![\"Steffy](\"https://cdn.uc.assets.prezly.com/f18b471c-a42b-481f-9dad-07ba378a29ca/-/crop/2698x2699/257,34/-/preview/-/scale_crop/128x128/center/-/format/auto/\"){kind=avatar}
\n Steffy Bruyninx\n PR Consultant, Evoke\n \n
\nDiegem, le 12 juin 2026 - Fortinet a publié son Web Application Security Report 2026. Ce rapport montre que les organisations peinent à suivre le rythme rapide des évolutions liées à l’IA, aux applications web et aux API. De nombreuses solutions de sécurité ont été conçues pour analyser un trafic prévisible et des interactions humaines. Aujourd’hui, elles doivent également analyser des requêtes générées par l’IA et des processus automatisés. Il en résulte un écart croissant entre ce que font réellement les applications et ce que les systèmes de sécurité sont capables de surveiller.
Les chiffres illustrent clairement l’ampleur du défi. L’étude montre que seuls 29 % des répondants ont confiance dans la sécurité globale de leurs applications. Pour les applications intégrant l’IA, ce chiffre tombe à 15 %, et seuls 12 % s’estiment suffisamment préparés face aux attaques générées par l’IA.
Parmi l’ensemble des répondants, seuls 13 % estiment disposer d’une visibilité complète sur toutes les applications et API présentes dans leur environnement. Dans le même temps, 67 % considèrent les API comme le principal facteur de risque. Plus de la moitié des organisations, soit 53 %, indiquent ne pas avoir une visibilité suffisante sur leur paysage d’API.
L’IA accélère cette évolution, car de nouveaux endpoints apparaissent de manière dynamique, des dépendances sont ajoutées en dehors des processus standards et des outils d’IA non contrôlés, ou « shadow AI », font leur apparition. Les modèles d’inventaire traditionnels deviennent dès lors de moins en moins efficaces.
Les attaques telles que le credential stuffing, l’abus d’API et les attaques au niveau applicatif restent les principaux points d’entrée. Leur exécution a toutefois changé. Les attaques assistées par l’IA opèrent en continu, s’adaptent en temps réel aux mesures de sécurité et ressemblent de plus en plus à du trafic utilisateur normal. Selon le rapport, 74 % des organisations ont observé une augmentation des attaques générées ou assistées par l’IA. Les attaques liées aux identifiants sont responsables de 58 % des incidents.
Ces attaques réussissent parce qu’elles utilisent des voies d’accès légitimes et exécutent des activités difficiles à distinguer d’un comportement normal. L’authentification seule ne constitue donc plus une protection suffisante. Une sécurité efficace doit également intervenir au niveau des API et des sessions.
Seuls 5 % des organisations se disent satisfaits de leurs outils actuels de sécurité des applications. Par ailleurs, 62 % indiquent consolider leurs solutions de sécurité ou prévoir de le faire. Les principaux points de friction sont l’application incohérente des politiques de sécurité, les fonctionnalités redondantes et la télémétrie fragmentée entre différentes solutions de sécurité.
Le rapport mentionne également une visibilité limitée, un nombre élevé de faux positifs et des intégrations insuffisantes entre les outils comme des défis récurrents. Ces problèmes s’accentuent lorsque l’inspection et l’application des règles sont réparties entre des systèmes distincts de sécurité des applications web et des API.
Pour améliorer leur protection, les organisations doivent relever plusieurs défis simultanément :
Les résultats de l’étude montrent que les organisations manquent de visibilité sur leurs applications et leurs API, alors que les attaquants opèrent de manière toujours plus rapide et sophistiquée. Les mesures de sécurité traditionnelles et statiques ne suffisent plus dans un environnement où l’IA joue un rôle croissant. Pour combler cet écart, les organisations doivent aborder la sécurité comme un ensemble intégré dans lequel la visibilité, l’inspection, la détection et l’application des règles collaborent étroitement. Le recours à une plateforme intégrée combinant la sécurité des applications web et des API est dès lors essentiel.
Le Web Application Security Report 2026 repose sur une enquête mondiale menée auprès de plus de 800 professionnels de la sécurité et est disponible ici.