Sommaire de l'article
1. Qu’est-ce que Bunker Web ?
Bunker Web est un pare-feu applicatif (WAF) et reverse-proxy “secure-by-default” publié sous licence AGPL v3. Développé par l’équipe Bunkerity installée à Agen, il s’appuie sur Nginx mais ajoute une couche de défense automatique contre l’OWASP Top 10, les bots malveillants et les attaques DDoS – tout en restant intégralement auditable puisque le code est ouvert sur GitHub. bunkerweb.iogithub.comgithub.com
Pourquoi l’étiquette « open source français » compte
- Transparence : chacun peut contrôler le code et mesurer la qualité des règles de filtrage.
- Souveraineté : les correctifs et évolutions ne dépendent pas d’acteurs non-européens ; l’hébergement des dépôts et la société éditrice sont situés en France.
- Communauté : plugins, Helm charts Kubernetes et guides d’intégration sont maintenus publiquement, ce qui réduit le “vendor lock-in”. github.comgithub.com
2. Fonctionnalités clefs
| Fonction | Ce qu’elle apporte | Détail |
|---|---|---|
| Protection OWASP Top 10 | Bloque injections SQL, XSS, CSRF… | Règles activées par défaut |
| Mitigation DDoS & bots | Limite/ban dynamique d’IP, rate-limiting | Table de réputation interne |
| HTTPS automatisé | Issuance & renouvellement Let’s Encrypt | Zéro coût de certificat |
| Intégration conteneurs | Images Docker officielles, Helm chart | Déploiement < 5 min sur K8s |
| Interface Web & API | Configuration visuelle ou IaC | Adapté DevOps & SecOps |
3. Cas d’utilisation concrets
3.1 Auto-hébergement sécurisé
Profil : particuliers ou freelances hébergeant blog, Nextcloud, Home-Assistant.
Bénéfice : un seul conteneur Bunker Web devant les services ; certificats et règles WAF gérés automatiquement, sans toucher à Nginx manuellement.
3.2 PME et e-commerce
Profil : boutique WooCommerce/Prestashop exposée 24/7.
Bénéfice : filtration des scans de cartes volées, limitation du brute-force /login, compatibilité PCI-DSS grâce aux logs détaillés et à la mise à jour continue des signatures.
3.3 Plateforme micro-services sur Kubernetes
Profil : scale-up SaaS.
Bénéfice : déploiement Helm, annotations Ingress compatibles, mutualisation TLS, routage path-based, WAF multitenant ; observabilité via Prometheus et Grafana.
3.4 Secteur public & collectivités
Profil : portail documentaire ou démarche citoyenne.
Bénéfice : solution européenne conforme RGPD, hébergeable on-prem ou chez un cloud de confiance ; logs exportables pour l’ANSSI.
3.5 « Air Gap » industriel
Profil : usine connectée où seul un bastion web sortant est autorisé.
Bénéfice : module Modbus-TCP/WebSocket filtré ; règles spécifiques pluginisées pour contraintes OT.
4. Pourquoi l’adopter en 2025 ?
- Coût : zéro licence, modèle support/pro proposé mais non obligatoire.
- Agilité : GitHub Stars > 5 500 ; correctifs CVE livrés rapidement. dev.to
- Écosystème : plugins officiels (GeoIP, anti-fraude Stripe, Captcha), API REST et Terraform provider communautaire.
- Conformité : aide à passer les audits ISO 27001 ou SecNumCloud en prouvant une ligne de défense dédiée.
5. Pour aller plus loin
- Essayer en 5 minutes :
docker run -d -p 80:80 -p 443:443 bunkerity/bunkerwebpuis visiter l’UI pour déclarer son backend. - Documentation complète : docs.bunkerweb.io (guide Quick-Start, bonnes pratiques durcissement). docs.bunkerweb.io
- Canal communauté : GitHub Discussions et r/selfhosted pour retours d’expérience. github.comreddit.com
