L’IA amplifie les risques sur les API

C’est le principal constat de la quatrième édition de l’étude mondiale d’Akamai sur la sécurité des API, menée auprès de 1 840 professionnels dans dix pays et six secteurs d’activité.

Une surface d’attaque en forte expansion

Selon l’enquête, 87 % des organisations déclarent avoir subi au moins un incident de sécurité lié aux API en 2025, contre 76 % en 2022. En moyenne, chaque entreprise a enregistré 3,5 incidents sur les douze derniers mois, avec un coût moyen dépassant 700 000 dollars par incident.

Cette hausse s’explique notamment par des déploiements trop rapides d’API, souvent réalisés sans tests ni dispositifs de sécurité suffisants.

L’IA, nouveau facteur aggravant

L’essor des applications basées sur l’IA, des agents intelligents et des grands modèles de langage (LLM) accentue encore cette tendance. Les API qui alimentent ces systèmes deviennent des cibles privilégiées : 42 % indiquent qu’elles ont été attaquées au cours de l’année écoulée.

Dans ce contexte, la sécurisation des technologies d’IA s’impose comme la priorité numéro un pour 38 % des équipes de sécurité. Une évolution logique, tant les API constituent désormais la colonne vertébrale des écosystèmes IA.

Le nombre d’API explose littéralement et la plupart des entreprises peinent à en assurer le suivi, Sean Lyons, Senior Vice President chez Akamai souligne « à l’ère de l’IA, la sécurité des API ne peut plus être secondaire. »

Une visibilité en net recul

L’étude met également en lumière une dégradation préoccupante de la visibilité sur les API, pourtant essentielle pour les sécuriser efficacement. Seules 27 % des organisations disposant d’un inventaire complet savent précisément quelles API exposent des données sensibles, contre 40 % en 2022.

Cette perte de contrôle est directement liée à la multiplication rapide des API, notamment dans les projets IA, où les cycles de développement sont accélérés. Résultat : les entreprises peinent à maintenir une cartographie fiable de leur surface d’exposition.

Des secteurs particulièrement touchés

Certains secteurs apparaissent plus vulnérables que d’autres. Les services financiers sont en première ligne, avec 96 % des organisations déclarant au moins une attaque liée aux API sur les douze derniers mois.

En termes de coûts, les impacts les plus élevés concernent : l’énergie et les services publics (860 000 dollars en moyenne), l’industrie manufacturière (732 000 dollars), la santé et les sciences de la vie (725 000 dollars).

Ces chiffres illustrent la criticité des API dans des environnements où les données sont particulièrement sensibles ou stratégiques.

Un décalage entre perception et réalité

L’enquête révèle également un écart notable entre la perception des dirigeants et la réalité opérationnelle. Ainsi, 40 % des cadres estiment avoir atteint un niveau avancé de maturité en matière de tests d’API, contre seulement 28 % des équipes DevSecOps.

Par ailleurs, seules 53 % des organisations disposent de ressources dédiées à la sécurité des API, malgré le fait que près de 80 % les considèrent comme une priorité stratégique.

Vers une sécurité des API “by design”

Face à ces constats, Akamai recommande de repenser en profondeur les stratégies de sécurité, et cela passe notamment par :

• une meilleure visibilité, via l’identification exhaustive des API, en particulier celles liées à l’IA et aux LLM
• l’intégration de tests et des contrôles de sécurité au long du cycle de vie des API
• l’adoption d’une approche où la sécurité devient un prérequis à la fiabilité des systèmes d’IA.

Dans un environnement où l’innovation s’accélère, la sécurisation des API apparaît comme une condition indispensable pour exploiter pleinement le potentiel de l’intelligence artificielle sans en subir les risques.

Source : enquête mondiale Akamai auprès de 1 840 professionnels de la sécurité dans 6 secteurs d’activité et 10 pays.

Ressources complémentaires sur iTPro.fr

Identité de l’IA : 4 priorités pour anticiper plutôt que subir la régulation

Anticiper la nouvelle génération d’agents d’IA : concevoir des systèmes autonomes sécurisés, fiables et conformes