L’équipementier F5 renforce la sécurité des applications en ajoutant un service à son package principal Distributed Cloud Service. Lancé en 2023, ce dernier est une plateforme SaaS permettant la gestion des applications, la gestion de l'infrastructure et les services de sécurité sur les sites cloud publics, cloud privés et edge des clients. Le service de découverte et de protection des API du fournisseur vise à offrir aux clients un moyen simple de découvrir les points d'extrémité des API, de surveiller le trafic à la recherche de vulnérabilités, de fournir des tests et de protéger les applications. "L'objectif principal est de protéger les entreprises de l'exfiltration de données par le biais d'API non surveillées, mal implémentées ou mal configurées", a déclaré Kara Sprague, vice-présidente exécutive et directrice des produits chez F5. "Le service offre aux entreprises une vision beaucoup plus claire des API qu'elles ont exposées au public et du type de données que ces API échangent, afin qu'elles puissent sécuriser beaucoup plus facilement ces données."
L'ère des applications monolithiques, traditionnelles client-serveur à trois niveaux, est révolue, a déclaré Mme Sprague. Selon l'étude 2024 State of Application Strategy de F5, 88% des organisations déploient leurs applications et leurs API dans des environnements hybrides qui englobent les sites sur site et dans le cloud, et près de 40% des organisations exploitent des applications et des API dans six environnements différents. "Les nouvelles applications d'aujourd'hui sont basées sur des conteneurs et des microservices, et ces applications natives de conteneurs et de microservices sont toutes dotées d'API qui constituent en fait les portes d'entrée vers la logique applicative moderne et qui sont désormais la principale cible des cyberattaques", a déclaré Mme Sprague.
Wib Security assure une visibilité complète des API
Le service F5 utilise la technologie de sécurité des API issue du récent rachat de la start-up israélienne Wib Security (10 millions de dollars environ). Cette dernière comprend des fonctionnalités d'analyse de code, de détection des vulnérabilités et d'évaluation des risques qui permettent aux clients de surveiller les processus de développement des applications afin d'atténuer les menaces et de repérer les problèmes, peu importe où ils se trouvent, avant qu'ils ne pénètrent sur le réseau de l'entreprise. "La sécurité des applications devient de plus en plus importante dans le secteur. Les entreprises sont contraintes - par les interactions avec les fournisseurs, les considérations relatives à la chaîne d'approvisionnement et/ou les contrôles de conformité réglementaire - d'examiner et de documenter la manière dont leurs applications sont utilisées, développées et sécurisées", a déclaré Christopher Steffen, directeur de recherche chez Enterprise Management Associates.
"Les entreprises se rendent compte que nombre de leurs applications sont multigénérationnelles. Ce qui signifie qu'il est possible, voire probable, que les applications utilisées aient été développées sur une base qui a plusieurs générations techniques de retard", a souligné M. Steffen. "La technologie est tellement obsolète que vous avez souvent besoin d'un spécialiste pour refactoriser l'application en quelque chose de plus moderne et utilisable. C'est extrêmement coûteux, et même avec un réaménagement, la sécurité est souvent une considération secondaire ou tertiaire dans le processus." Alors que de nombreuses fonctions existaient en tant qu'offres indépendantes et autonomes, F5 a maintenant combiné les outils en une plateforme holistique, ce qui devrait être intéressant à la fois pour les développeurs et les gestionnaires, a indiqué M. Steffen. "Lorsque les développeurs disposent d'un outil unique conçu en fonction de leurs processus, qui leur fournit des informations exploitables au lieu d'un vague message "c'est cassé", ils sont beaucoup plus susceptibles de l'utiliser", a déclaré M. Steffen.
Plus d'automatisation
"En l'état actuel des choses, un ingénieur de développement doit utiliser une suite d'outils vaguement intégrés pour accomplir un grand nombre des mêmes fonctions que la solution F5 pourra accomplir pour lui en une seule fois. Les équipes de développement recherchent les meilleurs outils de sécurité qui non seulement répondent à leurs exigences en matière de sécurité, mais qui créent également le moins de friction possible dans leurs processus. Je pense que F5 a fait un grand pas dans cette direction", a poursuivi M. Steffen. En plus de son service API, F5 promet d'intégrer de l'IA à son service cloud distribué. Par exemple, plus tard cette année, le fournisseur prévoit d'introduire un assistant IA basé sur le langage naturel pour aider les équipes de sécurité informatique à identifier plus facilement les anomalies, à interroger et à générer des configurations de politiques, et à appliquer des mesures correctives, a rapporté M. Sprague. « L'assistant fera partie de la console Distributed Cloud et permettra aux utilisateurs d'interroger leurs ensembles de données pour obtenir des recommandations sur les mesures et les capacités de sécurité qu'ils devraient appliquer à leurs diverses applications et API, entre autres cas d'utilisation ».
L'assistant IA fera partie d'un service plus large basé sur l'IA appelé AI Data Fabric, qui agrègera les données des Distributed Cloud Services ainsi que du système de support d'application NGinx de F5 et du portefeuille de produits réseau BIG-IP. À partir de ces données, la société prévoit de fournir des rapports et des analyses, voire de former et de déployer des modèles de machine learning pour exécuter des inférences afin de mieux sécuriser et optimiser les applications, a précisé M. Sprague. « L'idée derrière AI Data Fabric sera de fournir des services intelligents qui permettront aux entreprises de répondre aux menaces en temps réel, de générer des recommandations pour les aider à prendre des décisions plus éclairées et à prendre des mesures rapides telles que la correction », a assuré M. Sprague.