Wallarm a publié son rapport 2025 API ThreatStats Report, qui révèle que les API sont devenues la principale surface d'attaque au cours de l'année écoulée, l'IA étant le principal facteur de risque pour la sécurité des API. Les chercheurs de Wallarm ont suivi 439 CVE liés à l'IA, soit une augmentation stupéfiante de 1 025 % par rapport à l'année précédente.En 2023, un rapport sur l'état de la sécurité des API révèle une augmentation de 400 % du nombre d'attaquants uniques entre octobre 2022 et mars 2023. En outre, environ 80 % des attaques se sont produites par le biais d'API authentifiées. Il n'est donc pas surprenant que près de la moitié (48 %) des personnes interrogées déclarent que la sécurité des API est devenue un sujet de discussion au niveau de la direction de leur entreprise.
Un récent rapport confirme cette tendance et révèle que les API sont devenues la principale surface d'attaque au cours de l'année 2024, l'IA étant le principal facteur de risque pour la sécurité des API. L'enquête de Wallarm, menée auprès de 200 chefs d'entreprise américains sur l'IA et la sécurité des API, révèle que plus de 53 % d'entre eux déclarent s'être engagés dans de multiples déploiements d'IA. Ces déploiements sont principalement rendus possibles par la technologie des API, ce qui fait des API le fondement de l'adoption de l'IA par les entreprises. Toutefois, si l'intégration de l'IA favorise l'adoption rapide des API dans tous les secteurs d'activité, elle présente également des risques uniques.
Le rapport révèle également une augmentation massive de 1 025 % des vulnérabilités liées à l'IA, dont la quasi-totalité est directement liée aux API. Les chercheurs ont suivi 439 CVE liés à l'IA et 99 % d'entre eux sont directement liés aux API, y compris les failles d'injection, les mauvaises configurations et les nouvelles vulnérabilités de corruption de la mémoire découlant de la dépendance de l'IA à l'égard des API binaires à haute performance.
Pour la première fois, plus de 50 % de toutes les vulnérabilités exploitées par la CISA étaient liées aux API, soit une augmentation de 30 % par rapport à l'année précédente, ce qui met en évidence la prévalence et la criticité croissantes de la sécurité des API dans les environnements de menaces modernes.
Si les anciennes API, telles que celles utilisées dans les incidents de Digi Yatra et d'Optus, restent vulnérables en raison de leur conception dépassée, les API RESTful modernes sont tout aussi menacées en raison des défis d'intégration complexes et des configurations inadéquates.
Un rapport de Wallarm en décembre 2024 avait déjà confirmé l'importance de renforcer la sécurité des API. Le rapport indiquait notamment que les API nouvellement lancées, sont trouvées par les attaquants en moins de 30 secondes. Le délai le plus long pour la découverte d'une nouvelle API a été de 34 secondes, tandis que le temps moyen nécessaire aux attaquants pour trouver une nouvelle API n'est que de 29 secondes. Selon le rapport, les nouvelles API sont généralement moins protégées et moins sûres, ce qui en fait une cible prioritaire des acteurs malveillants.
Concernant ce nouveau rapport, Ivan Novikov, PDG et cofondateur de Wallarm, avait commenté : "D'après nos conclusions, il est clair que la sécurité des API n'est plus seulement un défi technique - c'est désormais un impératif commercial. Les failles de sécurité liées aux API sont alimentées par l'adoption de l'IA, car les API sont l'interface critique entre les modèles d'IA et les applications qu'ils alimentent. Cependant, cette croissance rapide a révélé des vulnérabilités importantes.
Par exemple, nous avons constaté que 57 % des API alimentées par l'IA étaient accessibles de l'extérieur et que 89 % d'entre elles reposaient sur des mécanismes d'authentification non sécurisés. Il est particulièrement préoccupant de constater que seulement 11 % des entreprises ont mis en place des mesures de sécurité solides, ce qui rend la plupart des points d'extrémité vulnérables. Dans l'environnement actuel, les entreprises ne peuvent pas se permettre de ne pas sécuriser leurs API. Si elles ne le font pas, elles s'exposent à de graves risques qui peuvent entraîner des vulnérabilités techniques coûteuses et des crises opérationnelles et de réputation."
Source : Wallarm Annual 2025 API ThreatStats Report
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain » Les attaques contre les API mettent les entreprises en danger, 27 % des attaques en 2023 ciblant la logique commerciale des API, soit une croissance de 10 %, selon le rapport d'Imperva Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai 
