Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Akamai Web Application Protector

Que fait Akamai Web Application Protector ?

Akamai Web Application Protector (WAP) est le Web Application Firewall d'entrée de gamme du portefeuille sécurité Akamai. Il vit sur le réseau edge global Akamai comme reverse proxy, inspecte chaque requête HTTP avant qu'elle n'atteigne l'origine de l'éditeur, bloque les catégories OWASP Top 10, applique du rate limiting et du bot mitigation. Étant une couche sécurité plutôt qu'un tracker, il traite des métadonnées (IP, User, Agent, URL) en intérêt légitime, et les cookies qu'il peut déposer (AKA_A2, _abck, bm_sz) sont strictement nécessaires.

Ce que fait Web Application Protector

Akamai Web Application Protector (WAP) est le WAF le plus simple du catalogue sécurité Akamai. Il tourne sur l''edge global Akamai comme reverse proxy devant l''origine de l''éditeur. Chaque requête HTTP est analysée par des règles signature, based et comportementales couvrant OWASP Top 10 (SQLi, XSS, RCE, LFI), puis passée, challengée ou bloquée. WAP inclut aussi bot mitigation basique, rate limiting et protection DDoS.

Données traitées

Au minimum WAP traite les métadonnées de connexion : IP, handshake TLS, User, Agent, en, têtes HTTP, URL et méthode. Quand la règle WAF l''exige, le corps de requête (form data, payload JSON) est aussi inspecté. La bot mitigation dépose des cookies courte durée (AKA_A2, _abck, bm_sz, akacd_*) jouant le rôle de challenge tokens. Les logs sont streamés vers la sécurité Akamai et exportables via Akamai DataStream vers le SIEM éditeur.

Article 32 RGPD et ePrivacy

Exploiter un WAF est l''implémentation type de l''article 32 RGPD (mesures techniques et organisationnelles appropriées). Base légale : intérêt légitime article 6(1)(f) RGPD (sécurité du réseau), renforcé par l''article 6(1)(c) quand NIS2 ou DORA exigent explicitement des capacités WAF. Les cookies de bot detection sont strictement nécessaires au service de sécurité implicitement demandé et exemptés de consentement au titre de l''article 5(3) ePrivacy.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts US et DPA Akamai

Le trafic européen termine normalement sur les PoP européens, mais Akamai est basé au Massachusetts et ses centres de sécurité opèrent mondialement. Les métadonnées et logs d''incident peuvent donc être traités aux États, Unis. Le DPA Akamai intègre les CCT et référence la certification Data Privacy Framework UE, US d''Akamai. Une analyse d''impact des transferts est attendue par les autorités européennes.

Checklist de conformité

Documentez le WAF Akamai dans votre registre comme sous, traitant sécurité. Signez le DPA. Mentionnez Akamai Technologies Inc. et les États, Unis dans la politique de confidentialité avec la balance d''intérêts article 32. Configurez une rétention courte pour les logs. Ne mélangez pas WAP avec de l''analytique marketing dans le même module pour conserver le statut strictement nécessaire des cookies WAF.','

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Akamai Web Application Protector doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (Art. 6(1)(f) GDPR) for site security and fraud prevention; legal obligation (Art. 6(1)(c) GDPR) for the publisher's Article 32 GDPR duty to implement appropriate security measures

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, NIS2, DORA (financial sector), national security baselines

Considerations AIPD

Akamai WAP est une couche sécurité qui traite des métadonnées de connexion pour bloquer les attaques. Points clés : (1) le WAF inspecte headers, URLs et parfois corps de requête qui peuvent contenir des données soumises par le visiteur ; rétention des échantillons à limiter ; (2) les cookies déposés par Akamai (AKA_A2, _abck, bm_sz) sont des tokens de détection de bots, strictement nécessaires au sens de l'article 5(3) ePrivacy ; (3) Akamai est société US ; les logs sont traités mondialement ; l'éditeur s'appuie sur le DPA Akamai, les CCT et le Data Privacy Framework UE, US ; (4) Akamai partage du threat intelligence agrégé entre clients, en intérêt légitime à mentionner dans la politique ; (5) les logs d'incidents peuvent contenir des IP de visiteurs légitimes mal classés ; les droits d'accès doivent en tenir compte. Une AIPD est recommandée si l'inspection du corps de requête est activée.

Exemple de texte de consentement

Ce site est protégé par Akamai Web Application Protector (Akamai Technologies Inc., États, Unis), un WAF opéré sur le réseau edge global Akamai. Akamai inspecte chaque requête entrante (IP, en, têtes, URL) pour bloquer les attaques et peut stocker des logs techniques et des cookies de détection de bots à courte durée (AKA_A2, _abck, bm_sz). Ce traitement est nécessaire à la sécurité du site et ne requiert pas votre consentement.

Details techniques

Methode de suiviReverse proxy WAF on the Akamai edge (HTTP layer, transparent to the browser)

Localisation des serveursAkamai global edge network (United States headquartered, with European points of presence)

Suivi sans cookie disponibleOui

Donnees transferees hors UEAkamai Technologies Inc. is headquartered in Cambridge, Massachusetts. Web Application Protector runs on the Akamai global edge network. European traffic is normally terminated at European points of presence, but request metadata (IP, User Agent, URL, response code) is processed by Akamai under its global security operations. Transfers to the United States rely on Standard Contractual Clauses signed in the Akamai DPA and on Akamai's EU, US Data Privacy Framework certification.

Domaines tiers contactes

akamai.comakamaihd.netakamaized.netakamaitechnologies.com

Cookies deposes

Nom	Type	Duree	Finalite
AKA_A2	Strictly necessary	1 hour	Akamai bot detection token issued by Web Application Protector and Bot Manager to verify that the request is coming from a real browser, not from an automated client.
_abck	Strictly necessary	1 year	Akamai Bot Manager cookie that stores the result of the bot challenge so subsequent requests do not have to be challenged again.
bm_sz	Strictly necessary	4 hours	Akamai Bot Manager session cookie used to track the integrity of a browser session and detect anomalies suggesting automation.
akacd_*	Strictly necessary	Session	Akamai cookie that ties the visitor to a specific Akamai edge server for sticky routing during the security analysis.

Akamai Web Application Protector est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Akamai WAP dépose, t, il ?

AKA_A2 (1 heure), _abck (1 an), bm_sz (4 heures) et akacd_* (session). Tous sont des cookies courte à moyenne durée de bot detection ou de sticky routing sur les domaines Akamai ou éditeur.

Faut, il un consentement pour ces cookies ?

Non. Ils sont strictement nécessaires pour délivrer le service de sécurité que l'éditeur doit opérer au titre de l'article 32 RGPD. Exemptés de consentement au titre de l'article 5(3) ePrivacy.

Quelle base légale ?

Intérêt légitime (article 6(1)(f) RGPD) pour le traitement sécurité, plus obligation légale (6(1)(c)) quand NIS2 ou DORA exigent des capacités WAF. Balance d'intérêts à documenter dans le registre.

Y a, t, il transfert vers les États, Unis ?

Oui. Akamai est basé aux US, les métadonnées et logs d'incident peuvent y transiter. CCT et certification Data Privacy Framework UE, US d'Akamai applicables. AIT attendue.

Une AIPD est, elle requise ?

Recommandée quand l'inspection du corps de requête est activée (capture potentielle de données dans les payloads) ou si WAP alimente des décisions automatisées affectant l'utilisateur (blocage de compte).

Comment implémenter Akamai WAP en conformité ?

Signez le DPA Akamai. Documentez la balance d'intérêts article 32. Mentionnez Akamai Technologies Inc. et les États, Unis dans la politique de confidentialité. Rétention courte pour les logs. Ne mélangez pas les cookies WAF avec des cookies marketing.

Existe, t, il des alternatives européennes ?

Oui : OVHcloud WAF, Cloudflare WAF (US mais régions UE), Imperva (US), F5 Distributed Cloud WAF ou ModSecurity/Coraza auto, hébergés sur origines UE. Akamai reste leader pour les très gros volumes nécessitant un WAF edge.

Comment mettre à jour ma politique cookies ?

Listez AKA_A2, _abck, bm_sz et akacd_* en strictement nécessaires avec domaine, durée et finalité sécurité. Ajoutez Akamai Technologies Inc. aux destinataires et mentionnez les États, Unis comme destination des logs de sécurité.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min