F5 a profité de son événement AppWorld pour dévoiler un nouveau lot de capacités en matière de sécurité dans son Application Delivery and Security Platform (ADSP). Le message est en parfaite adéquation avec le contexte actuel du marché : les entreprises doivent protéger leurs applications distribuées, leurs APIs et leurs charges de travail en intelligence artificielle, sans accumuler un dédale d’outils dispersés. La société présente une stratégie unifiant protection basée sur l’IA, contrôles Zero Trust et préparation à la cryptographie post-quantique dans des environnements hybrides et multiclouds.

Le concept de fond est assez simple à saisir. Alors que les organisations dispersent leurs applications entre data centers, différentes clouds, edge et services SaaS, la sécurité ne peut plus se limiter à un seul périmètre. Dans ce contexte, F5 propose ADSP comme une couche unifiée pour déployer et sécuriser les applications modernes, y compris celles utilisant l’IA, en réduisant la fragmentation entre observabilité, WAF, accès sécurisé, défense contre les bots et sécurité des APIs. La société a présenté ces annonces parallèlement à une mise à jour de la plateforme axée sur l’observabilité et les opérations, introduisant également F5 Insight for ADSP comme composant dédié à la visibilité et à l’analyse.

Une des nouveautés clés est F5 AI Remediate. Selon F5, cette fonction vise à réduire l’écart entre la détection de vulnérabilités dans les modèles d’IA avec F5 AI Red Team et le déploiement d’une protection opérationnelle avec F5 AI Guardrails. La proposition consiste à automatiser la création, l’optimisation et la validation de packages de garde-fous ciblant des risques précis, permettant aux équipes de sécurité de mettre en production ces protections avec une validation humaine, évitant ainsi la répétition fastidieuse de tâches manuelles. En théorie, F5 veut passer du simple diagnostic à une mitigation validée, avec moins de friction opérationnelle.

Par ailleurs, une mise à jour de F5 Distributed Cloud WAF intègre risk scoring basé sur l’IA et des politiques de blocage plus axées sur l’efficacité. F5 affirme que cette couche vise à réduire la nécessité d’ajustements manuels de signatures et exceptions, un enjeu majeur pour les entreprises disposant d’un portefeuille étendu d’applications réparties entre hardware local, environnements virtuels, SaaS et conteneurisation. Il s’agit d’un argument récurrent en matière de WAAP, mais dans ce cas précis, F5 l’intègre dans une vision plus large : moins d’ajustements manuels, plus d’analyse multicouche pour accélérer la protection tout en limitant les faux positifs.

Sécurité à l’ère des agents

Un autre axe important du lancement concerne l’évolution de F5 Distributed Cloud Bot Defense. L’objectif n’est plus seulement de différencier humains et bots, mais aussi de distinguer personnes, bots et agents d’IA. F5 indique que la plateforme offrira une meilleure visibilité sur le trafic applicatif et permettra de n’autoriser que des agents IA fiables et vérifiables, en bloquant toute utilisation malveillante ou non contrôlée. Cette approche répond à une préoccupation croissante : si les agents opèrent désormais dans des secteurs comme le e-commerce, les APIs ou encore les applications internes, la sécurité ne peut plus traiter toute automatisation de la même manière.

Ce positionnement s’inscrit dans une logique cohérente. Dans un article technique publié le 11 mars, F5 a annoncé que BIG-IP v21.1, prévu dans les prochains mois, renforcera la protection du trafic via le Model Context Protocol (MCP), incluant une inspection WAF spécifique contre des risques tels que la manipulation d’outils, l’exposition de secrets ou les injections, ainsi que la persistance de session pour les flux MCP. La société prévoit également une Dynamic Client Registration dans BIG-IP Zero Trust Access pour permettre à des agents ou applications de s’enregistrer en toute sécurité auprès du serveur d’autorisation lors de la création de nouvelles tâches ou de nouveaux clients. Cela souligne la volonté de faire passer la sécurité IA du conceptuel à la réalité, en adossant la protection à des mécanismes concrets d’autorisation et de contrôle du trafic.

BIG-IP APM change de nom, la sécurité des API gagne en flexibilité

Parallèlement, F5 repositionne BIG-IP Access Policy Manager (APM) sous l’appellation BIG-IP Zero Trust Access. Ce n’est pas un simple changement de nom : il s’agit de mettre en avant la capacité de la plateforme à fournir un accès Zero Trust aux applications modernes, SaaS, cloud et legacy. Avec une validation basée sur la demande, et des politiques fondées sur l’identité et le contexte, F5 souhaite se différencier des solutions ZTNA purement SaaS, tout en conservant un support hybride pour des services comme Identity Aware Proxy, SSL VPN et IPsec VPN.

Concernant la sécurité des APIs, F5 annonce de nouvelles options dans Distributed Cloud API Security pour la découverte hors bande dans plusieurs plans de données, incluant BIG-IP, NGINX, Kong et Apigee. La société propose également une version déployable en mode logiciel, adaptée aux environnements air-gapped, très réglementés ou avec des restrictions cloud. Cela répond à un besoin réel du marché : beaucoup d’organisations cherchent une visibilité et un contrôle accrus sur leurs APIs, sans dépendre uniquement de connexions externes ou d’une architecture purement SaaS. La stratégie de F5 consiste à couvrir ces cas sans nécessiter une refonte complète de l’infrastructure existante.

Le blog technique de BIG-IP v21.1 donne des éclairages supplémentaires. F5 indique que BIG-IP Advanced WAF ajoutera une protection pour le trafic HTTP/3 et pour les APIs conformes à OpenAPI 3.1. Elle intégrera également l’apprentissage automatique pour détecter et bloquer les requêtes ne respectant pas la spécification, en analysant les endpoints, méthodes, paramètres et exigences de sécurité. Ces avancées concrétisent la promesse d’une sécurité moderne évoquée dans la communication officielle.

Post-quantième : moins de discours futuristes et plus de crypto-agilité

La troisième priorité annoncée est la préparation à l’univers post-quante. F5 met en avant une architecture crypto-agile intégrant le support de groupes de chiffrements TLS hybrides pour faire évoluer la cryptographie vers une résistance quantique tout en maintenant la compatibilité avec les flux cryptographiques actuels. Ce discours est désormais plus concret qu’il y a quelques années. En août 2024, NIST a adopté trois nouvelles normes FIPS pour la cryptographie post-quante : FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA). Ce cadre permet d’envisager plus concrètement la transition en produits et services.

F5 précise sa démarche. Lors du lancement de BIG-IP v21.1, la société indique avoir déjà franchi une étape avec la version 17.5.0, qui supportait X25519_ML-KEM-768 en TLS 1.3. La nouvelle version ajoutera deux groupes de chiffrement post-quante compatibles avec NIST : SecP256r1ML-KEM-768 et SecP384r1ML-KEM-1024. Par ailleurs, BIG-IP Zero Trust Access intégrera des tunnels TLS/SSL VPN résistants aux menaces quantiques, avec support pour X25519 + ML-KEM-768. En résumé, F5 ne se contente pas de parler de menace quantique de manière abstraite, mais cherche à intégrer cette dimension de manière très concrète dans ses solutions d’accès et de délivrance applicative.

Au global, cette communication montre une orientation claire : moins de produits isolés et plus de plateforme globale pour la protection des applications, APIs et charges IA dans des environnements distribués. Reste à voir dans quelle mesure cette vision se traduira en adoption concrète, ou si elle restera en partie un positionnement stratégique pour le futur, comme pour certaines fonctionnalités annoncées pour BIG-IP v21.1. Cependant, cette démarche reflète clairement la direction prise par le marché : une sécurité IA plus opérationnelle, un Zero Trust plus étendu qu’au seul accès distant, et une cryptographie post-quante considérée comme une étape de transition plutôt qu’un simple défi technologique.

Questions fréquentes

Qu’a annoncé F5 lors d’AppWorld 2026 ?

F5 a présenté de nouvelles capacités de sécurité dans sa Application Delivery and Security Platform (ADSP), comprenant AI Remediate, des améliorations pour Distributed Cloud WAF, de nouvelles fonctionnalités pour Bot Defense, davantage d’options pour Sécurité des API, une évolution de BIG-IP APM vers BIG-IP Zero Trust Access, ainsi que des avancées en cryptographie post-quante.

Qu’est-ce que F5 AI Remediate ?

C’est une nouvelle fonction qui vise à automatiser la transition entre la détection des vulnérabilités dans les modèles d’IA et le déploiement de garde-fous validés en production, en s’appuyant sur F5 AI Red Team et F5 AI Guardrails.

Qu’apporte la nouvelle version de BIG-IP Zero Trust Access ?

F5 repositionne BIG-IP APM sous la bannière BIG-IP Zero Trust Access, mettant en avant son rôle dans l’accès Zero Trust aux applications modernes, SaaS, cloud ou legacy, avec une validation continue en fonction de l’identité et du contexte.

Quel lien existe-t-il entre cette annonce et la cryptographie post-quante ?

F5 renforce ADSP et BIG-IP en supportant des groupes de chiffrement hybrides et en proposant de nouvelles options conformes aux standards post-quantiques adoptés par NIST en 2024, comme ML-KEM. La version BIG-IP v21.1 intégrera de nouveaux groupes de chiffrement et des VPN résistants aux menaces quantiques, traduisant une volonté concrète d’intégrer cette problématique dans ses solutions d’accès et dDelivery.

Source : f5