peshkova - Fotolia

API : ces quatre grandes tendances qui façonneront 2025 et au-delà

Alors que les entreprises doivent composer avec des budgets et des ressources de plus en plus restreints, le marché des API continuera à jouer un rôle essentiel dans l’intégration des services, des applications et des environnements en cloud

L’écosystème API se trouve à un point d’inflexion.

Les technologies émergentes telles que l’IA générative et l’Edge computing redéfinissent la manière dont les API sont conçues, déployées et consommées. Simultanément, la complexité croissante des systèmes distribués et la menace omniprésente des cyberattaques stimulent les innovations en matière de sécurité et d’observabilité des API. Ces forces convergent pour créer un nouveau paradigme dans le développement et la gestion de ces interfaces. Un paradigme qui promet plus de fonctionnalités, d’efficacité et de résilience. Les entreprises qui souhaitent rester compétitives devront impérativement intégrer une stratégie API dans le cadre de la transformation numérique.

Sur la base d’un examen approfondi de divers rapports sectoriels et de recommandations d’experts sur les avancées émergentes dans l’écosystème des API, voici quatre tendances clés qui devraient façonner le secteur et ouvrir de nouvelles possibilités en matière d’intégration logicielle et d’échange de données au cours des prochaines années.

1. La sécurité des API occupera le devant de la scène

L’adoption d’architectures distribuées a déclenché un boom dans la création d’API. Dans une architecture de microservices, chaque service nécessite généralement une interface, ce qui conduit à un réseau complexe de services interconnectés. À mesure que les API se multiplient, il devient de plus en plus difficile de maintenir un contrôle centralisé de l’écosystème. La sécurité en pâtit et les ressources sont mises à rude épreuve à mesure que les limites des approches de gestion traditionnelles sont testées.

Un exemple frappant des vulnérabilités des API a été mis en lumière en juillet 2024 lorsque le service Authy de Twilio a été victime d’une importante violation de données. Des acteurs malveillants ont exploité un point de terminaison API non sécurisé et ont revendiqué l’accès à 33 millions de numéros de téléphone associés aux utilisateurs de l’authentification multifactorielle Authy. Pour replacer les choses dans leur contexte, un rapport 2024 de la plateforme de sécurité API Salt Security a révélé que 95 % des personnes interrogées ont rencontré des problèmes de sécurité dans leurs API en production au cours de l’année écoulée. Selon une étude de l’éditeur Kong, la fréquence des attaques d’API et des problèmes de sécurité sera multipliée par dix d’ici à 2030.

Alors, que peut-on faire pour lutter contre ces vulnérabilités ?

L’émergence de nouvelles normes et de nouveaux protocoles de sécurité spécifiquement adaptés aux API se concentrera probablement sur le renforcement des mécanismes d’authentification, l’amélioration du chiffrement des données et la normalisation des bonnes pratiques en matière de sécurité des API dans tous les secteurs d’activité. En cela, l’intégration de l’IA dans la sécurité des API gagne du terrain. La plateforme d’études de marché MarketsandMarkets a fait état d’une croissance prévue du marché de la cybersécurité de l’IA de 22,4 milliards de dollars en 2023 à 60,6 milliards de dollars d’ici à 2028. Bien que les organisations puissent explorer les systèmes de surveillance alimentés par l’IA qui peuvent traiter le trafic API en temps réel et détecter les menaces, il convient de souligner que l’intégration de l’IA dans la sécurité de l’API gagne du terrain.

La confiance zéro, comme son nom l’indique, ne suppose aucune confiance implicite pour quelque entité que ce soit et exige une authentification et une autorisation continues pour chaque demande d’API.

2. L’IA générative risque de remodeler le développement et l’utilisation des API

Les fournisseurs cloud et l’ensemble des éditeurs se sont engouffrés dans la brèche provoquée par ChatGPT. Cette démocratisation de l’IA devrait alimenter une nouvelle vague d’applications « intelligentes » dans tous les secteurs. La promesse ? Améliorer à la fois les fonctionnalités et les capacités d’automatisation. Par exemple, les développeurs peuvent utiliser l’IA pour générer des spécifications OpenAPI à partir de descriptions en langage naturel. Cela rationalise ainsi le cycle de développement et raccourcit le délai de mise sur le marché de nouvelles API. Les grands modèles de langage peuvent également améliorer la documentation en créant des explications et des exemples d’utilisation clairs et adaptés au contexte. Cela rendrait les API plus accessibles et plus faciles à mettre en œuvre pour les développeurs de tous niveaux de compétence.

Alors que les leaders technologiques et les analystes aimeraient prédire une adoption généralisée de l’IA générative dans le développement des API, la réalité sur le terrain montre à la fois des promesses et une adoption mesurée. Selon le « 2024 State of API Report » de l’éditeur Postman, le trafic d’API lié à l’IA sur sa plateforme a augmenté de 73 % au cours de l’année écoulée. Cinquante-quatre pour cent des répondants à l’enquête ont déclaré utiliser ChatGPT, suivi de GitHub Copilot et de Microsoft Copilot. En comparaison, 21 % des personnes interrogées disent ne pas utiliser d’outils d’IA.

Les implémentations actuelles de l’IA dans le développement des API ont tendance à se concentrer sur des tâches spécifiques telles que la génération de documentation et l’automatisation des tests (cas ou unitaire). Cette intégration de l’IA dans la gestion du cycle de vie des API va probablement s’intensifier à l’avenir. Toutefois, les entreprises doivent mettre en balance les avantages de l’accessibilité et de l’automatisation avec les défis pratiques liés au déploiement de cette technologie dans leurs flux de travail. Ces obstacles peuvent inclure des exigences accrues en matière d’infrastructure, des problèmes de fiabilité potentiels avec le code généré par l’IA, des risques de sécurité et une consommation d’énergie plus élevée.

3. Une diversification des normes d’API et des styles architecturaux

À mesure que l’écosystème des API se diversifie, la plupart des grandes entreprises utiliseront un mélange de standards et de styles architecturaux. Les API GraphQL, AsyncAPI et REST coexisteront pour répondre à différents cas d’usage au sein d’une même organisation.

Une enquête réalisée en 2024 par Hygraph, un CMS headless natif GraphQL, remarque qu’un peu plus de 61 % des personnes interrogées utiliseraient GraphQL en production et que 10 % d’entre elles disent avoir remplacé REST par GraphQL. En tant qu’alternative à REST, GraphQL permet aux clients d’extraire des données en une seule requête ciblée – une caractéristique particulièrement précieuse dans les applications actuelles riches en données, où la gestion de la surcharge d’informations est un défi permanent.

De son côté, AsyncAPI s’impose comme la spécification de référence pour les architectures événementielles. Alors que le traitement des données en temps réel et les microservices deviennent de plus en plus courants, AsyncAPI fournit un moyen normalisé de décrire et de documenter les API basées sur les événements et les messages. En 2024, les responsables d’AsyncAPI ont présenté des statistiques démontrant une hausse des téléchargements du projet de 5 millions en 2022 à 17 millions en 2023.

Malgré l’essor de nouvelles technologies, le protocole REST demeure le plus utilisé et continue d’évoluer grâce à l’introduction de certaines spécifications et extensions. De quoi pousser les éditeurs en présence à mieux gérer les trois modèles de référence simultanément.

4. Des API Serverless en edge, combo marketing ou réalité ?

Les solutions de gestion d’API telles que MuleSoft ou Axway proposent un modèle de déploiement hybride. Ces plateformes associent un control plane centralisé dans le cloud et des data planes exécutés sur site. Cette approche a démontré son efficacité dans des environnements centralisés ou faiblement distribués, mais elles atteignent leurs limites face aux exigences croissantes de latence minimale et de traitement distribué. C’est d’autant plus vrai pour des équipements de faible puissance.

De nouvelles offres comme Lambda@Edge d’AWS, Serverless Computing d’Akamai, Hasura DDN, ou encore Serverless global API de Cloudflare proposent une évolution en permettant des traitements serverless sur des points de présence régionaux de CDN. Ceux-là effectuent les traitements au plus près de la base de données d’un système sur site ou (véritablement) Edge.

Cela réduirait les délais de traitement en rapprochant les calculs des utilisateurs, tout en évitant de dépendre d’une infrastructure dédiée sur site. Toutefois, ces solutions restent dans une logique de fog computing, opérant à proximité, mais sont toujours éloignées des véritables environnements finaux.

L’avenir pourrait être marqué par la généralisation de l’edge serverless, où les API seraient exécutées directement sur les dispositifs IoT ou sur des passerelles locales autonomes. Ici, il s’agit plutôt de FaaS, de fonctions activables à la demande, tandis que le terme serverless renverrait au modèle économique, à la consommation. Le marché semble s’appuyer sur l’expérience de chercheurs de l’université de l’Arizona et d’IBM ayant tenté d’appliquer différentes modalités FaaS à l’aide d’AWS IoT Greengrass et OpenFaaS.

Ce modèle promettrait une latence quasi nulle, une résilience accrue en cas de déconnexion du cloud et des capacités de personnalisation au plus près des besoins spécifiques, tout en conservant le modèle à la consommation qui a fait une partie du succès du cloud. Cependant, cette approche soulève des défis majeurs : la gestion de la complexité des infrastructures hyperdistribuées, la nécessité d’une interopérabilité entre systèmes hétérogènes et l’éventuelle refonte des outils actuels pour s’adapter à ces nouveaux paradigmes.

Pour approfondir sur API