Akamai alerte : les API sont désormais la principale surface d’attaque à l’ère de l’IA

Applications Low-Code et No-Code : La révolution dans le développement de logiciels
Share on Pinterest Share on LinkedIn

L’adoption rapide de l’intelligence artificielle (IA) ouvre une nouvelle faille de sécurité dans les entreprises : les API. C’est la conclusion principale du rapport 2026 Apps, APIs, and DDoS State of the Internet d’Akamai, qui indique que les organisations concentrent de plus en plus leurs investissements dans l’automatisation et l’IA, précisément sur la couche qui subit aujourd’hui la plus forte pression offensive. Selon la société, garantir la sécurité de l’IA passe désormais directement par la sécurisation des API.

Ce constat ne repose pas sur une simple intuition. Akamai affirme que les attaquants industrialisent leurs méthodes en combinant l’abus d’API, les attaques sur des applications web et les DDoS de couche 7 lors de campagnes coordonnées, répétables et relativement peu coûteuses. L’objectif ne serait plus seulement de réaliser une intrusion médiatisée, mais aussi de dégrader les performances, d’augmenter les coûts d’infrastructure et d’exploiter à grande échelle l’automatisation alimentée par l’IA.

Dans ce contexte, le rapport met en avant quatre chiffres illustrant clairement cette évolution : la croissance de 104 % des attaques DDoS de couche 7 en deux ans, 87 % des organisations interrogées ayant subi au moins un incident de sécurité lié aux API en 2025, une hausse de 73 % des attaques contre les applications web entre 2023 et 2025, et une augmentation de 113 % du nombre moyen quotidien d’attaques ciblant les API, année après année.

Akamai considère ces chiffres comme un signe évident que les applications et les API ne peuvent plus être traitées comme des problématiques séparées. Lorsqu’une entreprise dissocie la sécurité web de celle des API, elle crée des zones d’ombre au niveau de la visibilité, là où l’attaquant cherche à faire la jonction entre authentification, logique métier, abus des workflows et disponibilité.

Le problème n’est plus seulement le code, mais le comportement

Une des évolutions majeures dévoilées par le rapport est le déplacement des attaques classiques vers des menaces davantage liées au comportement. Il ne s’agit plus uniquement d’exploiter une vulnérabilité technique isolée, mais aussi d’abuser de flux légitimes, d’automatiser des requêtes puis de saturer l’infrastructure, jusqu’à transformer la logique métier en vecteur d’attaque. Cette tendance rejoint la thèse centrale du rapport : là où les investissements dans la transformation digitale et l’IA sont concentrés, le risque ne tarde pas à suivre.

Par ailleurs, Akamai évoque l’émergence d’un phénomène en phase avec ce qui est observé dans de nombreux équipes de développement : l’essor du vibe coding. La société met en garde contre le fait que l’usage intensif de l’IA pour générer du code introduit des vulnérabilités et de mauvaises configurations qui, dans de nombreux cas, atteignent la production sans tests adéquats. Le message n’est pas que l’IA crée une toute nouvelle catégorie de failles, mais qu’elle amplifie des vulnérabilités existantes et accélère leur apparition en environnement réel.

À cela s’ajoute l’évolution du marché des DDoS. Akamai attribue une grande partie de la hausse de 104 % des attaques de couche 7 à l’accès facile à des botnets de location ou à des scripts automatisés assistés par IA, réduisant la barrière technique pour lancer des attaques contre des applications web et des API. La société cite également la présence de “superbotnets” tels que Aisuru et Kimwolf, dérivés de l’architecture Mirai, comme faisant partie d’écosystèmes de DDoS en tant que service, utilisés par des groupes criminels ou activistes.

APIs, agents et nouvelles menaces autonomes

Le rapport établit aussi un lien entre cette pression accrue sur les API et un phénomène plus large : l’expansion de l’IA agentique. Akamai souligne que les vulnérabilités des systèmes agentiques élargissent la surface d’attaque moderne, en s’appuyant notamment sur le nouveau cadre OWASP Top 10 for Agentic Applications 2026, qui identifie des risques spécifiques liés aux agents capables d’agir de manière autonome.

OWASP recense parmi ces risques des menaces telles que le détournement d’objectif, la mauvaise utilisation d’outils, l’abus d’identités et de privilèges, l’exécution de code inattendue, ou encore la pollution mémoire et de contexte. En somme, le problème ne se limite plus à une API exposée, mais concerne aussi toute manipulation malveillante d’un agent disposant d’outils, de mémoire et d’identifiants pour utiliser légitimement un outil dans un but malveillant.

Ceci a des implications concrètes pour toute organisation déployant des copilotes, agents internes ou automatisations connectés à des systèmes réels : la protection d’une API ne se limite plus à la mise en place d’un WAF. Il faut aussi revoir l’authentification, les limites d’usage, la gestion des workflows, la protection des données sensibles et exercer un contrôle précis sur les outils et actions qu’un agent peut invoquer. La menace offensive se déplace vers la gestion de l’identité, la logique métier et l’automatisation.

La conclusion difficile mais essentielle pour 2026

Le rapport d’Akamai livre une conclusion qui peut paraître difficile mais qui apparaît comme une évidence : beaucoup d’entreprises considèrent encore la sécurité de l’IA comme un problème nouveau et séparé, alors qu’une partie essentielle du risque repose sur des composants anciens et bien connus, tels que les API, les applications web et la disponibilité. La différence réside dans le fait que tout cela est aujourd’hui exploité avec plus d’automatisation, à une échelle plus grande et avec un impact économique accru.

Par conséquent, se concentrer uniquement sur des solutions “spécifiques à l’IA” risque d’être insuffisant. L’approche recommandée par le rapport va plutôt dans le sens du renforcement des fondamentaux : inventaire, visibilité, authentification, protection des API, limites d’usage, résilience face aux DDoS — avant de penser que le problème s’élimine simplement en ajoutant une nouvelle couche de sécurité IA. Si les API sont la base technique de la transformation par l’IA, elles constituent aussi le premier point de rupture potentiel de cette évolution.

Questions fréquentes

Que dit Akamai concernant les API en 2026 ?
Qu’elles sont désormais la principale surface d’attaque pour les entreprises accélérant leur adoption de l’IA et de l’automatisation.

Quelles sont les chiffres clés du rapport ?
Akamai met en avant une croissance de 104 % des attaques DDoS de couche 7 en deux ans, 87 % des entreprises ayant connu un incident lié aux API en 2025, une hausse de 73 % des attaques contre les applications web entre 2023 et 2025, et une augmentation de 113 % du nombre d’attaques quotidiennes sur les API.

Quel lien avec l’IA agentique ?
Le rapport relie cette problématique à l’émergence des agents autonomes et fait référence au cadre OWASP 2026, qui identifie des risques comme le détournement d’objectif, la mauvaise utilisation d’outils et la pollution mémoire.

Qu’est-ce que le “vibe coding” selon ce contexte ?
Akamai désigne ce terme pour avertir que le code généré avec l’aide de l’IA peut contenir des vulnérabilités ou des mauvaises configurations qui atteignent la production sans tests suffisants.

Source : akamai

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Akamai alerte : les API sont désormais la principale surface d’attaque à l’ère de l’IA

Murata prépare une augmentation de prix qui pourrait rendre l’électronique plus chère en pleine fièvre de l’IA

SK hynix avertit : la pénurie de wafers de mémoire pourrait durer jusqu’en 2030

Meta accélère MTIA et rejoint la course aux puces d’inférence propriétaires

Templus accélère son expansion et vise 26 centres de données en 2026

DocProtect souhaite protéger vos documents sans nuage et avec une édition 100 % locale