Notre base WAF et OWASP, expliquée
La sécurité ne devrait pas être un projet qu’on démarre après le lancement. Sur chaque instance Clonext, un pare-feu applicatif géré et une base alignée sur l’OWASP sont activés dès le premier déploiement — voici ce que ça inclut concrètement.
Ce que le WAF bloque
En bordure, Cloudflare inspecte chaque requête avant qu’elle n’atteigne votre application. Le jeu de règles géré couvre les attaques courantes et massives, pour que votre code n’ait jamais à être la dernière ligne de défense.
- Les motifs de l’OWASP Top 10 — injection, contrôle d’accès défaillant, SSRF et compagnie.
- Limitation de débit à la connexion et détection du credential stuffing.
- Protection contre les bots et les abus automatisés.
- TLS strict (Full strict) avec HSTS, sur votre propre domaine.
Une bonne base, c’est la sécurité que vous obtenez sans ouvrir un ticket pour l’avoir.
OWASP comme plancher, pas comme plafond
Les standards OWASP nous donnent une checklist commune, mais une checklist est un point de départ. Nous relions chaque contrôle à quelque chose de concret dans le socle — gestion des sessions, encodage des sorties, politique de dépendances — et le vérifions dans le build, au lieu de croire qu’un framework l’a fait pour nous.
Réglé par instance
Comme chaque instance est isolée, nous pouvons régler les règles sur votre trafic sans nous soucier d’un voisin. Un faux positif sur votre API est corrigé pour vous — pas négocié à travers une location partagée.