Radware a annoncé la disponibilité dans le cloud de son service de protection contre les attaques DDoS web sur un trafic chiffré, sans nécessiter le partage de certificats TLS/SSL ni le déchiffrement du trafic pour l’inspection. Cette avancée n’est pas anodine. Jusqu’à présent, une part importante des protections en couche 7 dépendait précisément de casser ce chiffrement au sein de l’environnement du fournisseur pour analyser le contenu. Cela posait des problématiques : questions de confidentialité, conformité réglementaire, gestion des clés et, dans bien des cas, une gêne évidente pour les équipes de sécurité et de conformité.
Radware présente ce lancement comme une étape majeure dans le secteur, affirmant qu’il s’agit d’une solution cloud capable de bloquer des attaques DDoS chiffrées en couche 7 sans exiger de certificat ni déchiffrer le trafic. Il convient toutefois de préciser que c’est la position de Radware et non une conclusion validée par un organisme indépendant, selon l’annonce consultée. Néanmoins, ce mouvement illustre une tendance claire du marché : de plus en plus d’entreprises souhaitent protéger leurs applications web exposées à Internet sans avoir à partager des éléments sensibles tels que leurs certificats ou clés avec un tiers.
Le choix du moment a également du sens. Le trafic chiffré domine depuis plusieurs années le web public. Google rappelle que l’utilisation de HTTPS dans Chrome est passée de 30-45 % en 2015 à 95-99 % vers 2020, et que cette adoption s’est depuis stabilisée à des niveaux très élevés. Parallèlement, Google indique que, si l’on regarde uniquement les sites publics, Linux utilise presque 97 % HTTPS, Windows atteint 98 %, et Android ainsi que macOS dépassent 99 %. Autrement dit : aujourd’hui, protéger le trafic web revient presque toujours à protéger un trafic chiffré.
Ce contexte rend l’inspection du trafic HTTPS particulièrement sensible. Déchiffrer pour inspecter peut fonctionner d’un point de vue technique, mais cela complexifie la légalité et l’opérationnel. Toutes les organisations ne souhaitent pas partager leurs certificats, ni n’ont la capacité de le faire selon des contraintes réglementaires, politiques internes ou par simple précaution. La proposition de Radware vise précisément à atténuer ce point de friction : offrir une défense automatisée dans le cloud contre les attaques DDoS web chiffrées sans obliger le client à céder ce contrôle.
Selon les informations publiées, le système s’appuie sur l’analyse comportementale croisée et sur des modèles d’apprentissage automatique pour établir une ligne de base du trafic légitime, détecter les écarts et générer des règles de mitigation de façon dynamique. La promesse est que la plateforme puisse réagir en temps réel face à une attaque en couche 7, sans nécessiter d’ajustements manuels constants. Concrètement, cela consiste à distinguer quand une avalanche de requêtes HTTPS provient d’utilisateurs réels et quand elle repose sur un pattern automatisé visant à faire tomber une application, saturer un site ou dégrader un service.
Ce point est particulièrement critique car les attaques ne faiblissent pas. Selon le rapport mondial des menaces 2026 de Radware, les attaques DDoS réseau ont augmenté de 168 %, tandis que celles en couche application ont progressé de 128 % en 2025. Bien que ces chiffres doivent être pris avec du recul, ils illustrent une tendance que l’industrie perçoit depuis quelque temps : le trafic malveillant devient plus persistant, automatisé et surtout plus à l’aise pour circuler dans des canaux chiffrés.
Un autre aspect intéressant de l’annonce est la flexibilité de déploiement. Radware ne présente pas cette capacité comme une solution unique, mais comme une option parmi plusieurs modèles d’implémentation. La protection peut être déployée via sa plateforme cloud avec un déchiffrement SSL optionnel, en local avec DefensePro, à travers Alteon Protect, ou dans des architectures Kubernetes natives via Kubernetes WAAP. Cela permet à chaque organisation de choisir l’étendue de sa défense : cloud, locale, hybride ou adaptée aux applications conteneurisées. Pour beaucoup, cette flexibilité est aussi importante que la technologie elle-même.
Au-delà du titre, ce qui est réellement notable, c’est ce que cet annonce révèle sur l’évolution du marché de la cybersécurité. Pendant des années, la doctrine dominante était que pour voir à l’intérieur du trafic chiffré, il fallait obligatoirement le déchiffrer. Aujourd’hui, les fournisseurs cherchent à ouvrir une autre voie : renforcer la protection sans intrusion. Dans un contexte où la confidentialité, la souveraineté des données et la conformité réglementaire ont plus d’importance que jamais, toute technologie réduisant la nécessité de partager des secrets cryptographiques gagne en intérêt instantanément.
Il y a aussi une lecture opérationnelle. Pour beaucoup d’organisations, le problème ne réside pas seulement dans la menace, mais également dans la lourdeur technique liée aux solutions de sécurité. Chaque certificat partagé, chaque changement de clés, chaque vérification de conformité ou audit ajoute du temps, des coûts et des risques. Si une plateforme parvient à alléger cette charge tout en conservant sa capacité à contrer des attaques DDoS sophistiquées, la valeur pour le client ne se limite pas à un meilleur blocage, mais s’étend à une simplification opérationnelle.
Reste à voir comment le marché réagira et dans quelle mesure cette approche démontrera en situation réelle l’efficacité qu’elle promet sur le papier. Mais le message de Radware est clair : l’avenir de la protection DDoS web ne dépend pas uniquement d’une puissance accrue, mais aussi de solutions qui s’intègrent mieux dans des environnements chiffrés, soumis à des réglementations strictes, et dans des opérations cloud de plus en plus complexes. Réduire la dépendance au déchiffrement pourrait alors devenir un avantage stratégique majeur.
Questions fréquentes
Comment peut-on arrêter une attaque DDoS de couche 7 sur un trafic HTTPS sans le déchiffrer ?
L’approche consiste à analyser les modèles de comportement, le volume, la fréquence, les anomalies et d’autres signaux du flux chiffré, sans ouvrir le contenu. Radware garantit que son service utilise une analyse comportementale et un apprentissage automatique pour détecter les déviations et générer des règles de mitigation en temps réel, sans nécessiter un déchiffrement permanent du trafic.
Quels sont les avantages de ne pas partager ses certificats TLS/SSL avec un fournisseur de protection DDoS dans le cloud ?
La principale benefit concerne la réduction des enjeux liés à la confidentialité, à la conformité réglementaire et à la gestion des clés. Partager des certificats ou déchiffrer le trafic dans le cloud peut poser problème dans des secteurs réglementés ou pour des entreprises ayant des politiques strictes de gestion des secrets cryptographiques.
En quoi un DDoS web de couche 7 diffère-t-il d’un DDoS réseau traditionnel ?
Le DDoS réseau cherche principalement à saturer les liaisons ou les ressources d’infrastructure via un volume de trafic élevé. Le DDoS en couche 7 cible davantage l’application, en simulant des requêtes HTTP ou HTTPS légitimes pour épuiser les ressources du service, compromettre la disponibilité ou dégrader l’expérience utilisateur. Radware situe cette protection spécifiquement dans le domaine web et en couche 7.
Ce type de protection est-il utile pour les applications sous Kubernetes ou dans des environnements hybrides ?
Oui, selon Radware. La société indique que cette protection peut être déployée en cloud, sur site, dans des architectures hybrides ou dans des environnements Kubernetes via Kubernetes WAAP, ce qui correspond aux architectures modernes où une application répartit ses composants entre plusieurs environnements.
