Seule une minorité de 17 % des responsables de sécurité disposent d’une stratégie globale de protection des API, malgré le fait que 73 % considèrent cette priorité comme critique. Un nouveau rapport de Salt Security révèle un écart alarmant entre la conscience des risques liés aux API et les mesures concrètes déployées pour assurer leur sécurité. Selon le « Rapport CISO 2025 sur les zones d’ombre et les avancées des API », seuls 17 % des directeurs de la sécurité de l’information déclarent avoir une stratégie de sécurité des API entièrement développée et mise en œuvre, en dépit des 73 % qui en font une priorité haute ou critique dans l’année à venir.

L’enquête, menée par Global Surveyz Research auprès de 300 CISOs en France, Allemagne, Italie, Royaume-Uni et États-Unis, relate des entreprises comptant plus de 1 000 employés, issues de secteurs variés tels que la finance, la santé, le transport, la distribution et le logiciel. La croissance exponentielle du nombre d’API, avec 30 % des organisations enregistrant une hausse de plus de 51 % à 100 % cette année, voire plus de 100 %, témoigne d’une expansion rapide pour répondre aux besoins d’innovation et de satisfaction client. Cependant, ce rythme dépasse souvent la capacité des équipes de sécurité à surveiller et protéger ces environnements.

Seuls 19 % des CISOs ont une visibilité complète et une confiance totale dans leur inventaire d’API. Ce chiffre monte à 27 % dans les grandes entreprises, mais chute à 12 % dans les PME. De plus, 74 % des responsables détectent régulièrement de nouvelles API qu’ils ignoraient, et 90 % admettent ne pas pouvoir garantir que leur environnement est dépourvu d’API non gérées ou « shadow APIs ».

La rapidité des cycles de développement complique également la tâche des équipes de sécurité. Environ 75 % des API sont mises à jour chaque semaine ou quotidiennement, tandis que 66 % des organisations ne réalisent des audits que mensuellement ou trimestriellement, laissant des fenêtres d’exposition pouvant aller jusqu’à 12 semaines. Seulement 34 % ont automatisé leurs audits pour une surveillance continue.

Malgré cette situation complexe, la majorité des entreprises continuent de s’appuyer sur des outils traditionnels tels que les pare-feux d’application web (WAF) et les passerelles API, utilisés respectivement par 76 % et 72 % des CISOs. Pourtant, ces outils, bien qu’utiles, ne sont pas conçus pour contrer les attaques basées sur la logique métier, qui représentent aujourd’hui l’un des vecteurs d’attaque les plus exploités.

Michael Callahan, marketing de Salt Security, souligne : « Il y a une confiance excessive dans les technologies héritées pour faire face aux menaces modernes et complexes. Ces outils, lorsqu’ils sont combinés à un manque de visibilité complète sur le paysage des API, multiplient les risques. Les défis actuels nécessitent des solutions modernes, évolutives, efficaces et adaptées. »

Le rapport insiste sur la nécessité d’une reposition stratégique urgente. En effet, 84 % des responsables sécurité estiment ne pas disposer des ressources suffisantes pour gérer en temps réel les alertes liées aux API. Le recours à une approche basée sur l’automatisation, la visibilité en temps réel et l’intelligence artificielle devient indispensable.

Dans cette optique, Salt Security a récemment lancé sa plateforme Illuminate, qui offre une visibilité totale et immédiate de l’écosystème API d’une organisation. Elle permet de voir le périmètre comme un attaquant, d’automatiser la gouvernance, d’assurer la conformité et d’utiliser l’intelligence artificielle pour détecter en temps réel des comportements suspects.

Pour en savoir plus et accéder au rapport complet : [lien].