Rapport Fortinet : la sécurité des applications mise à rude épreuve par le rythme des évolutions de l’IA

La sécurité peine à suivre l’IA : seuls 15 % font confiance aux applications intégrant l’IA

Diegem, le 12 juin 2026 - Fortinet a publié son Web Application Security Report 2026. Ce rapport montre que les organisations peinent à suivre le rythme rapide des évolutions liées à l’IA, aux applications web et aux API. De nombreuses solutions de sécurité ont été conçues pour analyser un trafic prévisible et des interactions humaines. Aujourd’hui, elles doivent également analyser des requêtes générées par l’IA et des processus automatisés. Il en résulte un écart croissant entre ce que font réellement les applications et ce que les systèmes de sécurité sont capables de surveiller.

Les chiffres illustrent clairement l’ampleur du défi. L’étude montre que seuls 29 % des répondants ont confiance dans la sécurité globale de leurs applications. Pour les applications intégrant l’IA, ce chiffre tombe à 15 %, et seuls 12 % s’estiment suffisamment préparés face aux attaques générées par l’IA.

Les plus grands déficits de visibilité se situent dans les zones les plus risquées

Parmi l’ensemble des répondants, seuls 13 % estiment disposer d’une visibilité complète sur toutes les applications et API présentes dans leur environnement. Dans le même temps, 67 % considèrent les API comme le principal facteur de risque. Plus de la moitié des organisations, soit 53 %, indiquent ne pas avoir une visibilité suffisante sur leur paysage d’API.

L’IA accélère cette évolution, car de nouveaux endpoints apparaissent de manière dynamique, des dépendances sont ajoutées en dehors des processus standards et des outils d’IA non contrôlés, ou « shadow AI », font leur apparition. Les modèles d’inventaire traditionnels deviennent dès lors de moins en moins efficaces.

Les techniques d’attaque sont connues, mais leur exécution évolue

Les attaques telles que le credential stuffing, l’abus d’API et les attaques au niveau applicatif restent les principaux points d’entrée. Leur exécution a toutefois changé. Les attaques assistées par l’IA opèrent en continu, s’adaptent en temps réel aux mesures de sécurité et ressemblent de plus en plus à du trafic utilisateur normal. Selon le rapport, 74 % des organisations ont observé une augmentation des attaques générées ou assistées par l’IA. Les attaques liées aux identifiants sont responsables de 58 % des incidents.

Ces attaques réussissent parce qu’elles utilisent des voies d’accès légitimes et exécutent des activités difficiles à distinguer d’un comportement normal. L’authentification seule ne constitue donc plus une protection suffisante. Une sécurité efficace doit également intervenir au niveau des API et des sessions.

La fragmentation des outils aggrave les problèmes

Seuls 5 % des organisations se disent satisfaits de leurs outils actuels de sécurité des applications. Par ailleurs, 62 % indiquent consolider leurs solutions de sécurité ou prévoir de le faire. Les principaux points de friction sont l’application incohérente des politiques de sécurité, les fonctionnalités redondantes et la télémétrie fragmentée entre différentes solutions de sécurité.

Le rapport mentionne également une visibilité limitée, un nombre élevé de faux positifs et des intégrations insuffisantes entre les outils comme des défis récurrents. Ces problèmes s’accentuent lorsque l’inspection et l’application des règles sont réparties entre des systèmes distincts de sécurité des applications web et des API.

Ce dont la sécurité des applications a désormais besoin

Pour améliorer leur protection, les organisations doivent relever plusieurs défis simultanément :

  • Obtenir une visibilité continue sur les applications et les API.
  • Inspecter le trafic, y compris après l’authentification des utilisateurs.
  • Détecter les menaces en temps réel.
  • Partager le contexte entre les différentes couches de sécurité.
  • Réduire le nombre de solutions de sécurité isolées et appliquer les politiques de manière centralisée.

Conclusion

Les résultats de l’étude montrent que les organisations manquent de visibilité sur leurs applications et leurs API, alors que les attaquants opèrent de manière toujours plus rapide et sophistiquée. Les mesures de sécurité traditionnelles et statiques ne suffisent plus dans un environnement où l’IA joue un rôle croissant. Pour combler cet écart, les organisations doivent aborder la sécurité comme un ensemble intégré dans lequel la visibilité, l’inspection, la détection et l’application des règles collaborent étroitement. Le recours à une plateforme intégrée combinant la sécurité des applications web et des API est dès lors essentiel.

Le Web Application Security Report 2026 repose sur une enquête mondiale menée auprès de plus de 800 professionnels de la sécurité et est disponible ici.

Steffy Bruyninx

Steffy Bruyninx

PR Consultant, Evoke

Partager

Recevez des mises à jour par e-mail

En cliquant sur « S'abonner », je confirme avoir lu et accepté la Politique de confidentialité.

À propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Contact

Tour & Taxis Havenlaan 86C bus 15 1000 Brussel

+32 486 42 90 91

info@evokepr.be

www.evokepr.be