© 2026 Akamai Technologies
Favoriser l'innovation en toute sécurité dans les services bancaires digitaux
Commerzbank, l'une des plus grandes institutions financières européennes dotée d'une forte présence internationale, génère de la valeur pour ses clients grâce à des services digitaux innovants qui reposent sur les API. Dès le départ, la banque s'est concentrée sur la création de solutions hautement réutilisables, en commençant par ses opérations CRUD (Create, Read, Update, Delete [création, lecture, mise à jour, suppression]). Cette approche a posé les bases d'une évolutivité et d'une extensibilité exceptionnelles, facilitant ainsi l'intégration d'API internes et externes dans son écosystème au fil du temps.
Mais dans un contexte d'accélération portée par l'IA, Commerzbank a compris que les mesures traditionnelles de sécurité dès la conception ne suffisaient plus à préserver la confiance des clients ni à répondre aux attentes croissantes d'accès sécurisé et sans faille. La banque a mis en œuvre divers mécanismes robustes : respect des principes de l'OWASP, définitions d'interface claires et bien structurées, règles strictes, jetons sécurisés et tests de pénétration réguliers. Toutefois, face à l'augmentation des menaces et de la complexité, Commerzbank avait besoin d'une solution capable de s'adapter en temps réel.
Dans cette logique, la banque s'est associée à Akamai et Deloitte pour déployer une couche dédiée de sécurité des API venant renforcer et étendre sa plateforme existante de gestion des API. Cette initiative a permis à la banque de détecter les anomalies, d'identifier les API fantômes non gérées et de renforcer la gouvernance entre les équipes, tout en maintenant l'agilité, la conformité et la capacité à évoluer en toute sécurité à mesure que son écosystème d'API s'élargit.
Étendre la visibilité au-delà de la passerelle d'API
Commerzbank traite plus de 6 milliards d'appels d'API chaque mois, soutenant un vaste écosystème digital d'applications clients, partenaires et internes. Depuis 2017, la banque s'appuie sur la plateforme Axway Amplify API Management pour gérer les API internes et celles exposées sur Internet. Mais face à des menaces de plus en plus sophistiquées, Volker Sulzbach, ingénieur logiciel principal et architecte solutions, a compris qu'il était temps de mettre en place une défense robuste des API.
« Notre plateforme de gestion des API fait du bon travail, mais nous voulions un moyen d'identifier les comportements anormaux et les attaques potentielles avant qu'ils ne posent problème », explique Volker Sulzbach.
Si le centre d'opérations de sécurité (SOC) de la banque prenait en charge la protection globale du réseau, notamment via des pare-feux, l'équipe de Volker Sulzbach souhaitait disposer d'une visibilité directe sur toutes les API liées à l'activité de l'entreprise afin de détecter rapidement les anomalies et les API fantômes, sans freiner l'innovation.
Déployer Akamai API Security
Après avoir évalué plusieurs fournisseurs, Commerzbank a opté pour Akamai API Security, qui détecte, classe et protège en permanence les API dans tous les environnements. « La détection des anomalies était notre priorité absolue », précise Volker Sulzbach.
« Nous avions besoin d'une analyse basée sur le comportement, et non d'une simple inspection appel par appel. Akamai répond parfaitement à ces attentes », poursuit-il. Grâce à une détection des anomalies fondée sur l'apprentissage automatique, API Security identifie les comportements anormaux des API, les potentielles utilisations abusives et les API fantômes, offrant ainsi une visibilité complète sur les points de terminaison gérés comme non gérés.
« Nous avons été impressionnés par la capacité d'API Security à identifier les API "indésirables" et à intégrer la sécurité dès la phase de développement », ajoute Volker Sulzbach.
Étendre la protection à des milliers d'API
La première phase de mise en œuvre a débuté sur la passerelle sandbox de Commerzbank, utilisée pour simuler et tester les API avant leur déploiement. Une fois que l'équipe a pu valider la précision et la réactivité d'API Security, elle a sécurisé environ 25 API de production.
« Nous avons d'abord voulu affiner les règles, réduire les faux positifs et nous assurer que nos équipes puissent réagir efficacement aux alertes. Cela nous permettrait ensuite d'étendre l'utilisation d'API Security », relate Volker Sulzbach.
À terme, cette extension couvrira des milliers d'API et de points de terminaison, garantissant une visibilité et une sécurité continues sur l'ensemble du trafic interne et externe.
Soutenir les objectifs de gouvernance et de conformité
Au-delà de la sécurité, la solution a également renforcé la stratégie de gouvernance des API de Commerzbank. La banque applique des normes strictes de dénomination et de formatage pour les API afin de garantir la cohérence et la transparence. Cependant, certains propriétaires d'API parvenaient à contourner des règles, par exemple éviter les abréviations et les termes allemands, pour accélérer le lancement.
Avec API Security, ce problème n'existe plus. « Nous avons désormais une vision complète des API liées à l'activité de l'entreprise, ce qui nous permet de nous assurer qu'elles respectent nos règles de gouvernance », souligne Volker Sulzbach. « Cela constitue un véritable levier auprès de la direction et nous aide à démontrer aux organismes de réglementation, comme la Banque centrale européenne, que nous sécurisons nos API de manière proactive. »
Sur site pour commencer, avec une flexibilité SaaS
Bien qu'Akamai propose API Security en mode SaaS, Commerzbank a préféré commencer par un déploiement sur site pour bénéficier d'un contrôle accru et d'une intégration plus rapide. Cette approche progressive permet à l'équipe de gagner en confiance, d'affiner les règles et, à terme, d'intégrer la solution aux flux de travail cloud natifs à mesure que le cadre de sécurité évolue.
« Nous n'avions pas en tête de rejeter le cloud. Nous voulions nous lancer rapidement, valider la solution et conserver nos données de sécurité en interne, tout en bénéficiant pleinement de capacités de détection », précise Volker Sulzbach.
Collaborer avec Deloitte pour un déploiement accéléré
Afin de simplifier le déploiement et la configuration, Commerzbank s'est associé à Deloitte, qui a apporté un accompagnement à la fois technique et stratégique. Ce partenariat a permis d'accélérer la mise en œuvre, d'ajuster les règles et de préparer l'équipe interne de la banque à gérer la plateforme sur le long terme.
« Deloitte connaît parfaitement notre environnement et la technologie d'Akamai, ce qui lui a permis de nous fournir des conseils et une expertise clairs afin de simplifier le déploiement », explique Volker Sulzbach.
Protéger les API en continu à l'échelle mondiale
En adoptant Akamai API Security, Commerzbank a pu réduire les risques, renforcer la conformité et innover en toute sécurité dans un écosystème financier toujours plus connecté. La feuille de route de la banque prévoit d'intégrer API Security à l'ensemble des API métier, afin de garantir une protection continue, du développement à l'exécution. À terme, la solution permettra d'alerter les propriétaires d'API en cas d'usage suspect, d'aider les équipes à corriger les vulnérabilités en amont et même de bloquer automatiquement certaines menaces.
« Nous souhaitons protéger notre vaste écosystème d'API de la meilleure façon possible. API Security nous en donne les moyens en cataloguant, analysant et protégeant chaque API essentielle à notre activité », conclut Volker Sulzbach.
À propos de Commerzbank
Présente sur deux segments d'activité (clients professionnels et particuliers et petites entreprises), Commerzbank est une banque offrant un portefeuille complet de services financiers. Elle est la première banque pour les grandes entreprises allemandes et pour le Mittelstand allemand, ainsi qu'un partenaire solide pour environ 24 000 groupes. Gérant plus de 400 milliards d'euros d'actifs, Commerzbank figure également parmi les principales banques dédiées aux particuliers et aux petites entreprises en Allemagne. Elle propose une large gamme de produits et de services avec une approche omnicanale : en ligne et sur mobile, par téléphone ou visioconférence dans un centre de conseil à distance, et rendez-vous physique dans ses quelque 400 agences.
À propos d'Akamai
Akamai est l'entreprise de cybersécurité et de cloud computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de cloud computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité. Pour en savoir plus, rendez-vous sur akamai.com/fr et akamai.com/fr/blog, ou suivez Akamai Technologies sur X (anciennement Twitter) et LinkedIn.