Cet article porte un regard honnête sur Cloudflare Page Shield — le produit que Cloudflare a renommé Client-Side Security en 2026.
Puisque vous êtes sur le site web de cside, nous reconnaissons notre parti pris. Cela dit, nous avons construit notre argumentaire honnêtement et basé notre analyse sur des informations publiquement disponibles, des informations du secteur et nos propres expériences ou celles de nos clients. Là où Cloudflare a réellement amélioré le produit, nous le disons.
Certains membres de l'équipe cside ont travaillé chez Cloudflare et ont même contribué au développement de Page Shield. Même en tant que concurrent dans certains domaines, nous tenons Cloudflare en haute estime.
Si vous souhaitez vérifier leurs affirmations par vous-même, consultez leurs pages produit.
Ce qui a changé : Page Shield s'appelle désormais « Client-Side Security »
En 2026, Cloudflare a renommé Page Shield en Client-Side Security, et les changements vont au-delà du cosmétique :
- Le module complémentaire payant (auparavant le module Page Shield) est désormais Client-Side Security Advanced, et Cloudflare l'a ouvert aux clients en libre-service au lieu de le réserver à la vente Enterprise.
- Le renseignement sur les menaces basé sur les domaines est désormais gratuit pour tous les clients sur l'offre de base Client-Side Security.
- Cloudflare a ajouté à l'offre Advanced une détection de scripts malveillants par apprentissage automatique qui analyse le code JavaScript réel, et pas seulement le domaine source.
- Les « policies » de Page Shield s'appellent désormais content security rules.
Ce sont de réelles améliorations, et nous avons mis à jour la comparaison ci-dessous pour en tenir compte. Le constat principal : Cloudflare inspecte désormais le contenu des scripts, mais il inspecte toujours une copie récupérée et échantillonnée — et non ce qui s'exécute réellement dans les navigateurs de vos utilisateurs. C'est sur cette distinction que cside continue d'aller plus loin.
| Critère | cside | Cloudflare Client-Side Security (Page Shield) | Pourquoi c'est important | Quelles sont les conséquences |
|---|---|---|---|---|
| Approche utilisée | Surveillance en direct en session + analyse IA des charges utiles côté serveur | Rapports CSP échantillonnés + analyse statique du code par IA (offre Advanced) | ||
| Surveille 100 % des sessions (sans échantillonnage) | Full support |
No support |
Les attaques peuvent survenir entre deux échantillons ou ne viser qu'une partie des visiteurs | Cloudflare n'échantillonne qu'une faible fraction du trafic (~1 %) ; les skimmers rares ou ciblés passent inaperçus |
| Détection comportementale à l'exécution et au niveau du DOM | Full support |
No support |
Observe le comportement réel des scripts au moment où ils s'exécutent, y compris les modifications du DOM | L'analyse statique du fichier récupéré manque les attaques basées sur le DOM et survenant à l'exécution |
| Détecte les charges utiles dynamiques / ciblées (par utilisateur, heure, localisation) | Full support |
No support |
Identifie les attaques qui ne se déclenchent que pour certains utilisateurs, à certaines heures ou dans certaines régions | Un skimmer servi à 1 visiteur sur 1 000 n'apparaît jamais dans une copie récupérée et échantillonnée |
| Analyse le script exact reçu par l'utilisateur | Full support |
No support |
Aligne l'analyse sur ce qui s'est réellement exécuté, et non sur une copie récupérée séparément | Cloudflare télécharge depuis ses propres IP avec des en-têtes différents — souvent pas la charge utile de l'utilisateur, et souvent il ne parvient pas du tout à récupérer le script |
| Analyse de scripts par IA / ML | Full support |
Full support (offre Advanced) |
Détecte les menaces inédites grâce à la modélisation du code et du comportement, et pas seulement via des flux de menaces | Le classifieur de Cloudflare est réservé à l'offre Advanced et ignore les scripts de plus de 300 KB |
| Analyse complète de la charge utile quelle que soit la taille du script | Full support |
Partial support |
Les gros scripts groupés sont courants, et c'est là que se cachent les charges utiles | Le classifieur de Cloudflare ne s'exécute que sur les scripts jusqu'à 300 KB |
| Suivi historique et forensique complet | Full support |
Partial support |
Nécessaire pour la réponse aux incidents, l'audit et la conformité | Cloudflare supprime les données d'une ressource après 30 jours sans nouveau rapport |
| Archive la charge utile réelle comme preuve | Full support |
No support |
Les auditeurs et intervenants ont besoin du véritable code d'attaque, pas seulement d'un score ou d'un journal | Sans la charge utile archivée, vous ne pouvez pas prouver ce qu'une attaque a réellement fait |
| Fonctionne sur n'importe quelle stack (pas d'enfermement CDN / WAF) | Full support |
No support |
Le risque côté client existe quel que soit le CDN ou le pare-feu que vous utilisez | Cloudflare Client-Side Security nécessite de faire transiter votre domaine par Cloudflare |
| Tableau de bord PCI DSS validé par QSA | Full support (VikingCloud) |
Partial support |
La validation indépendante par un QSA est la preuve la plus fiable qu'une solution répond aux exigences PCI DSS | Cloudflare dispose d'un guide d'applicabilité QSA mais d'une interface de surveillance générique, et non d'un tableau de bord mappé sur PCI |
| Flux de justification de scripts PCI intégré au produit (6.4.3) | Full support |
No support |
La 6.4.3 exige une justification métier et technique écrite pour chaque script | Cloudflare exporte un CSV ; les équipes documentent et justifient chaque script manuellement |
| Interface utilisable d'inventaire et de gestion des scripts | Full support |
No support |
Examiner, approuver et justifier chaque script nécessite un véritable espace de travail, et non un export de données | Page Shield affiche une liste ; les équipes finissent par suivre les scripts et les approbations à la main dans des tableurs |
| Couvre les exigences PCI DSS 6.4.3 et 11.6.1 | Full support |
Full support (offre Advanced) |
Les deux répondent aux exigences ; la profondeur des preuves et du flux de travail diffère | La couverture de Cloudflare nécessite le module Advanced payant — l'offre gratuite ne suffit pas |
| Endpoint de reporting CSP gratuit | Full support (toutes les offres, y compris l'offre gratuite) |
Partial support |
Le reporting des violations CSP est le socle de la visibilité côté client | Les content security rules de Cloudflare sont plafonnées à 5 et réservées à l'offre Advanced |
| SOC 2 Type II | Full support |
Full support |
Démontre des contrôles de sécurité opérationnels cohérents dans le temps | Un socle que les deux fournisseurs remplissent |
| Intégrations de tickets (Linear, Jira) | Full support (Linear et Jira) |
No support |
Les intégrations natives permettent aux alertes de sécurité de s'intégrer aux flux de travail existants des développeurs | Sans intégration native de tickets, les équipes créent les tickets manuellement, ce qui ralentit les temps de réponse |
Qu'est-ce que Cloudflare Client-Side Security (anciennement Page Shield) ?
Cloudflare Client-Side Security ne fait concurrence qu'à la solution de sécurité côté client et à PCI Shield de cside. D'autres services de cside comme la détection VPN, la détection d'agents IA et Privacy Watch ne sont pas dans son périmètre.
Client-Side Security est l'outil de Cloudflare pour surveiller le JavaScript tiers, les connexions et les cookies qui s'exécutent dans les navigateurs de vos visiteurs. Il établit un inventaire des scripts, vous alerte lorsqu'ils changent ou semblent malveillants, et vous permet d'imposer une liste d'autorisation via les content security rules (CSP). Sur l'offre Advanced, il ajoute une analyse du code des scripts par apprentissage automatique ainsi qu'une détection des changements de code.
Est-ce une bonne idée d'acheter une solution de sécurité côté client auprès d'un fournisseur de pare-feu ?
Les grands fournisseurs de sécurité tentent parfois de lancer rapidement un produit secondaire. Ils le font parce qu'ils savent que leurs acheteurs sont déjà engagés sur la plateforme — le choix de facilité consiste à ajouter le module maison du fournisseur. Cependant, beaucoup d'équipes remarquent que ces produits secondaires n'ont pas reçu l'attention dont ils avaient besoin, et qu'ils ne répondent souvent pas pleinement à l'exigence. Le navigateur est une surface d'attaque fondamentalement différente d'un paquet réseau au niveau d'un pare-feu, et il mérite un outil conçu pour lui.
Cloudflare a bel et bien ajouté de réelles capacités depuis 2024 — une analyse de code par ML et davantage de surveillance. Mais le produit se comporte toujours comme une fonctionnalité greffée sur un pare-feu plutôt que comme un outil conçu pour le navigateur : vous devez faire transiter votre domaine par Cloudflare pour l'utiliser, la détection la plus poussée se trouve derrière le module Advanced payant et — comme nous le montrerons ci-dessous — le travail quotidien renvoie le véritable effort de sécurité et de conformité sur vos épaules.
Comment fonctionne Cloudflare Client-Side Security
La détection de Cloudflare repose sur un en-tête Content Security Policy en mode rapport uniquement qu'il ajoute à seulement un petit échantillon des réponses — en pratique de l'ordre de 1 % du trafic. Rien ne se passe tant que l'un de ces rapports échantillonnés n'est pas renvoyé. Ce n'est qu'à ce moment-là que Cloudflare télécharge le script hors bande et, sur l'offre Advanced, le fait passer par son pipeline de scoring par apprentissage automatique et LLM.
C'est cette étape de téléchargement qui fait dérailler le modèle. Cloudflare récupère le script depuis ses propres plages d'IP, avec des en-têtes de requête différents de ceux du navigateur d'un vrai visiteur — de sorte que la copie qu'il évalue n'est fréquemment pas la charge utile reçue par un utilisateur réel :
- Ce n'est généralement pas la charge utile de l'utilisateur. Un script qui varie selon le cookie, la session, le référent, la géographie ou l'heure de la journée sert au récupérateur de Cloudflare quelque chose de différent de ce qu'obtient une victime ciblée. Un attaquant n'a qu'à renvoyer une version propre à l'infrastructure bien connue de Cloudflare pour continuer à skimmer les sessions réelles sans être détecté.
- Souvent, il ne parvient pas du tout à récupérer le script. De nombreux scripts sont servis depuis des URL à usage unique ou liées à la session, ou se trouvent derrière des en-têtes que le récupérateur de Cloudflare ne reproduit pas. Lorsque la récupération échoue, il n'y a tout simplement rien à analyser pour le pipeline LLM.
- L'échantillonnage laisse de larges angles morts. Parce que seule une faible fraction des réponses porte l'en-tête en mode rapport uniquement, les pages à faible trafic et les charges utiles rares et ciblées peuvent mettre longtemps à apparaître — voire ne jamais apparaître. Pour le constater par vous-même, trouvez un site qui l'utilise, ouvrez la console développeur de votre navigateur et actualisez la page plusieurs fois.
- L'historique est éphémère. La documentation de Cloudflare elle-même indique qu'il supprime les informations relatives à une ressource précédemment signalée après 30 jours sans nouveau rapport, et son classifieur ne s'exécute que sur les scripts jusqu'à 300 KB.
En arrière-plan, l'application des règles repose toujours sur la CSP, qui fait confiance à l'origine, et non au contenu de chaque ressource. Comme nous l'expliquons dans Pourquoi CSP ne fonctionne pas :
La CSP fonctionne sur un modèle de liste d'autorisation, qui permet les ressources de domaines de confiance mais ne peut pas bloquer les scripts ou ressources individuels de ces domaines.
C'est exactement par cette faille que la plus grande attaque côté client de 2024 — Polyfill — a fonctionné : le domaine était de confiance, la charge utile était malveillante.
Enfin, adopter Cloudflare Client-Side Security nécessite d'être déjà client de Cloudflare.
Ce que cela donne quand on l'exploite vraiment
La couverture sur une page de présentation est une chose ; exploiter le produit en est une autre. Page Shield vous affiche une liste de scripts, mais ne vous offre aucun véritable espace de travail pour les gérer. Pour produire l'inventaire et les justifications écrites qu'exige la PCI DSS 6.4.3, vous exportez un CSV et suivez à la main les approbations, les responsables et les justifications — l'évaluation QSA de Cloudflare elle-même demande aux clients d'exporter le rapport des scripts et de documenter eux-mêmes la justification métier et technique. Pour un contrôle que vous êtes censé prouver en continu, cela devient un tableur que vous maintenez indéfiniment.
Réunissez les lacunes de détection et le flux de travail, et le tableau est honnête mais peu flatteur : un échantillon de trafic de ~1 %, une récupération hors bande qui souvent n'est pas la charge utile de l'utilisateur ou ne peut pas être obtenue du tout, une mémoire de 30 jours et une liste que vous réconciliez dans un tableur. Cela peut donner l'apparence d'une couverture sur une checklist tout en n'attrapant que rarement l'attaque réelle — ou en ne produisant pas les preuves — au moment où cela compte.
Comment cside va plus loin
cside et Cloudflare analysent désormais tous deux le code des scripts. La différence, c'est ce que nous analysons et avec quel degré d'exhaustivité.
cside met en miroir chaque session utilisateur en direct et observe le comportement réel des scripts au moment où ils s'exécutent dans le navigateur — les modifications qu'ils apportent au DOM, les appels réseau qu'ils déclenchent et les charges utiles qu'ils servent aux visiteurs réels. Cloudflare évalue une copie qu'il a récupérée séparément, depuis les IP de son propre datacenter, sur une base échantillonnée. Ainsi, lorsqu'un CDN de confiance se met à servir un skimmer à 1 utilisateur sur 1 000 après 17 h, cside le voit dans les sessions où il se déclenche réellement ; une copie récupérée et échantillonnée ne le contient souvent pas du tout.
Parce que l'analyse de cside se déroule côté serveur, elle est invisible pour les attaquants — ils ne peuvent pas identifier l'empreinte de notre infrastructure et lui servir un script propre comme ils peuvent le faire avec un crawler prévisible.
Nous conservons également un historique complet de chaque version de script servie à vos utilisateurs et archivons la charge utile réelle. Lorsqu'un auditeur ou un intervenant en réponse aux incidents demande ce qui s'est passé, vous disposez du véritable code d'attaque et d'une chronologie complète — pas d'un score, ni d'un rapport expiré au bout de 30 jours.
Côté conformité, les deux produits répondent désormais aux exigences PCI DSS 6.4.3 (autoriser, inventorier et justifier chaque script des pages de paiement) et 11.6.1 (détecter et alerter sur les modifications non autorisées des scripts et des en-têtes ayant un impact sur la sécurité). Cloudflare vous offre la surveillance et un export CSV, et vous laisse les justifications écrites et les preuves d'audit — et uniquement sur l'offre Advanced payante. cside propose un tableau de bord spécifique à PCI, validé de manière indépendante par le cabinet QSA VikingCloud, avec une justification de scripts en un clic et assistée par IA, de sorte que la piste d'audit est générée pour vous.
cside inclut également un endpoint de reporting CSP gratuit sur toutes les offres, y compris l'offre gratuite. Vous obtenez tout ce que Page Shield propose pour la surveillance CSP, plus une protection en direct, en session et au niveau de la charge utile par-dessus — et vous n'avez pas à déplacer votre domaine vers un CDN spécifique pour en bénéficier.
Inscrivez-vous ou réservez une démo pour commencer.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
