- Les entreprises de commerce sont fréquemment confrontées à des incidents liés aux API, notamment les failles de contrôle d'accès et les attaques ciblant l'IA. Selon les dirigeants du secteur, l'exploitation de contrôles d'accès insuffisants ou inexistants a été le type d'incident le plus courant l'an dernier, suivie de près par les attaques impliquant des API liées aux technologies d'IA.
- Le manque de visibilité sur les flux de données sensibles relatives aux clients et aux paiements demeure une lacune critique. Si de nombreuses entreprises de commerce affirment disposer d'un inventaire complet de leurs API, rares sont celles qui savent lesquelles de ces API renvoient des données sensibles.
- Les dirigeants du secteur commercial accordent une priorité à la sécurité de l'IA, mais les tests de maturité et de protection en temps réel restent insuffisants. Sécuriser les technologies d'IA contre les attaques est la priorité absolue en matière de cybersécurité pour 41 % des entreprises de commerce.
Points à retenir
Foire aux questions (FAQ)
Foire aux questions (FAQ)
Selon l'enquête de 2026, 85 % des personnes interrogées ont déclaré avoir subi au moins un incident de sécurité lié à leurs API au cours des 12 derniers mois.
Le type d'incident le plus courant est l'exploitation de contrôles d'accès manquants ou insuffisants, suivie de près par les attaques impliquant des API liées aux technologies d'IA.
Les attaquants peuvent utiliser des messages manipulés pour inciter les assistants d'achat IA à envoyer des requêtes à des API sous-jacentes non protégées, exposant ainsi des données clients sensibles ou des informations de paiement sans le moindre doute.
La visibilité est dangereusement faible : seulement 22 % environ des entreprises de commerce sont capables de suivre quelles API de leur inventaire renvoient effectivement des données clients ou de paiement sensibles.
L'enquête a révélé que les dirigeants surestiment souvent le niveau de préparation de leur organisation, affichant des niveaux de maturité et d'intégration supérieurs de 2 % à 12 % à ceux des professionnels DevSecOps et AppSec qui utilisent quotidiennement les API.
Si 92 % des entreprises affirment prendre en compte les API dans leur processus de conformité, seules 36 % les incluent réellement dans leurs rapports de conformité officiels, ce qui crée un décalage entre les intentions affichées et les actions réglementaires concrètes.
Elles devraient privilégier la mise en œuvre d'une découverte automatisée et continue de toutes les API, le passage de tests fonctionnels à des tests de sécurité rigoureux tout au long du cycle de développement, et l'ajout d'une protection comportementale dédiée à l'exécution.