Une application interne datant de 2012 calcule encore un chiffre sur lequel repose l'activité. Son code est en HTTP en clair, son modèle de session repose sur les cookies, son authentification est un formulaire qui poste vers une stored procedure. Rien de dangereux encore — mais chaque évaluation externe, chaque audit et chaque scan de sécurité signale désormais cette application. La réécrire prend une année à une équipe, et cette équipe n'est pas disponible. La migrer vers un cloud public revient déjà à réécrire le modèle de déploiement, plus un nouveau fournisseur et une nouvelle facture. Résultat : l'application continue de tourner, l'écart se creuse.
La troisième voie, celle que la plupart des équipes opérationnelles veulent vraiment : laissez l'application où elle est et placez devant elle une couche moderne et programmable. Terminaison SSL et chiffrements à jour à la périphérie. Un WAAP qui comprend la sémantique HTTP. Remplacer le login par formulaire par un SSO moderne sans changer une ligne de code de l'application. RDP et SSH sans client pour l'administrateur qui maintient encore l'application. Des listeners multi-protocoles pour les parties héritées qui ne sont même pas en HTTP.
TR7 est fait pour cette voie. La même plateforme de livraison et de protection qui exécute vos services modernes devient la couche moderne devant les services hérités — sur le réseau que vous exploitez déjà, sous la piste d'audit que vous tenez déjà.
Chacune compte seule. Toutes ensemble, elles décrivent à quoi ressemble la couche de modernisation lorsqu'elle reste dans votre réseau et sur une seule plateforme.
Définissez un vService devant le backend hérité. Terminaison SSL avec chiffrements modernes à la périphérie. Inspection WAAP sur la requête entrante. Contrôles de santé, limites de débit et règles content-aware appliqués à un service qui n'a en réalité été conçu pour aucun d'eux. L'application héritée continue de parler HTTP en clair derrière TR7 — le listener externe, lui, parle 2026.
La plupart des applications héritées s'authentifient via un formulaire qui poste vers une base de données, un header auquel le framework fait confiance ou un HTTP basic. Le mode Per-Service Authentication de TR7 AAM remplace cette interaction. Les utilisateurs se connectent une fois via OIDC, SAML ou votre IdP existant. TR7 injecte ensuite l'artefact d'authentification hérité — header, cookie ou basic — vers le backend, exactement dans le format que l'application attend. Aucun changement de code dans l'application.
L'équipe qui maintient encore l'application héritée utilise souvent un client RDP lourd ou un outil SSH/VNC séparé. TR7 ouvre ces cibles via le navigateur — aucune installation de client, aucun tunnel VPN sur la machine de l'opérateur. Chaque session est tunnelisée et enregistrée au niveau commande ; une seule révocation met fin à toutes les sessions actives.
Un inventaire d'applications héritées contient plus que du HTTP. Des transferts FTP entre partenaires. Des protocoles industriels basés sur UDP. Des services TCP bruts. La diffusion de fichiers statiques pour du contenu archivé. TR7 les couvre sur le même moteur qui protège le front HTTP — des listeners dédiés pour FTP relay, UDP proxy, TCP passthrough et contenu statique. Aucun appareil séparé, aucun modèle de sécurité parallèle.
Les applications héritées ont souvent besoin de correctifs chirurgicaux qui ne méritent pas un changement de code : une URL au contenu mixte dans un corps de réponse, un header de sécurité manquant, un nom de champ de formulaire à traduire, un cookie auquel ajouter le flag secure. Les règles content-aware de TR7 modifient les réponses, injectent des headers et corrigent les formulaires — dans le constructeur de politiques visuel. Aucun langage de script propriétaire, aucun cycle de build. L'application héritée reste en ligne ; le comportement moderne se produit devant elle.
Chaque capacité ci-dessous fonctionne sur la même plateforme qui livre et protège vos services modernes.
Chiffrements modernes, certificats à jour et OCSP stapling devant une application qui parle encore HTTP en clair ou un TLS faible. Le chiffrement hérité cesse d'être un sujet exposé à internet pour devenir une affaire de backend.
Inspectez chaque requête avant qu'elle n'atteigne un backend écrit quand les attaques par injection n'étaient pas encore une catégorie. Signatures plus scoring, conscience complète de la sémantique HTTP, règles content-aware pour les comportements propres aux stacks hérités.
Le mode Per-Service Authentication d'AAM remplace le flux de login hérité par OIDC ou SAML via votre IdP. TR7 transmet ensuite à l'application l'artefact qu'elle attend — header, cookie ou basic auth — comme si l'utilisateur s'était connecté à l'ancienne manière.
Appliquez l'authentification multifacteur à la couche d'accès. L'application héritée ne sait pas — et n'a pas besoin de savoir — que l'utilisateur a déjà passé l'invite MFA.
RDP, SSH et VNC via le navigateur. L'équipe de maintenance accède à la machine via TR7 ; l'opérateur n'a pas besoin d'installer de client sur son portable. Enregistrement au niveau commande sur SSH ; couvre la session de l'opérateur de bout en bout.
Sondes de santé actives et passives pour des backends qui n'ont jamais été préparés à de tels contrôles. Les nœuds défaillants sortent de la rotation ; l'application héritée n'a pas besoin de savoir qu'une notion de zone de disponibilité existe.
Limites de débit par chemin, traffic shaping conditionnel et modifications de requête/réponse sans scripting. Corrigez un header malformé, ajoutez un header de sécurité que le framework n'a jamais défini, limitez un endpoint bruyant — dans le constructeur de règles visuel.
Les clients externes se connectent à TR7. L'application héritée n'est pas accessible directement. Scans de découverte, balayage de ports et tentatives pré-authentification s'arrêtent à la couche moderne ; la surface d'attaque n'est plus le code hérité.
Journaux d'accès, statistiques de trafic, taux d'erreur, histogrammes de latence et événements de sécurité — pour une application qui n'en produit elle-même aucun. Le service hérité devient observable depuis le front sans aucun changement en backend.
FTP relay pour le transfert de données avec les partenaires. UDP proxy pour la télémétrie industrielle. TCP passthrough pour les protocoles propriétaires. Diffusion de contenu statique pour le contenu archivé. Une seule plateforme, un seul panneau d'opérateur.
ADC, WAAP et AAM fonctionnent sur le même moteur et partagent une seule licence de bande passante. Placer une couche moderne devant une application héritée ne nécessite ni module d'accès, ni module WAAP, ni module de gateway licencié séparément.
La couche moderne fonctionne sur votre propre hardware, dans votre propre data center et sous votre propre piste d'audit. Décisions d'identité, trafic de session et événements de sécurité restent là où l'application héritée vit déjà.
Chaque couche ajoute une pièce à la posture moderne. Toutes ensemble, un objet de configuration remplace un projet de réécriture de plusieurs années.
TR7 ADC se place devant le backend hérité. Terminaison SSL à la périphérie, chiffrements modernes, certificats à jour, contrôles de santé et répartition de charge sur le nombre de nœuds hérités existants, quel qu'il soit. Le listener externe parle un TLS à jour ; le backend hérité continue de parler ce qu'il parle.
TR7 WAAP inspecte chaque requête avant qu'elle n'atteigne un backend non conçu pour du trafic hostile. Signatures OWASP, détection signature-plus-scoring, règles content-aware pour les comportements de stacks hérités, protection DDoS en L4 et L7.
TR7 AAM Per-Service Authentication remplace le flux de login hérité. Les utilisateurs s'authentifient via OIDC ou SAML par l'IdP ; le MFA est appliqué à la périphérie. TR7 injecte ensuite vers le backend l'artefact que l'application héritée attend — header, cookie ou basic.
RDP, SSH et VNC sans client pour l'équipe qui maintient l'application héritée. Accès uniquement via le navigateur, enregistrement au niveau commande, révocation en un clic. Aucun client à installer sur l'appareil de l'opérateur pour accéder à un serveur vieux de 12 ans.
Lorsque l'inventaire hérité contient du FTP, de la télémétrie UDP, des services TCP propriétaires ou de l'hébergement d'archives statiques, la même plateforme les couvre avec des listeners dédiés. Aucun appareil séparé, aucun panneau d'opérateur séparé, aucune piste d'audit séparée.
Chaque pièce de la couche de modernisation se configure comme un vService. Le même objet de configuration qui livre votre API moderne livre aussi l'application héritée à base de formulaire. Mêmes compétences d'opérateur, même observabilité, même piste d'audit.
Applications HTTP de back-office écrites quand les modèles de menace modernes n'existaient pas encore. TR7 les enveloppe de WAAP, SSO moderne et MFA sans toucher à leur code. Des journaux prêts pour l'audit devant une application qui ne produit elle-même aucun log.
Plateformes cliniques fournies par un éditeur que le client ne peut pas modifier. TR7 place une couche moderne de sécurité et d'accès devant elles ; satisfait les exigences de conformité et d'audit sans toucher au cycle de versions de l'éditeur.
Télémétrie industrielle sur UDP, données de partenaires sur FTP, accès de supervision sur RDP. Une seule instance TR7 les couvre toutes — sécurité moderne et observabilité pour des protocoles qui n'ont jamais eu ni l'une ni l'autre.
Applications départementales accumulées sur une décennie. TR7 les frontalise avec un SSO moderne via l'IdP de l'établissement, remplace l'exposition directe à internet par un accès identity-aware et donne à l'équipe sécurité une observabilité sur la longue traîne.
Applications internes qui ne peuvent pas quitter le réseau et ne peuvent pas être réécrites dans le calendrier exigé par une nouvelle réglementation. TR7 place la couche de conformité moderne — SSL, WAAP, SSO moderne, journaux prêts pour l'audit — devant elles, en on-prem.
Back-office de POS, intégration de chaîne d'approvisionnement et portails partenaires avec leur propre calendrier de versions éditeur. TR7 modernise la posture de sécurité et d'accès devant eux sans attendre l'éditeur.
Capacités référencées par cette solution — les pièces techniques qui composent les contrôles décrits ci-dessus.
Gérez l'accès VPN non pas comme une exception réseau distincte, mais comme partie intégrante de la politique d'identité et de confiance des appareils AAM.
Accès depuis le navigateur à RDP, VNC, SSH, Kubernetes et aux systèmes legacy — coffre-fort d'identifiants, enregistrement et watermark intégrés.
Gérez les transitions HTTP→HTTPS, les migrations de domaines, les déplacements de chemins et les redirections d'erreur sans toucher au code applicatif.
Changez le chemin, pas le backend — le client conserve son URL pendant qu'une nouvelle architecture tourne en interne.
Écrivez des règles visuellement, obtenez un comportement de trafic compilé — gérez le flux des requêtes et des réponses sans scripting.
Dépassez la ligne de headers — faites du contenu du corps une partie de la décision de trafic et de sécurité.
Insérez TR7 ADC dans le chemin de trafic sans toucher aux adresses IP, gateways ou routes des backends.
Connectez les services sans fusionner les réseaux — gérez les plans IP chevauchants et l'isolation des tenants avec un seul modèle vService.
Gérez FTP non pas comme un port ouvert, mais comme une session de transfert de fichiers sécurisée contrôlée commande par commande.
Du pool NTP externe vers l'infrastructure interne ; une source de temps centrale, contrôlée et isolée.
Collectez, classifiez, répliquez et transférez le trafic syslog UDP et TCP en amont de votre SIEM.
Un seul TR7. Plusieurs tenants. Frontières de ressources, de réseau et d'opérations séparées les unes des autres.
Combler une vulnérabilité au niveau de la couche de trafic en quelques minutes — sans modification de code requise.
Authentification moderne en amont, identité injectée en aval sous forme d'en-tête, d'Authorization ou de cookie — les applications legacy restent legacy.
Apportez une vraie application héritée à une démo TR7 ; nous montrerons comment la couche de modernisation s'élève devant elle — terminaison SSL, inspection WAAP, SSO moderne et observabilité — sans toucher une seule ligne de son code.