Transport Secteur public WAF Gestion des bots Protection DDoS

PCFC a standardisé la sécurité applicative sur les opérations portuaires et douanières aux EAU.

Comment Brixio a intégré PCFC (Ports, Customs and Free Zone Corporation) sur Cloudflare avec WAF, Bot Management, protection DDoS, rate limiting et intégration SIEM.

Dubaï, EAU Propriétés numériques publiques 4 min read
PCFC
APPSECStack completWAF, Bot Management, DDoS et rate limiting sur les propriétés PCFC
DÉPLOIEMENTProgressifLog d'abord puis enforcement, sans perturbation des opérations
TÉLÉMÉTRIESIEM-readyLogpush exportant les événements WAF, Bot, DDoS et Access vers le SIEM
LIVRAISONSept. 2025Projet livré avec gouvernance documentée et traçabilité complète

Le défi

PCFC supervise les opérations portuaires, douanières et de zones franches aux EAU, un maillon critique de l'infrastructure commerciale et logistique du pays. L'organisation devait moderniser son architecture applicative avec une sécurité enterprise, de la performance et une visibilité opérationnelle sur l'ensemble de ses propriétés numériques.

La posture initiale présentait plusieurs écarts :

  • Sécurité applicative hétérogène sur les propriétés numériques publiques de PCFC, sans politique WAF ni bot unifiée.
  • Pas de protection DDoS structurée ni de rate limiting sur les endpoints critiques, exposant le patrimoine aux attaques volumétriques et au credential stuffing.
  • Origines avec IP publiques accessibles directement, sans tunnel ni chemin zero-trust entre Cloudflare et les serveurs applicatifs.
  • Pas de journalisation SIEM-ready sur les événements de sécurité applicative, limitant la réponse aux incidents et le reporting de conformité.

Ce que Brixio a déployé

Planification et préparation

  • Cadrage final et validation de l'inventaire applicatif.
  • Préparation du compte Cloudflare et planification structurée de l'onboarding.

Implémentation de la sécurité applicative

  • WAF avec rulesets managés et personnalisés, validés par monitoring du trafic en production.
  • Bot Management avec politiques de base et gestion des exceptions pour l'automatisation légitime.
  • Protection DDoS permanente avec alerting et notifications.
  • Rate limiting avec déploiement progressif (log d'abord, puis enforcement) sur des règles globales et par endpoint.

Performance et résilience

  • CDN avec stratégie de cache incluant des règles de bypass pour les flux sensibles.
  • Argo Smart Routing pour l'optimisation des routes (le cas échéant).

Connectivité sécurisée

  • Cloudflare Tunnel pour la connectivité sécurisée aux origines sans exposition d'IP publiques.

Journalisation et gouvernance

  • Logpush configuré pour la télémétrie WAF, Bot, DDoS et Access.
  • Livraison documentée avec board projet structuré, dépôt documentaire et registre des risques.

Architecture

Utilisateurs publics, partenaires et trafic bots convergent sur un seul périmètre Cloudflare avant d'atteindre les origines PCFC, avec tous les événements exportés vers le SIEM.

Utilisateurs publics Web + mobile
Partenaires Douanes + logistique
Trafic bots Découverte + abus
Périmètre Cloudflare
WAFBOT MGMTDDoSRATE LIMIT
Origines PCFC via Cloudflare Tunnel
Services publics Douanes + zone franche
SIEM Logpush

Résultats

Après déploiement progressif, les propriétés numériques de PCFC fonctionnent sous une stack de sécurité applicative unifiée, avec un rate limiting structuré, une connectivité d'origine sécurisée et une télémétrie prête pour le SIEM.

Sécurité applicative unifiéeWAF, Bot Management, DDoS et rate limiting déployés de manière cohérente sur les propriétés numériques publiques de PCFC.
Abus de bots maîtriséBot Management bloque l'abus automatisé tout en autorisant l'automatisation légitime via des exceptions documentées.
Rate limiting sans perturbationLe déploiement progressif log-first a validé les seuils avant enforcement, sans perturber les opérations gouvernementales.
Télémétrie prête pour auditLogs WAF, Bot, DDoS et Access streamés via Logpush pour le monitoring continu et le reporting de conformité.
Perspective sectorielle

Les ports et la douane sont des infrastructures critiques : les régulateurs attendent une AppSec démontrable et en couches.

L'infrastructure portuaire et logistique est classée infrastructure critique sous les contrôles NESA aux EAU et, pour les opérations connectées à l'UE, sous NIS2. La combinaison WAF, bot management, protection DDoS et gouvernance structurée de delivery illustre le type de déploiement attendu par les cadres réglementaires pour les infrastructures logistiques gouvernementales, avec une preuve traçable de l'application des politiques et de la télémétrie d'incident.

NESA EAU NIS2 ISO 27001
Études de cas Sécurité applicativeSecteur public
Votre environnement Cloudflare, audité

Découvrez où en est votre sécurité applicative aujourd'hui.

Lancez un Snapshot gratuit pour cartographier votre exposition, identifier les écarts WAF, bot management et rate limiting, et obtenir une feuille de route priorisée par un partenaire Cloudflare ASDP.

Obtenir un audit Cloudflare gratuit Parler à un spécialiste