WAF (Web Application Firewall) = première ligne défense devant SaaS. Bloque OWASP top 10 + bots malicious + DDoS. Cloudflare WAF leader 2026 (33 % web mondial). Voici règles avancées qui protègent vraiment PME Afrique.
TL;DR
- Cloudflare WAF : managed rules + custom rules + ML.
- Free tier : protection basique (DDoS L3-L4 unlimited).
- Pro ($20/mo) : managed rules OWASP + bot fight.
- Business ($200/mo) : Bot Management + Page Shield.
- Enterprise : custom rules avancées + dedicated.
Cloudflare plans 2026
| Plan | DDoS | WAF | Bot Mgmt | Rate Limit | Tarif |
|---|---|---|---|---|---|
| Free | L3/L4 | Basic | Basic | 10K req/mo | $0 |
| Pro | L3/L4/L7 | OWASP managed | Super Bot Fight | 1M req/mo | $20/mo |
| Business | + advanced | Custom rules | Bot Management | 10M req/mo | $200/mo |
| Enterprise | Magic Transit | Full custom | ML behavioral | Unlimited | $5K+/mo |
Règles WAF essentielles
1. Block countries (geo-fencing)
Si business Afrique francophone, bloquer trafic suspects.
`
Rule : (ip.geoip.country in {"CN" "RU" "KP" "IR"}) and
(cf.threat_score > 10)
Action : Block
→ Bloque trafic depuis pays haute-menace
`
2. Rate limiting login bruteforce
`
Rule : URL contains "/login" or "/api/auth"
Threshold : 5 requests / 60s par IP
Action : Block 1h
→ Stop brute-force credential
`
3. Block common attack patterns
`
Rule : (http.request.uri.query contains "union select") or
(http.request.uri.query contains "../../") or
(http.request.uri.query matches "
Action : Block + log
→ SQL injection, path traversal, XSS attempts
`
4. Bot detection
`
Rule : (cf.bot_management.score < 30) and
(not cf.bot_management.verified_bot)
Action : Challenge JS
→ Bots non-vérifiés (sauf Googlebot, Bingbot etc.)
`
5. Block scrapers AI
`
Rule : (http.user_agent contains "GPTBot") or
(http.user_agent contains "Claude-Web") or
(http.user_agent contains "CCBot") or
(http.user_agent contains "anthropic-ai")
Action : Block
→ Si vous ne voulez pas être scraped pour training LLM
`
(Inverse : autoriser pour SEO IA si vous voulez ranker dans search AI.)
6. Honeypot endpoints
`
Rule : URL contains "/admin/wp-login.php" or
URL contains "/phpmyadmin" or
URL contains "/.env"
Action : Block + GeoBlock IP 30 days
→ Toute requête sur honeypot = malicious confirmé
`
7. Protect API keys leakage
`
Rule : (http.request.body contains "sk_live_") and
(http.response.code == 200)
Action : Log + alert
→ Détecte fuite Stripe API keys dans réponses
`
8. Block AI scraper firms volume
`
Rule : (cf.client.bot) and
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
(http.request.uri.path contains "/blog")
Action : Challenge
→ Scrapers blogs (concurrence content)
`
Custom rules Africa-specific
Block fraud Wave / MoMo
`
Rule : (URL contains "/payment/wave") and
(cf.threat_score > 20)
Action : Block
→ Tentatives fraude paiements
`
Allow only Africa for compliance regional
`
Rule : (NOT ip.geoip.continent in {"AF"}) and
(URL starts with "/api/")
Action : Block
→ Si SaaS dédié Africa uniquement
`
Page Shield (Business+)
Détecte injection JavaScript malicious dans frontend (Magecart, supply chain attacks) :
- Monitor : tous scripts chargés sur pages
- Alert : nouveaux scripts apparaissent (CSP violations)
- Block : scripts malicious connus
Critique pour e-commerce avec Stripe.js, paymob, etc.
DDoS protection 2026
Cloudflare bloque DDoS L3/L4 unlimited tier free. L7 (HTTP flood) needs Pro+.
- Records DDoS bloqués Cloudflare 2024 :
- 26M req/sec attacks (HTTP/2 Rapid Reset)
- 71M req/sec record 2024
- 5.5 Tbps L3/L4 attacks
- Tu n'es pas une cible directe, mais reflective attacks possibles.
Logs + analytics
Cloudflare Logpush vers SIEM :
- AWS S3 / Splunk / Datadog
- Tous events bloqués
- Threat intelligence
- ML-based anomaly detection
`
Format JSON par requête :
{
"ClientIP": "1.2.3.4",
"EdgeRayID": "...",
"RuleID": "WAF-RULE-OWASP-12345",
"Action": "block",
"ClientCountry": "CN",
"ThreatScore": 42
}
`
Pricing détaillé exemples
PME Africa SaaS standard, 1M visitors/mo :
- Cloudflare Pro : $20/mo
- + Argo Smart Routing : $5/mo
- + Workers (bot mgmt logic) : $5/mo
- = $30/mo total
- ROI : block 99 % attaques + caching = -50 % bandwidth origin
E-commerce 5M visitors/mo :
- Cloudflare Business : $200/mo
- + Bot Management : $250/mo (entreprise)
- + Page Shield : inclus Business
- = $200-450/mo
- ROI : -10 % chargebacks fraud + protection reputation
Erreurs WAF fréquentes
- Rules trop strict → false positives bloquent vrais users.
- Pas tester staging → règles cassent prod.
- Pas review logs → drift silencieux attaques.
- WAF seul sans rate limiting → DDoS L7 passe.
- Pas de challenge graduate : block direct = mauvais UX. Préférer challenge → managed → block.
Alternatives WAF 2026
- AWS WAF : si stack AWS, intégré natif
- Cloud Armor (GCP) : bon, ML-based
- Imperva : enterprise leader
- F5 Distributed Cloud : ex-Volterra, multi-cloud
- Akamai App Protector : enterprise legacy
- OpenAppSec (open source) : self-host
90 % PME : Cloudflare suffit + meilleur prix.
FAQ
Q : Free tier suffit pour SaaS ?
R : MVP oui. Production B2B sérieux : Pro minimum ($20/mo).
Q : WAF bypass possible ?
R : Toujours. WAF est défense en profondeur. Pas remplacement code sécurisé + pentest.
Q : Cloudflare et données européennes (RGPD) ?
R : Cloudflare a régions EU dédiées. DPA signable. Conforme RGPD avec config appropriée.
Conclusion
WAF Cloudflare 2026 = protection essentielle SaaS Afrique : 8 règles clés (geo, rate limit, OWASP, bot, scraper) bloquent 99 % attaques. Pro plan $20/mo = ROI évident. Combiné pentest annuel + monitoring = stack sécu moderne PME.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
