IA et sécurité des API : l’enquête Akamai révèle les risques L'IA et la sécurité des API sont au cœur des risques: 87% des organisations signalent un incident API en 2025, coût moyen plus de 700 000 dollars.
L'alliance entre l'IA et la sécurité des API brosse un tableau inquiétant : les menaces se multiplient et les coûts des incidents grimpent. Selon Akamai, 87 % des organisations ont subi au moins un incident lié aux API en 2025, avec un coût moyen supérieur à 700 000 dollars.
IA et sécurité des API : ce que révèle l'enquête
L'étude d'Akamai montre que les attaques deviennent plus sophistiquées et plus automatisées grâce à l'IA. Des bots capables de scanner rapidement des endpoints, de tester des combinaisons d'URL et d'autorisations, puis de lancer des attaques en continu, portent un nouveau risque pour les API critiques. L'IA permet aussi d'adapter les attaques en temps réel en fonction des réponses des API et des contre-mesures mises en place par les éditeurs.
Comment l'IA amplifie les risques pour les API
Parmi les vecteurs les plus sensibles, on voit le vol et l'utilisation abusive des clés API, le piratage de tokens d'accès et les droits trop permissifs qui ouvrent des portes inutiles. L'IA facilite aussi la reconnaissance des surfaces d'API exposées et la personnalisation des attaques selon le contexte d'utilisation.
- Automatisation des attaques : des requêtes à grande échelle générées par des modèles IA, rendant les protections traditionnelles insuffisantes.
- Vol et rotation des clés : les jetons et clés API peuvent être compromis et réutilisés sans maîtrise adéquate des cycles de rotation.
- Conception des API : des surfaces d'API mal sécurisées et des permissions excessives qui facilitent l'exploitation.
Bonnes pratiques pour limiter les risques
Pour réduire l'exposition, les entreprises doivent adopter une approche de sécurité par conception et une défense en profondeur adaptée à l'ère de l'IA.
- Contrôles d'accès renforcés : mettre en œuvre OAuth 2.0 / OIDC avec des tokens à durée courte et rotation régulière des clés.
- Authentification et transport sécurisés : privilégier le mTLS et chiffrer les échanges API.
- Limitation et observabilité : imposer des quotas, détecter les anomalies en temps réel et centraliser les journaux pour les alertes.
- Tests et validation : réaliser des tests d'intrusion sur les API, modéliser les menaces et auditer les droits d'accès.
- Réduction du périmètre : appliquer le principe du moindre privilège et limiter les surfaces d'API publiques.
Limites et ce qu'on ignore encore
Les chiffres d'Akamai donnent une tendance, mais la réalité varie selon les secteurs et les niveaux de maturité des équipes. Le coût moyen peut masquer des incidents très coûteux et d'autres plus modestes qui échappent à l'estimation. De plus, les menaces évoluent avec l'IA et les chaînes d'approvisionnement associées, ce qui rend nécessaire une veille continue et des ajustements réguliers des stratégies de sécurité.
Pour terminer
En définitive, l'IA peut amplifier les risques autour des API, mais elle peut aussi renforcer la défense lorsqu'elle est intégrée à une stratégie robuste. L'enjeu est de transformer les enseignements de l'enquête en actions concrètes et mesurables sur le terrain.
