Le WAAP classique inspecte les payloads des requêtes HTTP contre des signatures d'attaque connues — SQL injection, XSS, command injection. Ce travail reste essentiel, et la majorité des attaques le rencontrent encore. Mais la surface d'attaque n'est plus limitée aux seuls payloads HTTP signés.
Les API publiques transportent un trafic qui ne ressemble pas à une requête de navigateur, et les règles WAAP classiques les manquent. Les bots automatisés émulent de vrais utilisateurs, contournent les contrôles de signatures et épuisent les identifiants à grande échelle. La prise de contrôle de compte se produit via des campagnes de credential stuffing qui frappent des endpoints de connexion valides avec un trafic d'apparence légitime. Le JavaScript tiers sur vos pages exfiltre les données de formulaire directement vers l'attaquant — et votre WAAP ne le voit jamais, car les données quittent le navigateur avant d'atteindre votre serveur.
La réponse du secteur est le WAAP — Web Application and API Protection — un terme générique unique qui ajoute la sécurité des API, la gestion des bots, la prévention de prise de contrôle de compte et la défense client-side par-dessus le WAAP. TR7 implémente ce terme générique en tant que plateforme unique, on-prem, attachée au même vService qui livre déjà votre application.
Chacun apporte de la valeur seul. Ensemble, ils redéfinissent ce qu'une plateforme de protection web et API doit être lorsqu'elle ne dépend pas du cloud d'un tiers.
La plupart des options WAAP modernes font transiter votre trafic par un edge cloud que vous n'exploitez pas. TR7 WAAP s'exécute sur votre hardware, dans votre data center, sous vos contrôles réseau. Aucune interception de trafic par un tiers, aucun déchiffrement de requêtes hors de votre périmètre, aucun edge multi-locataire partagé.
WAAP (OWASP Top 10 + signatures personnalisées + Virtual Patching), sécurité des API (découverte + API schema enforcement OpenAPI), gestion des bots, prévention de prise de contrôle de compte, protection L7 DDoS, défense client-side et Magecart. Une plateforme ; pas une suite d'appliances disparates.
10 000+ signatures actives mises à jour en continu. Couverture 10/10 OWASP Web Top 10 et 10/10 OWASP API Top 10. Chaque détection mappée nativement à 100+ codes CWE, 30+ patterns CAPEC et 30+ techniques MITRE ATT&CK — votre SOC et votre équipe conformité voient les événements WAAP dans la même taxonomie qu'ils utilisent déjà.
Le moteur de scoring comportemental à 11 facteurs s'adapte au trafic normal de votre application — empreintes TLS, IP reputation sur 23 catégories, rythme des requêtes, et plus encore. En complément : un moteur de règles content-aware qui peut appliquer un rate limit ou agir sur n'importe quel attribut du trafic, y compris les valeurs de corps JSON parsés, le contenu des headers ou des cookies — sans écrire une seule ligne de script.
Le DDoS volumétrique absorbé à la périphérie de votre réseau, les requêtes bloquées par le WAAP, les challenges bot et le trafic soumis à rate limit — rien de tout cela n'est comptabilisé dans votre compteur de bande passante. Plus votre WAAP travaille, plus le gap entre le débit et la bande passante facturable est important.
Chaque capacité ci-dessous est fournie dans le cadre de la plateforme WAAP et s'attache à vos vServices existants.
Couverture 10/10 sur le OWASP Web Application Top 10 et le OWASP API Security Top 10. SQL injection, XSS, command injection, CSRF, path traversal, broken object-level authorization et le reste — tous couverts par des signatures managées avec des mises à jour continues.
Ensemble de signatures mises à jour en continu couvrant les patterns d'attaque connus, les primitives d'exploitation et les CVE émergentes. Le Virtual Patching transforme un nouveau CVE en règle déployée en quelques heures, pas en semaines.
Chaque détection mappée à son code CWE (100+ codes), son pattern d'attaque CAPEC (30+ patterns) et sa technique MITRE ATT&CK (30+ techniques). Les investigations SOC, la corrélation SIEM et les rapports de conformité utilisent la même taxonomie que le reste de votre stack sécurité.
Ajoutez des signatures spécifiques à votre organisation, des règles d'exception et des Virtual Patches. Le ciblage des règles par vService garantit qu'une politique sur un service n'affecte pas un autre.
La découverte d'API expose les endpoints réellement en usage. L'API schema enforcement OpenAPI valide la méthode, le chemin, les paramètres et le corps par rapport au contrat. Rate limits et restrictions de méthodes par endpoint.
Le moteur de scoring pondéré à 11 facteurs analyse les empreintes TLS, l'IP reputation sur 23 catégories, le rythme des requêtes et leur forme. La baseline comportementale s'adapte au fil du temps au trafic normal de votre application, avec une courbe de scoring exponentielle calibrée pour un faible taux de faux positifs.
Rate limit, challenge ou blocage sur n'importe quel attribut du trafic — valeurs des headers, contenus des cookies, paramètres d'URL, et même les valeurs dans les corps de requêtes JSON parsés. Tout est configuré visuellement dans le même constructeur de règles utilisé ailleurs sur la plateforme. Aucun langage de scripting propriétaire.
Détecte les patterns de credential stuffing sur les endpoints de connexion. Reconnaît les tentatives distribuées low-and-slow, l'impossible travel et les taux anormaux de création de session que le rate limiting par IP unique manque.
HTTP flood, slow-loris et attaques volumétriques au niveau applicatif absorbées au niveau de la couche WAAP. Combinez avec la protection L4 DDoS de TR7 pour une couverture complète des vecteurs.
Surveille les scripts tiers chargés par vos pages. Détecte les modifications non autorisées de scripts, les patterns suspects d'exfiltration de données de formulaire et les attaques de skimming par supply chain que le WAAP côté serveur ne peut pas voir.
Les bases de données de signatures WAAP, les empreintes bot et les flux de réputation IP se mettent à jour en continu — aucun cycle de téléchargement manuel, aucune désynchronisation de version entre les sites.
La terminaison TLS prend en charge les suites de chiffrement post-quantiques aux côtés des suites classiques — prêt pour la migration sans refactorisation lorsque cela deviendra obligatoire.
Regroupez les services par locataire ou unité métier ; appliquez la politique au niveau du groupe. Un ensemble de règles pour le locataire corporate, un autre pour le locataire client, les deux sur une seule plateforme.
Pages de blocage brandées par politique. Affichez le bon message à la bonne requête bloquée ; servez une page de maintenance lorsqu'une attaque déclenche un verrouillage automatique.
Lorsque l'inspection des payloads ne suffit pas — la requête semble propre mais l'attaquant cible le DOM rendu par le navigateur — la couche d'isolation ZeroLeak rend l'application hors-appareil, de sorte qu'il n'y a rien sur la machine de l'utilisateur que l'attaquant pourrait exfiltrer.
Chaque décision WAAP — bloquée, challengée, autorisée — émet une télémétrie structurée. Investiguez n'importe quelle requête de bout en bout via la même console utilisée pour gérer le vService.
Six étapes bien définies. Chaque étape configurable par vService. Chaque étape visible sous forme de diagramme dans le Dynamic Flow Panel.
La requête atteint le listener vService. TLS se termine ici pour que les couches WAAP puissent inspecter le texte en clair. Chiffrements modernes, handshakes accélérés par hardware.
La protection L7 DDoS, les flux de réputation IP et la politique géographique s'exécutent avant l'inspection approfondie. Le trafic flood évident et les sources connues malveillantes sont abandonnés sans consommer le budget d'inspection.
Contrôles de signatures OWASP, règles personnalisées, détection d'attaques structurelles, validation de paramètres et d'arguments. La requête est scorée et décidée : autoriser, bloquer, Virtual Patch, ou passer à l'analyse comportementale.
Les signaux de signature et de comportement scorent la requête comme humain, bot connu ou automatisation inconnue. Atténuation par politique : autoriser, challenger, throttle, ou abandonner.
Pour les requêtes ciblant un endpoint API, le contrôle de schéma OpenAPI valide la méthode, le chemin, les paramètres et le corps par rapport au contrat. Les non-conformités déclenchent l'action configurée.
La décision est appliquée — passage au backend, retour d'une page de blocage, émission d'un challenge, ou rate limit. La chaîne de décision complète est journalisée pour l'investigation et la conformité.
La gestion des bots bloque le credential stuffing et les bots de carding lors des événements à fort trafic. Les règles WAAP arrêtent les attaques OWASP Top 10 ; la défense client-side empêche les skimmers de collecter les données de carte au moment du paiement.
Contrôles OWASP mandatés, prévention de prise de contrôle de compte sur les endpoints de connexion, protection des API pour les flux open banking, et journalisation prête pour l'audit à des fins de contrôle réglementaire.
Protection des données patient au niveau applicatif, le déploiement on-prem maintient les PHI à l'intérieur du périmètre hospitalier, validation de schéma sur les API du portail pour prévenir les fuites de données de type injection.
WAAP on-prem pour les services destinés aux citoyens où la résidence des données est non négociable. Couverture OWASP pour les frameworks de conformité, journalisation d'audit pour l'équipe des opérations sécurité.
Validation de schéma par rapport au contrat OpenAPI, rate limiting par endpoint, restrictions de méthode, validation de paramètres. Combiné avec la gestion des bots pour arrêter le scraping d'API et le credential stuffing.
Endpoints de connexion sous pression constante de credential stuffing. La détection ATO reconnaît les tentatives distribuées, l'impossible travel et les taux anormaux de création de session que le rate limiting par IP unique manque.
Capacités référencées par cette solution — les pièces techniques qui composent les contrôles décrits ci-dessus.
Complétez les attributs HttpOnly, Secure et SameSite manquants au niveau de la réponse — sans modification applicative requise.
L'inspection WAAP, l'identité mTLS et le masquage des données continuent de fonctionner même lorsque le trafic circule vers les backends via TLS.
Transformez les champs du corps JSON et le contenu JWT en signaux de première classe pour chaque décision de trafic.
Masquez, remplacez ou injectez du HTML dans le contenu de réponse — sans modifier une seule ligne de code backend.
Au lieu d'un blocage instantané, observez le comportement ; mettez la source qui dépasse le seuil en quarantaine pour une durée définie, puis relâchez-la automatiquement.
Un seul langage d'expression — trafic, santé, journalisation, GTM, sécurité et décisions d'accès dans le même modèle.
Visualisez le trafic de production requête par requête — transformez l'observation directement en règles.
30+ dimensions d'analyse, trois formats (PDF / XLSX / HTML), jusqu'à 10 ans d'historique sur appliance — sans serveur de gestion séparé.
3 000+ règles, taxonomie OWASP / API Top 10 / CWE, 14 axes de corrélation, rollups par host-group + cross-group.
Masquez les valeurs des cookies au client — protégez l'intégrité des sessions sans toucher au code backend.
Dépassez la ligne de headers — faites du contenu du corps une partie de la décision de trafic et de sécurité.
Faites évoluer TLS au-delà de la configuration basée sur des fichiers — transformez-le en profil de sécurité par service, en gestion du cycle de vie des certificats et en couche de préparation post-quantique.
Insérez TR7 ADC dans le chemin de trafic sans toucher aux adresses IP, gateways ou routes des backends.
Gérez FTP non pas comme un port ouvert, mais comme une session de transfert de fichiers sécurisée contrôlée commande par commande.
ADC, routage et sécurité L3/L4 depuis une console unique.
Combinez signature, score et contexte dans un seul moteur — gérez les attaques connues en toute confiance.
Génération, diffusion et vérification — tout à l'intérieur de l'ADC. Zéro appel vers un service cloud tiers.
Ajoutez votre propre logique WAAP aux côtés de l'ensemble de signatures intégré — même moteur de scoring, mêmes logs, même pipeline de politique.
Transformez le contexte pays et ASN en décisions d'accès — sans dépendance à des services externes.
Le flux central de TR7, les listes URL externes et vos propres exceptions convergent dans un moteur de réputation IP unique.
Collectez, classifiez, répliquez et transférez le trafic syslog UDP et TCP en amont de votre SIEM.
Accélérez le trafic DNS d'entreprise et bloquez les requêtes malveillantes — dans une seule couche.
Pas seulement une liste IP — véritable intelligence de trafic sur plus de 60 critères, groupes AND/OR/NOT et chaînes de Smart Functions.
Combler une vulnérabilité au niveau de la couche de trafic en quelques minutes — sans modification de code requise.
Ne traitez pas le trafic GraphQL comme un simple corps POST — détectez les patterns d'introspection, de DoS imbriqué et de query batching à l'intérieur de votre WAAP.
Appliquez 8 en-têtes de sécurité au niveau de la couche ADC sans toucher au code applicatif.
À la place d'un générique « accès refusé », offrez une expérience de blocage contrôlée portant la marque, la langue et le code de raison.
Demandez une démo en direct de TR7 WAAP. Nous configurerons le WAAP, la sécurité des API, la gestion des bots et la défense client-side sur votre environnement en une seule session.