La couche 7 fait référence à la couche d’application du Modèle d’interconnexion de systèmes ouverts (OSI). La couche 7 est la couche avec laquelle les utilisateurs interagissent directement. C’est là que le contenu proprement dit des applications et des API est généré, diffusé et interprété (pages Web, réponses d’API et données échangées entre les applications, par exemple). Depuis la couche 7, les données sont transmises vers le bas de la pile et fragmentées en « paquets ».
Comprendre le modèle OSI
Le modèle OSI est un modèle conceptuel qui caractérise et standardise les fonctions de communication d’un système de télécommunications ou informatique sans tenir compte de sa structure interne et de sa technologie sous-jacentes. Son objectif est de permettre à divers systèmes de communication de fonctionner ensemble, via des protocoles de communication standard.
En termes plus simples, le modèle OSI permet de normaliser la manière dont les différents systèmes informatiques et applications interagissent entre eux et échangent des données.
Que fait la couche 7 ?
La couche 7, ou couche d’application du modèle OSI, concerne les modalités de communication entre une application et le réseau. La couche 7 fonctionne comme une « interface » essentielle entre les applications avec lesquelles l’utilisateur interagit et le réseau sous-jacent par lequel transitent ses données.
En tant que couche supérieure du modèle OSI, la couche 7 concerne le traitement des données juste en dessous de l’interface virtuelle d’une application. Les données sont présentées sous une forme que les applications destinées aux utilisateurs peuvent effectivement exploiter. Un exemple courant est une requête HTTP utilisée pour charger une page web.
Vous pouvez considérer la couche 7 comme le « traducteur » des applications : elle interprète les données provenant des couches inférieures et les transpose dans des formats « lisibles » pour les applications.
Pourquoi la couche 7 est-elle importante ?
La couche 7 du modèle OSI est importante car elle permet la communication avec les utilisateurs sur Internet. Elle offre également une couche supplémentaire permettant de mettre en œuvre des politiques et des contrôles de sécurité. Elle est l’interface entre le réseau et les applications utilisateur. Elle définit les protocoles (HTTP, SMTP) que les applications utilisent pour communiquer entre elles.
Où se situe la couche 7 dans le modèle OSI ?
Comme vous pouvez le constater sur le diagramme, la couche 7 se situe au sommet du modèle OSI. Chacune de ces couches remplit des fonctions ou des activités spécifiques afin de permettre aux systèmes informatiques de communiquer efficacement sur un réseau.

Quels sont les risques liés à la sécurité de la couche 7 ?
Les risques de sécurité de la couche 7 concernent toutes les attaques visant la couche d’application du modèle OSI, où se trouvent les services Web et les API. Contrairement aux attaques des couches inférieures qui saturent la bande passante, les attaques de la couche 7 exploitent la logique applicative et les limites des ressources, et se présentent souvent sous la forme d’un trafic légitime. Les risques courants incluent les attaques DDoS, les inondations HTTP, les utilisations abusives d’API, les injections SQL, les scripts intersites (XSS) et le bourrage d’identifiants. Ces types d’attaques sont conçus pour perturber les services, voler des données ou contourner l’authentification.
Comme ces attaques imitent le comportement réel des utilisateurs au moyen de requêtes complètes, elles sont souvent indétectables par les pare-feu réseau classiques. Les hackers peuvent exploiter des données d’entrée mal validées, des systèmes d’authentification peu sécurisés ou des API mal configurées pour exfiltrer des données sensibles ou mettre hors service des applications essentielles.
Les attaques DDoS de couche 7 constituent une menace bien réelle. En termes de volume, celles-ci peuvent saturer les services et processus nécessitant une grande puissance de calcul, ce qui a des répercussions sur les performances, la disponibilité et les coûts d’exploitation.
Comment fonctionnent les attaques DDoS de couche 7 ?
Une attaque de déni de service distribué de couche d’application est une tentative malveillante visant à saturer les applications web en exploitant la couche 7 du modèle OSI. Elle cible des vulnérabilités spécifiques des applications afin de perturber la disponibilité des services.
Contrairement aux attaques au niveau de la couche réseau qui saturent l’infrastructure, les incidents au niveau de la couche d’application submergent des processus applicatifs spécifiques, mobilisant ainsi une puissance de calcul considérable. En imitant le trafic et les modèles légitimes des utilisateurs, ces attaques peuvent maximiser l’impact tout en nécessitant très peu de bande passante du hacker. Ces attaques sont celles qui nécessitent le plus de puissance de calcul parmi toutes les attaques DDoS, car il s’agit de requêtes complètes. Elles sont les plus coûteuses, mais peuvent être les plus difficiles à détecter, car elles imitent le trafic légitime.
Comment se protéger contre les attaques de couche 7 ?
1. Mettre en place des mécanismes de vérification via JavaScript
L’ajout de tests JavaScript permet de distinguer efficacement les bots des utilisateurs légitimes. Ces prompts analysent le comportement des visiteurs pour détecter les indicateurs d’automatisation. Si une automatisation est détectée, des tests de vérification supplémentaires seront activés pour confirmer la légitimité avant d’accorder davantage d’accès. Testez rigoureusement ces systèmes pour éviter de nuire aux clients légitimes.
2. Déployer des pare-feu d’applications web de nouvelle génération (WAF)
Les WAF de nouvelle génération utilisent des ensembles de règles spécifiques à chaque application pour identifier et bloquer le trafic malveillant. Lorsqu’ils sont correctement configurés, les WAF peuvent signaler des anomalies concernant la complexité des requêtes, la géolocalisation, la gestion des sessions, la taille des données saisies, etc. Envisagez d’utiliser des WAF de nouvelle génération basés sur le cloud afin de tirer parti des informations partagées et de détecter plus rapidement les attaques.
3. Utiliser le filtrage par réputation IP
Les bases de données de réputation IP contiennent des listes actualisées d’adresses IP associées à des botnets et à des logiciels malveillants. Les applications Web peuvent bloquer automatiquement le trafic provenant de sources malveillantes connues en consultant ces bases de données. Veillez à ce que la base de données soit régulièrement mise à jour, car les adresses IP des botnets changent rapidement.
4. Mettre en place une limitation du débit au niveau de l’application
La limitation du débit impose des seuils pour les volumes de trafic et la complexité des requêtes tout en bloquant les contrevenants. Par exemple, vous pouvez définir des limites sur les appels d’API par IP, les sessions simultanées par utilisateur, ou les lectures de base de données par minute. Des limites granulaires permettent de faire face aux pics soudains tout en garantissant les accès légitimes.
5. Créer une vérification CAPTCHA intelligente
Les solutions avancées de gestion des bots, telles que Fastly Bot Management, proposent des solutions ingénieuses pour les CAPTCHA. La fonctionnalité « Dynamic Challenges » de Fastly, intégrée à Bot Management, est un dispositif de sécurité adaptatif qui ajuste intelligemment la protection en fonction d’une analyse en temps réel du trafic entrant, qu’il s’agisse de vos applications web ou de vos expériences mobiles. Mieux encore, cette fonctionnalité est entièrement intégrée aux jetons d’accès privés (PAT), ce qui permet aux utilisateurs de bénéficier d’un accès fluide grâce à une vérification automatique invisible en arrière-plan. Ainsi, Dynamic Challenges peut valider automatiquement la légitimité du trafic à l’aide des PAT lorsque cela est possible, proposer des défis non interactifs au trafic qui semble légitime, ou recourir à des défis interactifs pour contrer les bots malveillants.
6. Configurer les contrôles d’intégrité du navigateur
Analysez le trafic entrant afin de détecter toute utilisation systématique de l’empreinte numérique des navigateurs. Les requêtes dépourvues de caractéristiques légitimes de navigateur peuvent faire l’objet d’une vérification supplémentaire voire même bloquées complètement. Les contrôles d’intégrité du navigateur permettent de s’assurer que le trafic provient de sources authentiques.
7. Utiliser l’analyse du trafic par machine learning.
Les techniques de machine learning (apprentissage automatique) permettent de créer des modèles précis des schémas de trafic normaux et anormaux. L’entraînement continue de ces systèmes sur des données mises à jour améliore la précision de la détection. Un réentraînement fréquent permet de garantir que les modèles s’adaptent à l’évolution des tendances de trafic.
8. Mettre en œuvre la vérification des requêtes par jeton
Les clés tokenisées avec des délais d’expiration stricts permettent de vérifier que chaque appel d’API provient bien de votre front-end légitime. Les attaques visant à contourner le front-end sont bloquées, car elles ne disposent pas de jetons valides. Les jetons doivent correspondre aux informations de session afin d’empêcher les attaques par rejeu et les requêtes non autorisées.
9. Utiliser la segmentation adaptative du trafic
La segmentation du trafic en fonction du profil de risque vous permet d’isoler les flux suspects en vue d’une analyse plus approfondie, tout en préservant les ressources applicatives pour les utilisateurs légitimes. Mettez régulièrement à jour vos modèles de risque afin d’en garantir la précision et de refléter les dernières informations sur les menaces.
Comment Fastly peut aider
Les hackers exploitant de plus en plus les vulnérabilités de la logique métier de la couche 7, vous devez mettre en œuvre toute une série de stratégies de défense adaptatives. Aucune solution ne permet à elle seule d’assurer une protection complète, mais la combinaison de techniques d’atténuation proactives et réactives en périphérie permet de contrer efficacement les attaques application avant qu’elles ne submergent l’infrastructure. Les capacités intelligentes comme le machine learning et l’analyse du comportement sont bénéfiques pour faire face à la sophistication croissante des botnets malveillants et aux services stressants.
Les solutions de protection contre les Protection DDoS, Next-Gen WAF et Bot Management de Fastly offrent une approche à la fois puissante et flexible pour protéger vos sites web et vos API. Soutenue par un réseau de périphérie mondial, la solution offre une visibilité profonde du trafic combinée à des capacités rapides de détection et d’atténuation des menaces.
Voici comment cette plateforme aide votre entreprise à garder une longueur d’avance sur ces menaces :
Atténuation automatique des attaques : Fastly utilise des techniques proactives pour identifier et neutraliser automatiquement les attaques DDoS sans intervention manuelle. Les menaces sont traitées immédiatement, ce qui permet de limiter au maximum les perturbations.
Résilience renforcée : grâce à la solution de Fastly, les applications et les API conservent des performances et une disponibilité constantes, même en cas d’attaques à fort volume. Cette résilience garantit une expérience client rapide pour le trafic légitime.
Détection dynamique et identification adaptative : Fastly surveille en continu le trafic entrant, utilisant une analytique avancée pour détecter instantanément les schémas d’attaque anormaux. L’identification adaptative garantit que la solution reste efficace contre les menaces évolutives.
Aucun frais lié aux attaques : contrairement à de nombreux fournisseurs, Fastly ne facture pas le trafic généré par les attaques. Vous ne payez que pour les requêtes légitimes, ce qui vous permet de maintenir des coûts opérationnels prévisibles et de réduire la pression financière en cas d’attaques prolongées.
Next-Gen WAF intégré : le Next-Gen WAF de Fastly complète la protection DDoS en identifiant et en bloquant les requêtes web malveillantes.
Atténuation rapide : la plateforme réduit l’impact des attaques sur les utilisateurs finaux en atténuant les menaces en quelques secondes.
Déploiement polyvalent : Fastly protège les applications de toutes tailles grâce à des défenses rapides et évolutives.
Limitation du débit : Fastly permet aux administrateurs de définir des seuils pour le nombre de requêtes qu’un utilisateur ou une adresse IP peut effectuer sur une période donnée.
Découvrez comment Fastly peut protéger vos applications, API et microservices, garantissant ainsi la sécurité et la résilience de votre entreprise face aux menaces en constante évolution.