Évolution du WAAP : De la protection « Application Web et API » à la protection « Web, API et IA »

En approfondissant nos recherches annuelles , j’arrive à plusieurs conclusions incontournables, largement motivées par l’impact de l’IA sur, eh bien, tout.

L’une de ces conclusions incontournables est qu’il est temps pour WAAP de passer de la « protection des applications Web et des API » à la « protection du Web, des API et de l’IA ».

J'ai dit ce que j'ai dit.

Il existe de nombreuses raisons pour lesquelles cette affirmation est valable, la première étant que « Web » et « application » sont redondants. Bien que les estimations puissent varier en fonction de la méthodologie et de la période, plusieurs sources du secteur suggèrent qu'environ 80 % du trafic Internet est acheminé via les protocoles HTTP (y compris HTTP et HTTPS). Par exemple, les rapports Cisco Visual Networking Index (VNI) et des analyses similaires provenant de réseaux de diffusion de contenu comme Akamai ont systématiquement indiqué que le trafic Web, principalement transmis via HTTP/HTTPS, constitue la grande majorité du trafic Internet mondial.

Tout trafic délivré via « HTTP/S » est généralement considéré comme une « application » du point de vue des services de livraison et de sécurité. Que le contenu généré provienne d’une application moderne ou traditionnelle, statique ou dynamique, n’a en grande partie aucune importance par rapport à la multitude de services utilisés pour le diffuser et le sécuriser. Même le pourcentage de services d’infrastructure, tels que DNS, fournis via HTTP/S est en augmentation. Les estimations du secteur de Cloudflare suggèrent généralement qu’environ 10 à 20 % du trafic DNS est aujourd’hui acheminé via HTTPS (DoH) .

Alors, abandonnons « application Web » et disons simplement « Web ».

L'API dans WAAP reste importante. Le trafic des API a augmenté, il n'est pas nécessaire de citer toutes les sources qui affirment que les API sont dominantes aujourd'hui. Mais au cas où vous auriez besoin de moi, c'était en 2021, lorsque le rapport RapidAPI sur l'état des API indiquait que des milliards d'appels d'API étaient effectués chaque mois sur une gamme diversifiée de services. En moyenne sur un mois (qui compte environ 2,6 millions de secondes), ces chiffres impliquent une moyenne de l'ordre de 400 000 appels API par seconde à l'échelle mondiale.

Et c'était il y a quatre ans, avant que l'IA générative n'apparaisse sur la scène. 

Ce qui nous amène au véritable objectif de cet article, qui est d’intégrer l’IA dans WAAP.

Maintenant, je sais que je viens de dire qu’il ne faut pas être redondant, donc le fait que la consommation d’IA soit presque universellement réalisée via des API donne l’impression que c’est inutile, mais la variation dans la façon dont les services de livraison et de sécurité doivent gérer le contenu non déterministe, en grande partie basé sur du texte, est suffisamment importante pour justifier d’être dénoncée. Au moins pour l'instant.

Parce que vous voyez, les principaux services de livraison et de sécurité prévus pour être utilisés dans la protection de l’inférence de l’IA sont, attendez-vous, en grande partie les mêmes que ceux inclus dans WAAP.

N’oublions pas qu’au cours de l’année écoulée, un nouveau service de sécurité, AI Gateway, est entré dans la salle. Les passerelles d'IA ajoutent des protections spécifiques à l'IA autour des invites et des réponses nécessaires pour remédier à certaines des vulnérabilités spécifiques à l'IA qui existent, telles que l'injection d'invite, le jailbreaking et même les hallucinations.