F5 a annoncé de nouvelles capacités de protection pour les applications web et les API afin de faire face à une évolution préoccupante pour les équipes de sécurité : l’intelligence artificielle de frontière réduit le délai entre la détection d’une vulnérabilité et son exploitation active. La société enrichit ainsi sa plateforme de Livraison et de Sécurité des Applications avec des améliorations du WAF impulsé par l’IA, de la sécurité des API pour les environnements isolés, et de correctifs virtuels permettant de protéger les applications avant l’obtention d’un correctif définitif.

Cette annonce reflète une réalité délicate pour de nombreuses entreprises : les attaquants n’ont plus besoin d’attendre la publication d’une signature classique ou d’un CVE documenté pour exploiter une vulnérabilité. Grâce à des modèles avancés, l’automatisation et des outils d’analyse, ils peuvent tester des chaînes d’exploitation, rechercher des failles faibles et adapter leurs attaques avec une rapidité accrue. Pour F5, cela implique de passer d’une sécurité réactive à une défense proactive, capable de détecter précocement des signaux de risque avant que l’attaque ne soit formellement identifiée.

Un WAF qui évalue le risque pour chaque requête

La principale nouveauté réside dans F5 Distributed Cloud WAF, doté de capacités d’analyse avancée par IA. Plutôt que de se reposer uniquement sur des signatures connues, le système combine des indicateurs d’attaque avec un réseau neuronal continuellement entraîné sur une télémetrie réelle. Chaque requête reçoit ainsi une note de risque numérique basée sur plusieurs signaux, permettant aux équipes de sécurité de prendre des décisions plus informées qu’un simple autoriser ou bloquer.

F5 affirme que cette approche facilite la détection de nouveaux schémas d’exploitation et l’interception de chaînes de vulnérabilités en couche 7, avant même la disponibilité de signatures spécifiques. La couche 7, correspondant au niveau applicatif, est précisément le lieu où se concentrent de nombreuses menaces modernes visant les APIs, formulaires, sessions, authentifications, logique métier et services exposés.

L’entreprise relie cette évolution à l’augmentation des problématiques liées à l’IA. Selon leur rapport State of Application Strategy 2026, 88 % des organisations déclarent au moins un défi opérationnel ou de sécurité lié à l’intelligence artificielle. Ce chiffre confirme une tendance croissante dans le secteur : l’IA ne se limite pas à de nouveaux outils de défense, elle accélère aussi la cadence et l’étendue des attaques.

F5 cite également des tests récents de SecureIQLab, où F5 WAAP et F5 AI Guardrails ont obtenu un score global de sécurité de 97,09 %, avec une précision de 100 % contre les risques présents dans l’OWASP WAF Top 10 et API Top 10, ainsi que des notes complètes en mitigation des bots et protection contre les attaques par déni de service en couche 7. Comme pour toute évaluation de fournisseur, ces chiffres doivent être validés par des tests propres à chaque environnement, mais ils illustrent la position stratégique de F5 dans un marché en pleine mutation vers des défenses plus automatisées et contextuelles.

API isolées pour les secteurs réglementés

La seconde innovation concerne F5 API Security Local Edition, une solution conçue pour les organisations qui ne peuvent se fier à des services cloud externes pour protéger leurs API. Il s’agit notamment de secteurs tels que la défense, le renseignement, l’administration publique, la finance, la santé ou les infrastructures critiques, où les exigences de souveraineté, d’isolement ou de conformité rendent impossible l’utilisation d’outils « qui appellent à domicile » pour analyser le trafic ou la télémetrie.

Le produit permet la découverte, la visibilité, la gouvernance et la protection des API en mode 100 % local. Il peut identifier les points d’accès (endpoints), cartographier les schémas, détecter les risques et évaluer les menaces sans dépendre d’une connectivité externe. Cette capacité devient encore plus stratégique avec l’intégration de l’IA, puisque les APIs représentent souvent la voie principale par laquelle des modèles, agents ou systèmes de déduction se connectent aux données et applications.

Les APIs sont le fondement de l’entreprise numérique : intégration des applications, exposition de services, partenariat, automatisation des processus, alimentation des systèmes d’intelligence artificielle. Mais cette centralité en fait aussi une cible privilégiée pour les attaquants. Une API mal documentée, oubliée ou fortement exposée peut devenir une porte d’accès à des données sensibles.

F5 positionne API Security Local Edition comme une réponse à deux tendances convergentes : la croissance des APIs critiques et la demande accrue de solutions isolées ou souveraines. Dans des environnements très réglementés, la visibilité locale n’est pas une option, mais une exigence technique, légale ou contractuelle.

Son intégration avec F5 BIG-IP Advanced WAF permet de l’utiliser comme point de gouvernance et de blocage. Elle facilite aussi la mise à jour des politiques et l’exportation de documents certifiés, afin d’évoluer vers des modèles de sécurité proactive, où l’on définit précisément ce que doit permettre ou interdire une application, plutôt que de se limiter à traquer le mal.

Correctif virtuel pour gagner du temps

La troisième innovation est la consolidation du correctif virtuel. Bien qu’elle ne soit pas nouvelle, cette approche prend toute sa valeur dans un contexte où l’exploitation peut précéder la mise en œuvre d’un correctif. Beaucoup d’entreprises doivent tester, valider, faire des contrôles de qualité et déployer des correctifs, processus qui peuvent durer des jours ou des semaines. Pendant ce temps, les attaquants peuvent agir en quelques heures.

F5 propose d’associer BIG-IP Advanced WAF avec F5 Distributed Cloud Web App Scanning pour identifier rapidement les vulnérabilités et appliquer des protections temporaires en couche d’application, garantissant la protection en temps réel pendant que les équipes de développement finalisent le correctif complet.

Ce dispositif ne remplace pas la correction du code, mais constitue une mesure de containment essentielle lorsque la vulnérabilité est critique ou ne peut pas être corrigée immédiatement sans impact opérationnel. Il consiste à limiter l’exposition tout en permettant le fonctionnement normal en attendant une correction définitive.

L’objectif principal est de réduire la fenêtre d’exposition. En sécurité, de nombreuses crises surviennent non pas parce qu’une faille est ignorée, mais parce que le délai entre la détection, la hiérarchisation, la validation et le déploiement est trop long. L’IA accentue cette pression en accélérant ces processus.

Une approche préventive dans la sécurité applicative

L’annonce de F5 illustre une tendance plus large dans l’évolution du marché WAAP. Pendant des années, les entreprises ont protégé applications et APIs avec des WAF, signatures, règles, listes de blocage, outils d’analyse de bots, contrôles d’authentification et scanners. Toutes ces mesures sont toujours nécessaires, mais peuvent être insuffisantes face à des attaques plus rapides et plus sophistiquées.

La défense préventive cherche à anticiper. Elle ne se limite pas à attendre qu’un attaquant ait une identité, une signature ou un CVE. Elle détecte comportements, combinaisons anormales, signes d’exploitation, abus de logique et motifs ressemblant à ceux d’un attaquant. C’est un changement important mais délicat : plus la détection est automatisée, plus il faut maîtriser les faux positifs, l’explicabilité et la capacité d’ajustement.

Pour les équipes de sécurité, la promesse de F5 est de réduire la charge opérationnelle. Moins de réglages manuels, moins de bruit, des réponses plus rapides. Pour les entreprises réglementées, le message est que cette sécurité doit aussi fonctionner dans des environnements isolés, où la télémetrie vers le cloud n’est pas toujours possible, ni la dépendance aux services externes.

L’adoption de l’IA étend la surface d’attaque de plusieurs façons : augmentation du nombre d’APIs, intégrations multiples, agents exécutant des actions, et accélération de la recherche de vulnérabilités. C’est pourquoi les applications et APIs restent au cœur de la stratégie de sécurité. Elles connectent utilisateurs, données, modèles, processus et décisions, représentant une cible stratégique.

F5 vise à s’imposer sur cette scène avec une offre complète : WAF alimenté par l’IA, sécurité locale des API et correctif virtuel. La réussite résidera dans leur application concrète. Les entreprises devront évaluer si leur scoring de risque réduit le bruit, si la sécurité locale s’intègre avec leur environnement on-premise, si le correctif virtuel s’harmonise avec leurs processus de développement, et si tout cela renforce leur capacité à faire face aux menaces sans attendre une intervention humaine.

Questions fréquentes

Qu’est-ce que WAAP ?

WAAP signifie Protection des Applications Web et des API. Il s’agit d’une catégorie de sécurité dédiée à la protection des applications web et API contre les attaques, bots, abus logiques, vulnérabilités, et menaces de couche applicative.

Que propose le WAF avec IA de F5 ?

Selon F5, leur WAF alimenté par l’IA analyse de multiples signaux et attribue une note de risque à chaque requête, permettant de détecter des schémas d’attaque nouveaux, même avant qu’une signature spécifique n’existe.

Qu’est-ce que F5 API Security Local Edition ?

C’est une solution pour découvrir, documenter, surveiller et protéger les API en environnement local ou isolé, sans dépendre de services cloud externes. Elle est destinée aux secteurs réglementés et aux charges sensibles.

Qu’est-ce que le correctif virtuel ?

C’est une protection temporaire appliquée en couche de livraison ou d’application pour réduire le risque d’exploitation pendant que les équipes conçoivent, testent et déploient le correctif définitif.

source : f5