Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 059

Sécurité des API

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Sécurité des API ?

Sécurité des APIDiscipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.

La sécurité des API couvre les surfaces REST, GraphQL, gRPC et webhooks qui exposent souvent la logique métier directement. Elle traite les risques de l'OWASP API Security Top 10 comme la défaillance d'autorisation au niveau objet, l'authentification cassée, l'exposition excessive de données, la consommation de ressources non bornée et le SSRF. Les programmes efficaces combinent une identité forte (OAuth 2.0/OIDC, JWT signés, mTLS, jetons avec scopes), une autorisation stricte sur chaque référence d'objet, une validation des requêtes et réponses par schéma, du rate limiting et des quotas, des journaux structurés et des tests continus via SAST, DAST et fuzzing dédié aux API. La découverte et l'inventaire des API « shadow » et « zombie » sont fondamentaux : on ne défend pas ce que l'on ignore.

Exemples

  1. 01

    Vérifier que l'utilisateur authentifié possède « orderId » avant de renvoyer la commande, pour prévenir le BOLA/IDOR.

  2. 02

    Imposer des limites de débit par jeton et des tailles de requête maximales devant un endpoint GraphQL.

Questions fréquentes

Qu'est-ce que Sécurité des API ?

Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie Sécurité des API ?

Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.

Comment se défendre contre Sécurité des API ?

Les défenses contre Sécurité des API combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Sécurité des API ?

Noms alternatifs courants : Sécurité API.

Termes liés

Voir aussi