Le numérique moderne repose sur des connexions silencieuses. Ce ne sont pas les clics des utilisateurs ou les pages web qui forment la charpente du cyberespace, mais bien ces innombrables interfaces logicielles appelées API – interfaces de programmation d’applications – qui permettent aux systèmes de dialoguer entre eux. Dans une économie numérique où chaque application échange des données avec d’autres services, les API sont devenues omniprésentes. Et cette omniprésence attire inévitablement l’attention des cybercriminels.
Un rapport publié à la mi-2025 (API Threat Report H1 2025 – Thales Group) alerte sur une hausse spectaculaire des attaques ciblant ces interfaces. Plus de 40 000 incidents ont été recensés dans les six premiers mois de l’année, soit une augmentation de près de 20 % par rapport à la même période en 2024. Cette progression n’est pas seulement quantitative : elle révèle aussi une sophistication croissante des méthodes employées, souvent invisibles aux radars classiques de la cybersécurité.
Contrairement aux attaques DDoS classiques, bruyantes et massives, les attaques sur les API s’en prennent à la couche applicative : elles visent le fonctionnement même des services en ligne, avec une précision chirurgicale. Les requêtes malveillantes miment un comportement légitime, rendant leur détection d’autant plus complexe. Il ne s’agit pas d’inonder un site de trafic, mais de le manipuler à travers ses fonctions internes.
Ces attaques concernent de nombreux secteurs mais frappent plus durement la finance, les télécommunications et les services liés au voyage. Des industries où la connectivité est critique, où les API assurent l’authentification, la réservation, la gestion des comptes ou encore l’accès aux données client. Dans un cas documenté, une API d’une plateforme de réservation aérienne a été submergée par 15 millions de requêtes par seconde, simulant un usage normal… mais destiné à saturer ses ressources internes. Ce type d’attaque de la couche 7 (applicative) perturbe gravement les opérations sans laisser de traces visibles dans les infrastructures réseau.
À côté de ces attaques massives, les tentatives de credential stuffing progressent de manière alarmante. En 2025, leur fréquence a augmenté de 40 %. Cette technique consiste à utiliser des listes d’identifiants volés – souvent extraits de fuites précédentes – pour accéder à des comptes via des API vulnérables. Lorsque l’authentification repose sur des protocoles faibles ou qu’elle ne prévoit pas d’authentification multi-facteurs adaptative, le risque devient systémique. Chaque API devient une serrure potentielle à forcer, et les assaillants disposent de millions de clefs.
Les raisons de cette explosion sont multiples. D’abord, la complexité croissante des architectures numériques multiplie les points d’interconnexion. Une entreprise moderne peut gérer plusieurs centaines d’API, internes ou exposées publiquement, souvent développées à la hâte pour accompagner un projet ou une migration cloud. Ensuite, l’automatisation des usages – que ce soit dans les applis mobiles, les objets connectés ou les services web – repose massivement sur ces API, parfois sans gouvernance claire. Enfin, la supervision reste lacunaire : alors que les solutions de sécurité classiques surveillent les ports, les fichiers ou les comportements utilisateurs, les API échappent souvent à cette vigilance.
« Les API sont devenues les nouvelles portes d’entrée numériques. Mal surveillées, mal protégées, elles ouvrent sur des trésors d’informations. »
Face à cette menace, les recommandations se précisent. La première est de renforcer l’authentification. Trop d’API encore accessibles sans authentification forte, ou avec des jetons à durée illimitée, représentent un risque majeur. L’intégration d’un système MFA (multi-facteur) contextuel, combiné à une logique de « least privilege », devient essentielle. Chaque API ne devrait avoir accès qu’au strict minimum nécessaire à son fonctionnement.
Vient ensuite la surveillance. Des outils spécialisés dans la sécurité des API permettent d’identifier les appels anormaux, les taux de requêtes suspects, les modèles d’usage incohérents. Ils reposent souvent sur l’analyse comportementale et le machine learning pour détecter les attaques déguisées. L’objectif n’est pas de bloquer le trafic mais d’en comprendre les anomalies. Un pic de requêtes sur une route particulière, à une heure inhabituelle, peut signaler une tentative d’exfiltration de données ou de reconnaissance interne.
L’audit est également une réponse efficace. Répertorier toutes les API existantes, cartographier leurs usages, leurs droits, leurs dépendances : cette cartographie est trop souvent absente. De nombreuses entreprises ignorent encore quelles API sont exposées, ouvertes à Internet ou en test sur des environnements de production. Ce manque de visibilité nourrit la surface d’attaque.
À ce stade, il ne s’agit plus simplement d’un enjeu technique. La sécurité des API touche directement aux responsabilités de conformité et de gouvernance. Les directives européennes comme NIS2 ou DORA imposent une supervision accrue des accès, notamment à distance, et une traçabilité de toutes les interactions avec les systèmes critiques. Les API tombent directement dans ce champ. Un appel non authentifié à une API interne contenant des données sensibles peut constituer un incident majeur, entraînant des obligations de notification, des sanctions potentielles et une perte de confiance.
« La négligence d’une seule API peut faire s’écrouler tout un système. »
Dans les faits, la majorité des entreprises n’ont pas encore intégré la sécurité des API dans leur plan global de cybersécurité. Elles concentrent leurs efforts sur les postes de travail, les pare-feu, les sauvegardes… mais oublient que ce sont les API qui véhiculent aujourd’hui l’essentiel des flux sensibles. Les API de paiement, les API de login, les API d’envoi de fichiers ou de requêtes internes doivent être considérées comme des assets critiques, au même titre que les bases de données ou les applications métier.
Le basculement vers le cloud accentue encore ce besoin de vigilance. Dans des environnements multicloud ou hybrides, les API assurent la cohésion entre services dispersés. La sécurisation de ces interconnexions devient un enjeu vital, sans quoi une faille dans un composant tiers peut compromettre l’ensemble. Les attaques dites « supply chain API » visent justement cette dépendance croissante à des API externes.
On observe néanmoins une prise de conscience progressive. Des plateformes de test automatisé de la sécurité des API voient le jour, des équipes DevSecOps sont formées pour intégrer la sécurité dès la conception des interfaces, et certaines entreprises choisissent désormais des solutions dédiées à la « API security posture management », pour centraliser la gouvernance de leurs API.
Mais le chemin reste long. Il ne suffit pas d’ajouter une couche de sécurité en surface : il faut repenser la manière dont les API sont conçues, documentées, exposées. Il faut adopter une logique de « Zero Trust API », dans laquelle chaque appel, même légitime, doit être validé, tracé, limité. C’est à cette condition que l’économie numérique pourra continuer à s’appuyer sur ces connexions invisibles sans les transformer en vecteurs d’effondrement.
Les API sont les artères du numérique : les protéger, c’est garantir la survie des services qu’elles irriguent.
