Publié le 16 mars 2026
WAF, WAAP : deux acronymes proches, deux réalités différentes. Le WAF protège les applications web depuis plus de 20 ans. Le WAAP promet d'aller plus loin en couvrant aussi les API, les bots et les attaques DDoS applicatives. Mais qu'est-ce qui change concrètement, et quand faut-il passer de l'un à l'autre ?
Un WAF (Web Application Firewall) est un équipement — physique, virtuel ou cloud — positionné en frontal de vos applications web. Son rôle : inspecter le trafic HTTP/HTTPS entrant et bloquer les requêtes malveillantes avant qu'elles n'atteignent l'application.
Le WAF fonctionne principalement sur deux mécanismes :
Un WAF bien configuré bloque efficacement les attaques web classiques du top 10 OWASP : injections, XSS, CSRF, inclusions de fichiers, etc. C'est un outil mature, éprouvé et indispensable.
Le WAF traditionnel a été conçu pour le trafic HTTP classique (pages web, formulaires, cookies). Il n'a pas été pensé pour les API REST/GraphQL, les bots sophistiqués, les attaques DDoS au niveau applicatif, ni pour les protocoles comme WebSocket. Ces lacunes sont précisément ce qui a motivé l'émergence du WAAP.
Le WAAP (Web Application and API Protection) est un terme introduit par Gartner pour désigner l'évolution naturelle du WAF. Ce n'est pas un produit fondamentalement différent — c'est un WAF étendu qui intègre des capacités supplémentaires dans une plateforme unifiée.
Un WAAP couvre typiquement quatre piliers :
Tout ce que fait déjà un WAF : détection des injections, XSS, CSRF, etc. C'est le socle, toujours présent.
Les API sont devenues le vecteur principal d'échange de données entre applications. Un WAAP sait inspecter le trafic API (REST, GraphQL, gRPC), valider les schémas de requêtes, détecter les abus d'usage et bloquer les tentatives d'exfiltration de données via API. Un WAF classique voit ce trafic comme du HTTP standard sans en comprendre la sémantique.
Les bots représentent une part croissante du trafic web. Certains sont légitimes (moteurs de recherche), d'autres malveillants (scraping, credential stuffing, scalping). Un WAAP intègre des mécanismes de détection et de classification des bots — fingerprinting, analyse comportementale, challenges JavaScript — qui vont au-delà des simples signatures du WAF.
Les attaques DDoS au niveau applicatif (couche 7) sont plus subtiles que les attaques volumétriques : elles visent à épuiser les ressources de l'application avec des requêtes apparemment légitimes. Le WAAP intègre du rate limiting intelligent, de la détection d'anomalies et des mécanismes de mitigation spécifiques à ce type d'attaque.
| Capacité | WAF | WAAP |
|---|---|---|
| Protection web (OWASP Top 10) | ✅ Oui | ✅ Oui |
| Signatures et règles personnalisées | ✅ Oui | ✅ Oui |
| Inspection du trafic API (REST, GraphQL) | ❌ Limité | ✅ Oui |
| Validation de schéma API | ❌ Non | ✅ Oui |
| Détection et gestion des bots | ❌ Basique | ✅ Avancé |
| Protection DDoS couche 7 | ❌ Limité | ✅ Oui |
| Support WebSocket | ⚠️ Variable | ✅ Natif |
| Analyse comportementale | ❌ Non | ✅ Oui |
| Maturité et retour d'expérience | ✅ 20+ ans | ⚠️ Plus récent |
| Complexité de configuration | Modérée | Élevée |
Le WAF reste un outil pertinent pour beaucoup d'environnements, mais ses limites deviennent de plus en plus visibles à mesure que les architectures applicatives évoluent :
Les API sont le nouveau périmètre. Si votre application expose des API — et en 2026, c'est presque systématiquement le cas — un WAF classique ne voit que du HTTP. Il ne comprend pas la structure d'une requête API, ne peut pas valider un schéma OpenAPI, et ne détecte pas un abus d'usage (un attaquant qui appelle une API légitime 10 000 fois pour exfiltrer des données).
Les bots sont de plus en plus sophistiqués. Les bots modernes utilisent des navigateurs headless, rotent leurs IP, simulent des comportements humains. Un WAF qui se base sur des signatures ou des listes d'IP ne les détecte plus.
Le support des protocoles modernes est inégal. Comme on l'a vu dans notre étude de cas sur le troubleshooting WAF, le support de WebSocket ou de HTTP/2 n'est pas toujours natif ou correctement implémenté dans les WAF traditionnels. Ça peut provoquer des dysfonctionnements applicatifs difficiles à diagnostiquer.
Les faux positifs restent un problème majeur. Un WAF basé sur des signatures génère inévitablement des faux positifs — des requêtes légitimes bloquées parce qu'elles ressemblent à une attaque. Le tuning des règles est un travail continu et chronophage. Les WAAP avec analyse comportementale réduisent ce problème, mais ne l'éliminent pas.
Le passage au WAAP n'est pas toujours nécessaire. Voici les situations où il devient pertinent :
La majorité des entreprises qu'on accompagne se situent dans un entre-deux : un WAF en place qui fait le travail sur le web classique, mais des angles morts sur les API et les bots. Le passage au WAAP se fait souvent progressivement — en activant d'abord les fonctions de protection API, puis la gestion des bots — plutôt que par un remplacement brutal.
Piège n°1 — Penser que le WAAP est "plug and play". Un WAAP est plus puissant qu'un WAF, mais aussi plus complexe à configurer. Les fonctions de protection API nécessitent de fournir les schémas d'API, les règles anti-bot nécessitent du tuning, et la protection DDoS couche 7 demande de définir des seuils adaptés à votre trafic légitime. Sans accompagnement, un WAAP mal configuré peut être pire qu'un WAF bien réglé.
Piège n°2 — Confondre le marketing et la réalité. Beaucoup d'éditeurs de WAF traditionnels ont renommé leur produit en "WAAP" en ajoutant quelques fonctions. Vérifiez les capacités réelles : un vrai WAAP doit offrir une inspection API native (pas juste du filtrage HTTP sur des endpoints API), une gestion des bots avec analyse comportementale (pas juste des listes d'IP), et une protection DDoS L7 avec rate limiting intelligent.
Piège n°3 — Négliger les faux positifs. Que ce soit un WAF ou un WAAP, la phase de tuning est critique. Mettre un équipement en production en mode "bloquer tout ce qui est suspect" sans période d'observation, c'est garantir des interruptions de service pour les utilisateurs légitimes. On l'a vu concrètement avec des mises à jour qui bloquent 100% des connexions.
Piège n°4 — Oublier la maintenance. Un WAF/WAAP n'est pas un équipement qu'on installe et qu'on oublie. Les signatures doivent être mises à jour, les règles ajustées quand les applications évoluent, les faux positifs traités, et les mises à jour firmware testées avant application en production.
Audit de votre configuration actuelle, choix de solution, déploiement et tuning des règles — nous intervenons sur l'ensemble du cycle de vie de votre protection applicative.
Discuter de votre projet