F5 renforce son architecture de sécurité applicative autour de trois axes : protection par l'IA, accès zéro confiance et cryptographie post-quantique. Ceci au moment où les agents IA introduisent une nouvelle catégorie de trafic non humain dans les environnements d'entreprise. L'annonce marque une évolution de la plateforme ADSP vers un modèle de gouvernance unifié du trafic applicatif.
Annoncées depuis Las Vegas lors de la conférence AppWorld, les nouvelles capacités de sécurité intégrées à la plateforme F5 Application Delivery and Security Platform (ADSP) répondent à une triple problématique : automatiser la détection et la remédiation des vulnérabilités dans les applications pilotées par l'IA, distinguer et contrôler les agents IA dans le trafic applicatif, et préparer les infrastructures cryptographiques à l'ère post-quantique. La direction produit de F5 résume l'objectif dans une formule que Kunal Anand, directeur produit, a précisée lors de l'événement : « Les équipes de sécurité n'ont pas besoin de plus d'alertes. Elles ont besoin de moins de lacunes. »
Le positionnement de F5 sur ce cycle d'annonces illustre une tendance de fond : les éditeurs de sécurité applicative ne peuvent plus traiter séparément la protection des applications, la gouvernance des accès et la préparation cryptographique. Les trois dimensions convergent sous la pression des architectures d'agents IA, dont le trafic automatisé est désormais indiscernable — sans outillage dédié — d'une activité humaine légitime ou d'une attaque automatisée.
AI Remediate : boucler la boucle entre détection et remédiation
La nouveauté la plus structurante de cette version est F5 AI Remediate, un module qui s'insère entre deux produits existants de la plateforme : F5 AI Red Team, qui identifie les vulnérabilités des modèles d'IA, et F5 AI Guardrails, qui applique les protections à l'exécution. Jusqu'ici, le passage de l'identification à la remédiation supposait une intervention manuelle des équipes de sécurité pour concevoir et valider les règles de protection. AI Remediate automatise cette chaîne en générant, optimisant et validant des paquets de garde-fous ciblés, soumis à approbation humaine avant déploiement en production.
Cette architecture — identification automatisée, remédiation automatisée, validation humaine — répond à une contrainte opérationnelle précise dans les environnements où les modèles d'IA sont en production : le délai entre la découverte d'une vulnérabilité et son traitement est une fenêtre d'exposition que les équipes SecOps ne peuvent pas réduire manuellement à l'échelle. Le Distributed Cloud WAF reçoit également une nouvelle capacité de scoring de risque par IA, avec des politiques de blocage orientées résultat qui réduisent la dépendance aux signatures et aux ajustements manuels — un point sensible pour les organisations qui maintiennent des portefeuilles applicatifs étendus.
Distinguer l'humain, le bot et l'agent
L'extension de F5 Distributed Cloud Bot Defense introduit une catégorie de trafic explicitement nouvelle dans la taxonomie de sécurité applicative : les agents IA. La plateforme distingue désormais trois types d'interactions — humaines, automatisées par bots, et pilotées par agents IA — avec des politiques de gouvernance spécifiques pour chaque catégorie. Seuls les agents IA vérifiables et de confiance sont autorisés à interagir avec les applications ; les agents non gouvernés ou malveillants sont bloqués.
Cette granularité répond à un problème émergent pour les DSI et RSSI qui déploient des architectures agentiques : les agents IA génèrent du trafic applicatif légitime, mais leur comportement automatisé peut être détourné, usurpé ou amplifié par des acteurs malveillants. Sans capacité de distinction au niveau du pare-feu applicatif, les règles de protection existantes — calibrées pour du trafic humain ou pour des bots simples — deviennent inopérantes. F5 ajoute par ailleurs l'intégration entre Distributed Cloud Web App Scanning et BIG-IP Advanced WAF, permettant la détection automatisée de vulnérabilités par tests de pénétration et le déploiement de correctifs virtuels ciblés sans interruption de service.
BIG-IP Zero Trust Access et la refonte de l'accès hybride
F5 repositionne BIG-IP Access Policy Manager (APM) sous le nom BIG-IP Zero Trust Access, en réaffirmant ses capacités d'accès applicatif zéro confiance (ZTAA) comme composante centrale de l'ADSP. Le changement de nom reflète une évolution fonctionnelle : contrairement aux solutions ZTNA purement SaaS, BIG-IP Zero Trust Access supporte des opérations zéro confiance hybrides avec une validation d'identité et de contexte par requête, couvrant les applications modernes, cloud, SaaS et les applications héritées.
La validation par requête — plutôt que par session — réduit la capacité de déplacement latéral en cas de compromission d'un compte ou d'un terminal. La plateforme supporte les modes Identity Aware Proxy, SSL VPN et IPsec VPN sur une architecture prête pour la cryptographie post-quantique. Sur ce dernier point, F5 implémente les groupes de chiffrement TLS hybrides alignés sur les standards NIST, permettant une transition progressive vers la cryptographie post-quantique sans rupture de compatibilité avec les flux existants — une approche que le secteur nomme « crypto-agilité ». La notion de Q-Day — le moment hypothétique où un ordinateur quantique suffisamment puissant pourrait casser les chiffrements asymétriques actuels — reste sans calendrier précis, mais les migrations cryptographiques dans les grandes organisations nécessitent des cycles de plusieurs années, ce qui justifie une préparation anticipée.
Sécurité des API et environnements isolés
Les nouvelles options de découverte et de sécurisation des API dans F5 Distributed Cloud API Security étendent la visibilité hors bande à plusieurs plans de données : BIG-IP, NGINX, Kong et Apigee. F5 introduit également une version déployable en environnements isolés du réseau — réseaux air-gap, secteurs fortement réglementés ou contraints sur le plan cloud — permettant une supervision complète des API sans connexion externe. Cette capacité répond directement aux exigences de souveraineté des données et de conformité réglementaire qui conditionnent les déploiements dans les secteurs de la finance, de la santé et du secteur public européen.
L'ensemble de ces évolutions traduit la stratégie de plateforme de F5 : réduire le nombre de couches de sécurité distinctes en intégrant le WAF, la protection des API, la gestion des bots, l'accès zéro confiance et la préparation post-quantique dans un plan de contrôle unifié. Gartner recommande précisément cette approche dans une note d'avril 2025, soulignant le risque de « proxy overload » — accumulation de proxys de sécurité distincts générant des problèmes de performance et de disponibilité — pour les organisations qui n'adoptent pas une logique de plateforme consolidée. Pour les RSSI qui rationalisent leurs architectures de sécurité sous pression budgétaire, l'argument de la convergence devient un critère de sélection à part entière.
