Points à retenir
- Les organismes de services financiers sont confrontés à de fréquents incidents liés aux API, notamment des fuites de données et des attaques liées à l'IA. Les applications d'IA, les agents et les grands modèles de langage (LLM) s'appuient sur des API pour accéder à des systèmes sensibles et aux dossiers des clients. Dans le secteur des services financiers, ces mêmes API sont devenues des cibles de grande valeur. Ce secteur se distingue également par la fréquence des incidents : près de la moitié des entreprises touchées ont signalé au moins quatre incidents distincts.
- Le manque de visibilité sur les flux de données sensibles relatives aux clients et aux paiements constitue une lacune critique. La plupart des organismes de services financiers tiennent à jour un inventaire complet de leurs API, mais seuls 27 % d'entre eux savent également quelles API renvoient des données sensibles. Étant donné que ces API traitent des informations financières personnelles, des détails de compte et des données de paiement régis par les normes PCI DSS, DORA et le RGPD, ce manque de visibilité est particulièrement préoccupant.
- Les dirigeants du secteur des services financiers affirment donner la priorité à la sécurité des API, mais des lacunes persistent dans la pratique. La protection des technologies d'IA contre les attaques est désormais la principale priorité en matière de cybersécurité dans l'ensemble du secteur. Dans le même temps, 74 % des dirigeants des services financiers ont déclaré s'être davantage concentrés sur la sécurité des API au cours de l'année écoulée, sous l'impulsion de la croissance rapide des API liée à l'IA et aux initiatives numériques, ainsi que des pressions réglementaires et des conclusions d'audits.
Foire aux questions (FAQ)
Foire aux questions (FAQ)
Presque tous les organismes de services financiers (96 %) ont signalé au moins un incident de sécurité lié aux API en 2025, et près de la moitié (48 %) ont subi quatre incidents ou plus sur une période de 12 mois.
L'impact financier annuel moyen s'élève à environ 620 000 dollars américains, les coûts les plus élevés ayant été signalés en Chine, à Singapour et au Japon, et des coûts supérieurs à la moyenne au Brésil et au Royaume-Uni.
Les violations ou fuites de données via les API constituent le type d'incident le plus courant (40 %), suivies de très près par les attaques ciblant spécifiquement les API liées à l'IA (39 %).
Une mauvaise configuration des API est la cause principale, citée par 65 % des responsables du secteur des services financiers comme étant à l'origine des lacunes persistantes en matière d'exploitation et de gouvernance.
Alors que 78 % des entreprises affirment disposer d'un inventaire complet, 51 % ne savent pas quelles API renvoient des données sensibles, ce qui crée des risques immédiats en matière de conformité pour celles soumises aux normes PCI DSS, DORA et RGPD.
La maturité des tests de sécurité est faible, puisque seuls 17 % des organismes de services financiers ont intégré des tests de sécurité à chaque étape du cycle de vie du développement des API (SDLC) et du pipeline CI/CD.
Les dirigeants doivent donner la priorité à la découverte automatisée continue de tous les points de terminaison, faire évoluer les tests au-delà des vérifications fonctionnelles et mettre en place une protection dédiée en temps réel pour bloquer les attaques spécifiques à l'IA.