{"id":339,"date":"2026-06-22T09:00:00","date_gmt":"2026-06-22T09:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/22\/cloudflare-waf-vs-aws-waf-vs-modsecurity\/"},"modified":"2026-06-22T09:00:00","modified_gmt":"2026-06-22T09:00:00","slug":"cloudflare-waf-vs-aws-waf-vs-modsecurity","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/22\/cloudflare-waf-vs-aws-waf-vs-modsecurity\/","title":{"rendered":"Cloudflare WAF vs AWS WAF vs ModSecurity : 0 $ vs 200 $\/mois [2026]"},"content":{"rendered":"\n

Un WAF (Web Application Firewall) bloque les attaques applicatives avant qu’elles n’atteignent votre code. En 2026, trois solutions dominent le march\u00e9 : Cloudflare WAF<\/strong>, AWS WAF<\/strong> et ModSecurity<\/strong>. Leurs tarifs vont de 0 $ \u00e0 plus de 200 $\/mois, et leurs architectures sont fondamentalement diff\u00e9rentes. Ce comparatif analyse chaque option sur la base des benchmarks, des prix r\u00e9els et des retours de la communaut\u00e9 s\u00e9curit\u00e9 pour les \u00e9quipes fran\u00e7aises et europ\u00e9ennes.<\/p>\n\n\n\n

Le march\u00e9 des WAF cloud explose en 2026 sous la pression de la directive NIS2<\/strong>, du RGPD et de la multiplication des attaques automatis\u00e9es visant les applications web. Choisir le mauvais outil co\u00fbte cher, pas seulement en licences mais en faux positifs, en temps de configuration et en incidents de production non d\u00e9tect\u00e9s. Ce guide vous donne les chiffres n\u00e9cessaires pour d\u00e9cider sans parti pris.<\/p>\n\n\n\n

Qu’est-ce qu’un WAF et pourquoi en avez-vous besoin en 2026 ?<\/h2>\n\n\n\n

Un WAF op\u00e8re en couche 7 du mod\u00e8le OSI<\/strong> (couche applicative). Contrairement \u00e0 un pare-feu r\u00e9seau classique qui filtre par IP, port et protocole, un WAF inspecte le contenu HTTP\/HTTPS : corps des requ\u00eates, en-t\u00eates, param\u00e8tres de requ\u00eate, cookies et r\u00e9ponses serveur. Il bloque les attaques comme l’injection SQL, le cross-site scripting (XSS), la travers\u00e9e de r\u00e9pertoires et les tentatives d’exploitation de CVE connues.<\/p>\n\n\n\n

En pratique, un WAF remplace des centaines de r\u00e8gles iptables \u00e9crites \u00e0 la main. Il comprend la s\u00e9mantique HTTP l\u00e0 o\u00f9 un pare-feu r\u00e9seau ne voit qu’un flux d’octets. C’est cette diff\u00e9rence qui en fait un outil indispensable pour tout service web expos\u00e9 \u00e0 Internet, en particulier face aux scanners automatiques qui sondent en permanence les ports 80 et 443 \u00e0 la recherche de surfaces d’attaque connues.<\/p>\n\n\n\n

Les trois architectures disponibles r\u00e9pondent \u00e0 des besoins distincts. Un WAF en mode cloud\/proxy invers\u00e9<\/strong> (Cloudflare WAF) filtre le trafic avant qu’il n’arrive sur vos serveurs, en s’appuyant sur un r\u00e9seau mondial de points de pr\u00e9sence. Un WAF en mode managed service cloud<\/strong> (AWS WAF) s’int\u00e8gre directement aux services d’un fournisseur cloud. Un WAF en mode auto-h\u00e9berg\u00e9<\/strong> (ModSecurity, BunkerWeb) tourne sur vos propres serveurs et vous donne un contr\u00f4le total sur les r\u00e8gles et les donn\u00e9es de trafic.<\/p>\n\n\n\n

Le contexte r\u00e9glementaire europ\u00e9en renforce l’urgence de la d\u00e9cision. La directive NIS2, transpos\u00e9e dans le droit fran\u00e7ais en 2025, impose aux op\u00e9rateurs d’importance vitale (OIV) et aux entit\u00e9s essentielles de mettre en place des mesures techniques de protection des syst\u00e8mes d’information accessibles depuis Internet. Un WAF configur\u00e9 correctement r\u00e9pond directement \u00e0 cette exigence. La pression de la CJUE sur la transposition fran\u00e7aise<\/a> de NIS2 amplifie cette urgence pour les 10 000 entit\u00e9s concern\u00e9es.<\/p>\n\n\n\n

Tableau comparatif global : Cloudflare WAF vs AWS WAF vs ModSecurity vs BunkerWeb [2026]<\/h2>\n\n\n\n
Crit\u00e8re<\/th>Cloudflare WAF<\/th>AWS WAF<\/th>ModSecurity<\/th>BunkerWeb<\/th><\/tr><\/thead>
Type<\/strong><\/td>Cloud \/ CDN proxy<\/td>Managed service AWS<\/td>Open-source auto-h\u00e9berg\u00e9<\/td>Open-source NGINX<\/td><\/tr>
Prix de d\u00e9part<\/strong><\/td>0 $ (plan Free)<\/td>5 $\/mois (Web ACL)<\/td>Gratuit<\/td>Gratuit<\/td><\/tr>
Prix Pro\/standard<\/strong><\/td>20 $\/mois (annuel)<\/td>1 $\/r\u00e8gle\/mois + 0,60 $\/M req.<\/td>Co\u00fbt serveur uniquement<\/td>Co\u00fbt serveur uniquement<\/td><\/tr>
Prix Business<\/strong><\/td>200 $\/mois (annuel)<\/td>Variable selon usage<\/td>N\/A<\/td>N\/A<\/td><\/tr>
Mod\u00e8le de d\u00e9ploiement<\/strong><\/td>CDN edge mondial (310+ PoP)<\/td>CloudFront, ALB, API Gateway<\/td>Apache \/ Nginx \/ IIS<\/td>Docker \/ Kubernetes \/ Nginx<\/td><\/tr>
Protection DDoS<\/strong><\/td>Int\u00e9gr\u00e9e (illimit\u00e9e)<\/td>Via AWS Shield Standard\/Advanced<\/td>Aucune (outil externe requis)<\/td>Partielle<\/td><\/tr>
R\u00e8gles OWASP CRS<\/strong><\/td>Oui (jeux manag\u00e9s)<\/td>Oui (groupes manag\u00e9s)<\/td>Oui (CRS natif)<\/td>Oui (CRS int\u00e9gr\u00e9)<\/td><\/tr>
R\u00e8gles personnalis\u00e9es<\/strong><\/td>Oui (Firewall Rules)<\/td>Oui (JSON\/YAML\/IaC)<\/td>Oui (SecRule illimit\u00e9es)<\/td>Oui (plugins)<\/td><\/tr>
Protection API<\/strong><\/td>Avanc\u00e9e (API Discovery)<\/td>Limit\u00e9e (rate limiting)<\/td>Manuelle<\/td>Basique<\/td><\/tr>
Protection bots<\/strong><\/td>Oui (Bot Management)<\/td>Partielle<\/td>Non (outil externe)<\/td>Oui<\/td><\/tr>
Facilit\u00e9 de config<\/strong><\/td>Tr\u00e8s facile (UI web)<\/td>Moyenne (AWS Console\/IaC)<\/td>Difficile (fichiers SecRule)<\/td>Facile (UI web)<\/td><\/tr>
Latence ajout\u00e9e<\/strong><\/td>Faible (edge PoP)<\/td>Faible (int\u00e9gration native)<\/td>Variable (selon r\u00e8gles actives)<\/td>Faible (local)<\/td><\/tr>
Open-source<\/strong><\/td>Non<\/td>Non<\/td>Oui (Apache 2.0)<\/td>Oui (AGPL v3)<\/td><\/tr>
Int\u00e9gration CI\/CD<\/strong><\/td>API Cloudflare \/ Terraform<\/td>AWS CDK \/ CloudFormation<\/td>Ansible \/ Puppet \/ FTW<\/td>Docker Compose \/ Helm<\/td><\/tr>
Souverainet\u00e9 des donn\u00e9es<\/strong><\/td>Non (Data Localization Suite en Enterprise)<\/td>Non (hors EU regions)<\/td>Totale<\/td>Totale<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Cloudflare WAF : la r\u00e9f\u00e9rence pour les sites \u00e0 fort trafic<\/h2>\n\n\n\n

Cloudflare WAF op\u00e8re sur un r\u00e9seau de plus de 310 points de pr\u00e9sence r\u00e9partis dans le monde entier. Le trafic entrant vers votre site transite par le r\u00e9seau Cloudflare, o\u00f9 il est filtr\u00e9 avant d’atteindre votre infrastructure. Cette architecture signifie que les attaques volum\u00e9triques (DDoS de plusieurs Tbps) sont absorb\u00e9es en p\u00e9riph\u00e9rie sans impacter vos serveurs d’origine. En juin 2026, Cloudflare a publi\u00e9 dans son rapport annuel sur les menaces avoir bloqu\u00e9 un pic record de 31,4 Tbps lors d’une attaque DDoS contre un client europ\u00e9en.<\/p>\n\n\n\n

Le plan Free inclut un ensemble de r\u00e8gles manag\u00e9es basiques et la protection DDoS illimit\u00e9e. C’est d\u00e9j\u00e0 suffisant pour bloquer les scanners automatiques et les injections SQL triviales. Le plan Pro \u00e0 20 $\/mois (facturation annuelle, soit 25 $\/mois en mensuel)<\/strong> ajoute les r\u00e8gles manag\u00e9es OWASP, la d\u00e9tection des bots avanc\u00e9e et les r\u00e8gles personnalis\u00e9es illimit\u00e9es. Le plan Business \u00e0 200 $\/mois (annuel, soit 250 $\/mois en mensuel)<\/strong> d\u00e9bloque les certificats SSL personnalis\u00e9s, les pages d’erreur brand\u00e9es et les SLA \u00e0 100 % de disponibilit\u00e9.<\/p>\n\n\n\n

Fonctionnalit\u00e9s distinctives de Cloudflare WAF<\/h3>\n\n\n\n

API Discovery<\/strong> : Cloudflare cartographie automatiquement les endpoints de votre API en analysant le trafic r\u00e9el, puis propose des r\u00e8gles adapt\u00e9es \u00e0 chaque endpoint. AWS WAF ne propose pas de fonctionnalit\u00e9 \u00e9quivalente dans ses plans standard. Pour les \u00e9quipes qui d\u00e9veloppent des API REST ou GraphQL expos\u00e9es publiquement, cette capacit\u00e9 de d\u00e9couverte r\u00e9duit significativement le risque de surface d’attaque non couverte.<\/p>\n\n\n\n

Bot Management<\/strong> : le syst\u00e8me de d\u00e9tection des bots de Cloudflare utilise des empreintes de navigateur, des d\u00e9fis JavaScript et l’apprentissage automatique pour distinguer les bots malveillants des crawlers l\u00e9gitimes (Googlebot, Bingbot). Une caract\u00e9ristique que ModSecurity ne peut pas reproduire seul, sans int\u00e9gration d’outils tiers comme CrowdSec. Les tentatives de credential stuffing automatis\u00e9, tr\u00e8s r\u00e9pandues sur les formulaires de connexion, sont stopp\u00e9es par ce syst\u00e8me avant m\u00eame d’atteindre votre serveur d’application.<\/p>\n\n\n\n

Firewall Rules avec syntaxe Wireshark<\/strong> : les r\u00e8gles personnalis\u00e9es utilisent un langage de filtrage intuitif que les \u00e9quipes r\u00e9seau reconnaissent imm\u00e9diatement. Les r\u00e8gles peuvent combiner des crit\u00e8res sur l’IP source, le chemin URL, les en-t\u00eates HTTP et les param\u00e8tres de requ\u00eate. Voici un exemple de r\u00e8gle pour bloquer les tentatives d’injection SQL sur un endpoint de recherche :<\/p>\n\n\n\n

(http.request.uri.query contains \"UNION SELECT\" and http.request.uri.path eq \"\/api\/search\")\nor\n(http.request.uri.query contains \"' OR 1=1\" and http.request.method eq \"GET\")<\/code><\/pre>\n\n\n\n
Benchmarks de d\u00e9tection mesur\u00e9s<\/strong> : un benchmark ind\u00e9pendant de 2026 mesure le taux de vrais positifs du Cloudflare WAF entre 63,5 % et 91 %<\/strong> selon le profil d’attaques utilis\u00e9, avec des taux de faux positifs allant de 0,06 % \u00e0 57 % selon le niveau de sensibilit\u00e9 configur\u00e9. Le profil \u00e9tendu (80,4 % de vrais positifs, 6,1 % de faux positifs, pr\u00e9cision \u00e9quilibr\u00e9e de 87,2 %) repr\u00e9sente le meilleur compromis pour la production.<\/p>\n\n\n\n
Le principal inconv\u00e9nient de Cloudflare WAF reste la perte de visibilit\u00e9 sur les IP sources<\/strong> si votre configuration ne restaure pas correctement l’IP r\u00e9elle via l’en-t\u00eate CF-Connecting-IP<\/code>. De plus, les logs complets (Cloudflare Logs) ne sont disponibles qu’\u00e0 partir du plan Business, ce qui limite la capacit\u00e9 d’investigation forensique sur les incidents sur les plans inf\u00e9rieurs. Enfin, pour les donn\u00e9es de sant\u00e9 soumises \u00e0 l’agr\u00e9ment HDS en France, Cloudflare n’est pas certifi\u00e9 HDS, ce qui exclut son utilisation directe pour ces cas d’usage.<\/p>\n\n\n\n
AWS WAF : l’int\u00e9gration native dans l’\u00e9cosyst\u00e8me Amazon<\/h2>\n\n\n\n
AWS WAF est un service manag\u00e9 qui s’int\u00e8gre directement \u00e0 l’infrastructure AWS : CloudFront<\/strong> (CDN), Application Load Balancer<\/strong>, API Gateway<\/strong>, AppSync<\/strong> et Cognito<\/strong>. Si votre stack tourne enti\u00e8rement sur AWS, AWS WAF \u00e9limine les frictions d’int\u00e9gration que vous rencontreriez avec un WAF externe. La configuration se fait via la console AWS, CloudFormation, AWS CDK ou Terraform, ce qui s’int\u00e8gre naturellement dans les pipelines DevOps existants.<\/p>\n\n\n\n
Le mod\u00e8le tarifaire est \u00e0 la consommation : 5 $\/mois par Web ACL<\/strong>, 1 $\/mois par r\u00e8gle personnalis\u00e9e<\/strong> et 0,60 $ par million de requ\u00eates inspect\u00e9es<\/strong>. Pour un site moyen traitant 10 millions de requ\u00eates\/mois avec 10 r\u00e8gles personnalis\u00e9es, la facture mensuelle de base d\u00e9passe 21 $. La facturation grimpe rapidement avec le trafic et les groupes de r\u00e8gles manag\u00e9es souscrits via AWS Marketplace (chaque groupe co\u00fbte entre 5 $ et 20 $\/mois suppl\u00e9mentaires selon l’\u00e9diteur).<\/p>\n\n\n\n
Groupes de r\u00e8gles manag\u00e9es AWS WAF<\/h3>\n\n\n\n
AWS propose des groupes de r\u00e8gles manag\u00e9es officiels couvrant les cas d’usage suivants :<\/p>\n\n\n\n