Contactez-nous
Contactez-nous

Sécurité des API : Protéger les communications Machine-to-Machine dans une architecture Zero Trust

La nouvelle surface d’attaque : les API au cœur du système d’information

Les API (Application Programming Interfaces) sont devenues le tissu conjonctif du système d’information moderne. Elles relient les applications métiers aux bases de données, les services cloud aux plateformes SaaS, les applications mobiles aux back-ends, les partenaires aux systèmes internes, et de plus en plus les agents IA aux ressources qu’ils manipulent. En 2026, la grande majorité du trafic Internet est constitué d’appels API, et non de trafic web humain classique.

Cette omniprésence fait des API la surface d’attaque n°1 des architectures distribuées. Les chiffres sont sans appel : 99% des organisations ont subi au moins un incident de sécurité lié aux API au cours des 12 derniers mois, et 40% des attaques exploitent des défauts d’autorisation au niveau des objets (BOLA). Les entreprises qui adoptent une architecture Zero Trust pour leurs API réduisent le coût moyen des brèches de 58% par rapport aux modèles de sécurité traditionnels.

Dans une architecture Zero Trust, chaque appel API est une transaction de confiance : il doit être authentifié, autorisé, validé, limité et journalisé indépendamment de sa provenance, qu’il vienne d’un réseau interne, d’un partenaire ou d’un service cloud. C’est le Zero Trust applicatif : la confiance implicite entre services est abolie.

Le paysage des vulnérabilités : les 10 risques API critiques

Les travaux de la communauté internationale de sécurité applicative ont identifié et classé les dix risques de sécurité API les plus critiques. Cette taxonomie constitue le référentiel incontournable pour évaluer et sécuriser les API.

Les vulnérabilités à fort impact

Rang

Vulnérabilité

Description

Impact

API1

Broken Object Level Authorization (BOLA)

L’API expose des ressources via des identifiants prévisibles sans vérification de propriété côté serveur. Un attaquant énumère les IDs et accède à toutes les ressources.

40% des attaques API. Accès non autorisé massif aux données.

API2

Broken Authentication

Tokens sans expiration, sans révocation, ou sans validation d’intégrité. Permet l’usurpation d’identité permanente ou temporaire.

Compromission complète de l’identité API.

API3

Broken Object Property Level Authorization (BOPLA)

L’API retourne des champs sensibles (salaire, numéro de sécurité sociale) sans filtrage par rôle.

Exfiltration de données sensibles par sur-exposition.

API4

Unrestricted Resource Consumption

Absence de rate limiting : un attaquant génère des millions de requêtes, causant DoS ou explosion des coûts.

Déni de service, surcoûts opérationnels.

API5

Broken Function Level Authorization (BFLA)

Accès à des opérations d’administration sans authentification admin. Séparation floue entre fonctions normales et administratives.

Escalade de privilèges, exécution d’actions non autorisées.

Les vulnérabilités à surveiller

Rang

Vulnérabilité

Description

API6

Unrestricted Access to Sensitive Business Flows

Les API exposent des flux métier (achat, commentaire, réservation) exploitables de manière excessive et automatisée.

API7

Server-Side Request Forgery (SSRF)

L’API effectue des requêtes HTTP vers des URLs contrôlées par l’attaquant, permettant le scan du réseau interne.

API8

Security Misconfiguration

Headers de sécurité manquants, messages d’erreur verbeux, configurations par défaut non durcies.

API9

Improper Inventory Management

Documentation obsolète, endpoints cachés, versions anciennes toujours accessibles — les shadow APIs.

API10

Unsafe Consumption of APIs

Confiance excessive dans les données reçues d’APIs tierces sans validation côté consommateur.

Le Zero Trust appliqué aux API : ne jamais faire confiance, toujours vérifier

 
Les cinq principes du Zero Trust applicatif

L’application du Zero Trust aux communications API repose sur cinq principes fondamentaux, directement dérivés des cadres de référence internationaux :

Chaque requête API doit être authentifiée, pas seulement la première. Les mécanismes recommandés :

  • OAuth 2.0 / OpenID Connect (OIDC) : standard de délégation d’autorisation avec tokens à durée de vie courte (15-60 minutes maximum).
  • JWT (JSON Web Tokens) signés et chiffrés, avec validation d’intégrité à chaque requête, refresh tokens séparés et révocation centralisée (token blacklist).
  • mTLS (Mutual TLS) : authentification bidirectionnelle par certificat pour les communications service-à-service.
  • PKCE (Proof Key for Code Exchange) : protection contre l’interception de codes d’autorisation pour les clients publics.
  • Clés API : uniquement en complément d’OAuth/mTLS, jamais comme mécanisme unique, générées avec un minimum de 32 octets d’entropie, hashées en base, jamais exposées dans les URLs ou les logs.

Chaque appel API ne reçoit que les permissions strictement nécessaires à la transaction :

  • RBAC (Role-Based Access Control) : permissions basées sur le rôle du consommateur.
  • ABAC (Attribute-Based Access Control) : permissions basées sur des attributs dynamiques (contexte, heure, localisation, sensibilité de la donnée).
  • Filtrage des réponses par rôle : les champs retournés sont filtrés côté serveur selon les permissions — un consommateur standard ne voit pas les mêmes propriétés qu’un administrateur.
  • Scopes OAuth granulaires : chaque token est lié à des scopes spécifiques validés contre les ressources demandées.

Les API sont segmentées en zones isolées avec leurs propres politiques de sécurité :

  • Chaque segment applique ses propres règles d’authentification et d’autorisation.
  • Le mouvement latéral entre segments est bloqué par conception.
  • Les API internes, partenaires et publiques sont isolées dans des domaines distincts avec des niveaux de confiance différenciés.

Chaque requête est validée avant traitement :

  • Validation du schéma (OpenAPI/Swagger) : rejet de toute requête non conforme.
  • Sanitisation des entrées : protection contre les injections (SQL, NoSQL, XSS, SSRF).
  • Filtrage des réponses : suppression des champs sensibles non autorisés pour le consommateur.

Chaque appel API est journalisé avec l’identité du consommateur, le timestamp, les paramètres, le code de réponse et la durée. Ces logs alimentent le SIEM/SOC pour la détection d’anomalies et constituent l’audit trail réglementaire.

L’API Gateway : le Policy Enforcement Point du Zero Trust applicatif

 
Architecture et rôle

L’API Gateway est le point d’application de politique centralisé pour toutes les communications API. Elle joue dans le monde applicatif le rôle que le NGFW joue dans le monde réseau et que le bastion joue pour les accès privilégiés : tout le trafic API transite par la gateway, qui authentifie, autorise, valide, limite et journalise chaque requête.

Les cadres de référence reconnaissent l’API Gateway comme un « traducteur d’identité » : elle convertit les types de credentials hétérogènes (certificats, mTLS, Kerberos, clés API, tokens OAuth) en un format standardisé exploitable par le moteur de politique.

Capacités clés

  • Authentification centralisée : enforcement de OAuth 2.0, OIDC, mTLS, API keys à un point unique.
  • Autorisation par politique : règles RBAC/ABAC appliquées par la gateway avant que la requête n’atteigne le service back-end.
  • Rate limiting et throttling : contrôle du volume de requêtes par consommateur, par endpoint et par fenêtre temporelle protection contre le DoS et l’abus.
  • Validation des requêtes : vérification du schéma, sanitisation des entrées, rejet des payloads malformés.
  • Filtrage des réponses : suppression des champs non autorisés, masquage des données sensibles.
  • Terminaison TLS : chiffrement de bout en bout avec terminaison au niveau de la gateway.
  • Journalisation exhaustive : log de chaque requête avec identité, paramètres, réponse, latence.
  • Circuit breaker : isolation automatique des services défaillants pour préserver la stabilité globale.
 
Multi-cloud et fédération

Dans les architectures multi-cloud, la gateway doit appliquer des politiques de sécurité cohérentes à travers tous les environnements :

  • Modèle de sécurité standardisé entre fournisseurs cloud.
  • Fédération d’identité centralisée avec relations de confiance inter-cloud.
  • Agrégation des logs depuis tous les environnements vers un SIEM unique.
  • Contrôles de résidence des données par région.

 

mTLS et Service Mesh : le Zero Trust service-à-service

 
mTLS : l’identité cryptographique de chaque service

Dans une architecture microservices, le mTLS (Mutual TLS) est le fondement du Zero Trust service-à-service. Contrairement au TLS standard qui n’authentifie que le serveur, mTLS exige que les deux parties (client et serveur) prouvent leur identité par certificat avant toute communication.

Le déploiement mTLS suit un cycle précis :

  • Chaque service reçoit un certificat X.509 signé par une autorité de certification (CA) interne.
  • Le serveur API exige un certificat client valide pour chaque connexion entrante.
  • Le client API présente son certificat à chaque appel.
  • Vérification mutuelle : le client authentifie le certificat serveur, le serveur authentifie le certificat client.
  • Un canal chiffré est établi, garantissant confidentialité et intégrité.

Les bonnes pratiques de gestion des certificats mTLS :

  • Certificats de courte durée (heures ou jours, pas années) : rotation rapide en cas de compromission.
  • Rotation automatique via protocole ACME ou PKI interne.
  • Révocation immédiate en cas de suspicion de compromission.
  • TTL réduit : plus la durée de vie est courte, plus la fenêtre d’exploitation d’un certificat compromis est étroite.
Le service mesh : le Zero Trust transparent pour les développeurs

Dans les environnements Kubernetes et conteneurisés, les service mesh (maillage de services) automatisent le mTLS sans modifier le code applicatif. Le mesh injecte des proxies sidecar (proxy réseau déployé à côté de chaque conteneur applicatif) qui gèrent les certificats, le chiffrement, l’authentification et l’autorisation de manière transparente.

Les capacités Zero Trust du service mesh :

  • Identité cryptographique par service : chaque pod reçoit une identité unique vérifiable par certificat, remplaçant les adresses IP éphémères comme base d’autorisation.
  • mTLS automatique : toutes les communications intra-cluster sont chiffrées et mutuellement authentifiées par défaut.
  • Politiques d’autorisation déclaratives : les autorisations service-à-service sont définies par identité de service (« le service A peut appeler le service B »), pas par adresse IP.
  • Observabilité native : chaque communication est tracée, avec métriques de latence, taux d’erreur et volume, exportables vers les outils de monitoring.
  • Intégration avec le vault de secrets : les certificats et secrets sont injectés depuis un coffre-fort centralisé, avec rotation automatique et TTL réduit.

 

Le guide de durcissement Kubernetes publié par les agences de sécurité nationales recommande explicitement l’utilisation d’un service mesh pour appliquer les principes Zero Trust dans les environnements conteneurisés.

Rate Limiting et protection anti-abus : contenir le blast radius applicatif

 
Algorithmes et stratégies

Le rate limiting contrôle le volume de requêtes acceptées par API, protégeant contre le DoS, l’abus et l’explosion des coûts. Deux algorithmes principaux :

  • Token Bucket : un réservoir de N tokens se remplit à un taux constant (ex : 10/seconde). Chaque requête consomme un token. Réservoir vide = requête rejetée. Permet les pics courts.
  • Leaky Bucket : les requêtes sont mises en file d’attente et traitées à un taux constant. File pleine = requête rejetée. Lisse le trafic.

 

Stratégie de limitation différenciée

Dimension

Stratégie

Par consommateur

Limites différentes selon le profil (partenaire premium vs. intégration standard)

Par endpoint

Limites plus strictes sur les opérations coûteuses (écriture, calcul) que sur les lectures simples

Par fenêtre temporelle

Rate limits court-terme (par seconde/minute) + quotas long-terme (par jour/mois)

Par sensibilité

Limites renforcées sur les endpoints manipulant des données personnelles ou financières

Dégradation gracieuse

Plutôt que de rejeter brutalement (HTTP 429), les architectures résilientes implémentent :

  • File d’attente : les requêtes excédentaires sont mises en attente et traitées lorsque la capacité se libère.
  • Cache : les réponses fréquentes sont servies depuis le cache sans solliciter le back-end.
  • Headers informatifs : X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset permettent au consommateur d’adapter son comportement.
  • Alerting : notification lorsque 90% du quota est consommé, avant le rejet.

Gestion de posture de sécurité API : inventorier l’invisible

 
Le problème des shadow APIs

Dans les organisations modernes, les équipes de développement déploient des API à un rythme rapide, souvent de manière autonome via des pipelines CI/CD, sans supervision centralisée, sans revue de sécurité et sans mise à jour de l’inventaire. Ces shadow APIs, des API non documentées, non gouvernées, parfois abandonnées sont désormais plus nombreuses que les API gérées dans de nombreuses entreprises.

Sans découverte continue, les équipes sécurité ne peuvent pas appliquer de manière cohérente l’authentification, le rate limiting ou la protection des données. Les shadow APIs deviennent des cibles faciles pour les attaquants et un passif silencieux pour l’organisation.

C’est le pendant applicatif du shadow IT et dans un contexte Zero Trust, ce qui n’est pas inventorié ne peut pas être sécurisé.

La gestion de posture de sécurité API (API-SPM)

L’API Security Posture Management (API-SPM) est l’approche qui comble ce vide en assurant la découverte continue, l’évaluation et la gouvernance des API :

  • Découverte automatique : identification et catalogage de toutes les API — internes, externes, partenaires, shadow — y compris les endpoints de test, les versions dépréciées et les intégrations non documentées.
  • Évaluation des risques : scoring de chaque API en fonction de ses failles (authentification absente, chiffrement manquant, rate limiting désactivé, données sensibles exposées).
  • Détection des mauvaises configurations : identification des paramètres de sécurité incorrects exploitables par un attaquant.
  • Monitoring du trafic : surveillance du trafic API pour détecter les comportements suspects indicatifs d’une attaque.
  • Boucle de remédiation : les actions correctives (renforcement de l’authentification, désactivation d’un endpoint, attribution d’un propriétaire) sont intégrées dans le workflow, pas ajoutées après l’incident.

 

L’API-SPM opérationnalise les principes Zero Trust pour les API : seuls les bons services, utilisateurs ou machines peuvent interagir, au bon moment, avec les permissions strictement nécessaires.

Sécurité de la supply chain API : les tiers sous contrôle

 
Le risque des API externes

Les API externes (fournisseurs de paiement, services cloud, plateformes SaaS, partenaires métiers) sont des vecteurs d’attaque critiques. La vulnérabilité API10 (Unsafe Consumption of APIs) cible précisément ce risque : une confiance excessive dans les données reçues d’APIs tierces sans validation côté consommateur.

Stratégie de sécurisation des API tierces
  • API Gateway en coupure : tous les appels vers les API externes transitent par une gateway interne qui valide, rate-limite et journalise les communications. Aucun service interne n’appelle directement une API tierce.
  • mTLS outbound : même pour les API externes, imposer mTLS lorsque le fournisseur le supporte.
  • Validation des webhooks : si une API externe appelle nos webhooks, valider les signatures (HMAC-SHA256) pour garantir l’authenticité de l’appel.
  • Filtrage des données sortantes : limiter les données envoyées aux API tierces PII minimale, tokens secrets jamais transmis, champs strictement nécessaires.
  • Évaluation continue des fournisseurs : audit de sécurité (documentation, authentification, rate limiting, chiffrement), tests d’injection, monitoring des données transitant, contrats de SLA sécurité avec droit d’audit.

 

Cette approche s’inscrit directement dans l’exigence NIS2 de sécurité de la chaîne d’approvisionnement : les API tierces sont des maillons de la chaîne numérique et doivent être gouvernées comme tels.

Le lien PAM–API : quand les agents IA consomment des API

 
Les API comme vecteur d’action des agents autonomes

Comme détaillé dans l’article Bastions & PAM, les agents IA agentiques n’agissent pas par magie : ils consomment des API pour se connecter aux systèmes, manipuler des données et exécuter des actions. Chaque agent IA qui interroge une base de données, déclenche un workflow ou modifie une configuration le fait via des appels API.

La sécurité des API et le PAM convergent donc naturellement :

  • Identité API des agents : chaque agent IA doit disposer d’une identité API dédiée (OAuth client credentials, certificat mTLS), jamais partagée avec un humain ou un autre agent.
  • Scopes restreints : les tokens des agents IA doivent être limités aux scopes strictement nécessaires à leur périmètre fonctionnel JEA appliqué aux API.
  • TTL court : les tokens des agents doivent avoir une durée de vie courte (minutes, pas heures) avec refresh automatique et révocation immédiate en cas de dérive.
  • Rate limiting spécifique : les agents IA peuvent générer des centaines d’appels par seconde des limites adaptées doivent être appliquées pour contenir le blast radius en cas de compromission.
  • Monitoring comportemental : les patterns d’appels API des agents doivent être profilés et surveillés en continu, avec alerte en cas de déviation (volume anormal, endpoints inhabituels, données sensibles accédées hors périmètre).

 

Les API ne sont plus de simples tuyaux de transfert de données, elles sont les leviers d’action des agents autonomes. Sécuriser les API, c’est contrôler ce que les agents IA peuvent réellement faire dans le système d’information.

Conformité réglementaire : les API dans le périmètre d’exigence

 
NIS2 et les API

La directive NIS2 ne mentionne pas explicitement les API, mais ses exigences couvrent directement leur sécurisation :

  • Article 21 — Mesures de gestion des risques : les API font partie des « systèmes de réseau et d’information » dont la sécurité doit être assurée. L’inventaire des API, leur authentification, leur journalisation et leur protection contre les abus sont des composantes directes de la gestion des risques.
  • Sécurité de la chaîne d’approvisionnement : les API tierces (fournisseurs, partenaires, SaaS) sont des maillons de la supply chain numérique soumis aux obligations NIS2.
  • Notification d’incident : les brèches exploitant des vulnérabilités API doivent être notifiées dans les délais réglementaires (24h/72h/1 mois). L’audit trail API est indispensable pour la reconstitution.
  • Sanctions : jusqu’à 10 millions d’euros ou 2% du CA annuel mondial.
 
DORA et les API financières

Le règlement DORA renforce ces exigences pour les entités financières :

  • Résilience des interconnexions : les API reliant les systèmes financiers aux prestataires TIC doivent être testées pour leur résilience (tests de charge, de basculement, de dégradation gracieuse).
  • Évaluation des prestataires : les fournisseurs de services API critiques doivent démontrer des contrôles de sécurité conformes.
  • Gestion des incidents TIC : les incidents API (indisponibilité, brèche, dégradation) sont soumis aux obligations de reporting DORA.
 
CRA et les composants API

Le Cyber Resilience Act impose aux fabricants de produits numériques — y compris les API gateways, les service mesh et les solutions d’API management — des exigences de sécurité dès la conception, de gestion des vulnérabilités et de maintenance dans la durée. Les organisations doivent s’assurer que leurs composants d’infrastructure API respectent ces exigences.

Mapping API Security / Exigences réglementaires

Exigence réglementaire

Capacité API Security correspondante

Gestion des risques (NIS2 art. 21)

Inventaire API, API-SPM, scoring de risque, découverte des shadow APIs

Authentification renforcée (NIS2, DORA)

OAuth 2.0, mTLS, JWT courte durée, PKCE, MFA sur endpoints sensibles

Moindre privilège (NIS2, DORA, état de l’art)

RBAC/ABAC, scopes OAuth granulaires, filtrage des réponses par rôle

Journalisation continue (NIS2, DORA)

Log de chaque appel API avec identité, paramètres, réponse, latence

Notification d’incident < 24h (NIS2)

Détection d’anomalies API, alertes SOC temps réel, audit trail complet

Résilience opérationnelle (DORA)

Rate limiting, circuit breaker, dégradation gracieuse, tests de charge

Sécurité supply chain (NIS2, DORA)

Gateway en coupure, validation webhooks, mTLS outbound, audit fournisseurs

Security by design (CRA)

API gateway et service mesh certifiés, patching continu

Gouvernance IA (AI Act, ISO 42001)

Identité API dédiée par agent, scopes restreints, monitoring comportemental

Métriques et pilotage : mesurer la maturité API Security

Indicateur

Cible

Objectif

% d’appels API authentifiés et autorisés

100%

Élimination des accès anonymes

Couverture de l’inventaire API (y compris shadow)

100%

Visibilité complète sur la surface d’exposition

Taux de violation du rate limiting

Tendance décroissante

Efficacité de la protection anti-abus

Échecs d’authentification API

Monitoring continu

Détection de tentatives d’attaque

Couverture mTLS sur les API internes

100%

Zero Trust service-à-service effectif

Rotation des clés et certificats API

100% (< 90 jours clés, < 24h certificats mTLS)

Élimination des credentials statiques

Temps de détection d’une anomalie API

< 5 minutes

Réactivité du SOC

Temps de réponse aux incidents API

< 1 heure

Conformité aux délais de notification

APIs tierces auditées et sous contrat SLA

100%

Gouvernance de la supply chain

Agents IA avec identité API dédiée et scopes restreints

100%

Contrôle des acteurs autonomes

Recommandations pour l’action

Pour les DSI et RSSI engagés dans la sécurisation des API au sein d’une architecture Zero Trust, sept axes d’action prioritaires :

1. Inventorier exhaustivement toutes les API : internes, externes, partenaires, shadow. Déployer une solution d’API-SPM pour la découverte continue et le scoring de risque. Ce qui n’est pas inventorié ne peut pas être sécurisé.

2. Déployer une API Gateway en point de passage obligé : centraliser l’authentification, l’autorisation, le rate limiting, la validation des requêtes et la journalisation. Aucun service ne doit être accessible directement sans passer par la gateway.

3. Imposer mTLS pour toutes les communications service-à-service : dans les environnements Kubernetes, déployer un service mesh qui automatise le mTLS sans modification du code applicatif. Réduire le TTL des certificats à quelques heures.

4. Appliquer le moindre privilège par requête : scopes OAuth granulaires, RBAC/ABAC, filtrage des réponses par rôle. Chaque appel API ne doit retourner que les données strictement nécessaires au consommateur.

5. Sécuriser la supply chain API : tous les appels vers les API tierces passent par la gateway interne. Valider les webhooks (HMAC-SHA256), imposer mTLS outbound, auditer régulièrement les fournisseurs avec SLA sécurité et droit d’audit.

6. Contrôler les API consommées par les agents IA : identité API dédiée par agent, scopes restreints, TTL court, rate limiting adapté et monitoring comportemental. Les agents IA sont les consommateurs d’API les plus véloces et les plus dangereux en cas de compromission.

7. Instrumenter et mesurer : chaque appel API est journalisé. Les métriques alimentent le tableau de bord RSSI et les rapports de conformité NIS2/DORA. La sécurité API n’est pas un projet one-shot, c’est une production continue.

Les API sont les veines et les artères du système d’information moderne  mais aussi ses points de ponction les plus exposés. Dans une architecture Zero Trust, chaque appel API est une transaction de confiance qui doit être explicitement méritée, jamais héritée. La sécurité des API est le prolongement naturel de la segmentation réseau (on-premise et cloud-native), de la gouvernance des identités privilégiées (PAM), et du contrôle des agents autonomes le quatrième pilier d’une architecture de confiance zéro cohérente et complète.

Étiqueté , , , , , ,
Découvrez nos offres
Vos enjeux
Une solution pour chaque secteur et chaque fonction
Quel que soit votre secteur d’activité ou votre rôle au sein de votre organisation, il existe forcément une solution Tersedia qui vous correspond.
Par secteurs

Finance et Assurance

Santé

Secteur public

Services et Distribution

Industrie

Éditeurs logiciels
Par fonctions

Dirigeant

DSI

Responsable Infrastructures

RSSI
Nos offres
Notre offre
de services
Notre offre de services

Notre palette d’offres adaptées à vos besoins d’infrastructures.

it-as-a-service
IT-as-a-service
Solution informatique clé en main
Infrastructure Secured by Design
Infrastructure Secured by Design
Sécurisé dès la conception
Cyber SOC
Cyber SOC
Supervision & sécurité opérationnelle de votre IT
Services managés
Services managés
Accompagnement personnalisé
Professional services
Professional services
Gestion des actifs informatiques