseurs CDN/edge (Cloudflare, Akamai, AWS, Fastly, Imperva), avec execution des politiques proche des utilisateurs et faible latence. Ils sont essentiels pour proteger les API publiques et SPA contre l'OWASP Top 10, l'OWASP API Top 10 et les attaques automatisees.
● Exemples
- 01
Un WAAP detecte une API interne oubliee et applique une validation de schema pour bloquer les abus de parametres.
- 02
Limiter et gerer les bots lors d'une vague de credential stuffing contre une API de login client.
● Questions fréquentes
Qu'est-ce que WAAP ?
WAAP (Web Application and API Protection) est l'evolution moderne du WAF, ajoutant securite des API, gestion des bots et mitigation DDoS dans un service cloud unifie. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie WAAP ?
WAAP (Web Application and API Protection) est l'evolution moderne du WAF, ajoutant securite des API, gestion des bots et mitigation DDoS dans un service cloud unifie.
Comment fonctionne WAAP ?
Web Application and API Protection (WAAP) est la categorie utilisee par Gartner pour les services cloud combinant les quatre piliers de la securite en bordure d'application : WAF, protection des API, gestion des bots et mitigation DDoS. Par rapport a un WAF traditionnel, un WAAP comprend les architectures modernes (JSON, GraphQL, microservices, clients mobiles) et traite les API comme des actifs de premier ordre : decouverte, validation de schema, detection d'abus. Les WAAP sont generalement livres par des fournisseurs CDN/edge (Cloudflare, Akamai, AWS, Fastly, Imperva), avec execution des politiques proche des utilisateurs et faible latence. Ils sont essentiels pour proteger les API publiques et SPA contre l'OWASP Top 10, l'OWASP API Top 10 et les attaques automatisees.
Comment se défendre contre WAAP ?
Les défenses contre WAAP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de WAAP ?
Noms alternatifs courants : Protection des applications web et des APIs, Cloud WAF/WAAP.
● Termes liés
- network-security№ 291
Mitigation DDoS
La mitigation DDoS regroupe les techniques et services qui absorbent, filtrent et reroutent les attaques par deni de service distribue avant qu'elles n'epuisent le reseau, l'infrastructure ou l'application visee.
- network-security№ 904
Rate Limiting
Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.
- network-security№ 118
Bot Management
Le bot management consiste a detecter le trafic automatise et a distinguer les bons bots des bots malveillants, puis a les autoriser, defier ou bloquer en consequence.
- network-security№ 151
Securite CDN
La securite CDN s'appuie sur le edge global d'un reseau de distribution de contenu — terminant TLS pres des utilisateurs — pour appliquer protection DDoS, WAF, gestion des bots et hygiene TLS.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
● Voir aussi
- № 969SASE