[](https://www.paloaltonetworks.com/?ts=markdown)

* FR
  
  * [USA (ENGLISH)](https://www.paloaltonetworks.com/)
  * [AUSTRALIA (ENGLISH)](https://www.paloaltonetworks.com.au)
  * [BRAZIL (PORTUGUÉS)](https://www.paloaltonetworks.com.br)
  * [CANADA (ENGLISH)](https://www.paloaltonetworks.ca)
  * FRANCE (FRANÇAIS)
  * [GERMANY (DEUTSCH)](https://www.paloaltonetworks.de)
  * [INDIA (ENGLISH)](https://www.paloaltonetworks.in)
  * [ITALY (ITALIANO)](https://www.paloaltonetworks.it)
  * [JAPAN (日本語)](https://www.paloaltonetworks.jp)
  * [KOREA (한국어)](https://www.paloaltonetworks.co.kr)
  * [LATIN AMERICA (ESPAÑOL)](https://www.paloaltonetworks.lat)
  * [MEXICO (ESPAÑOL)](https://www.paloaltonetworks.com.mx)
  * [SINGAPORE (ENGLISH)](https://www.paloaltonetworks.sg)
  * [SPAIN (ESPAÑOL)](https://www.paloaltonetworks.es)
  * [TAIWAN (繁體中文)](https://www.paloaltonetworks.tw)
  * [CHINA (简体中文)](https://www.paloaltonetworks.cn)
  * [UK (ENGLISH)](https://www.paloaltonetworks.co.uk)

* ![magnifying glass search icon to open search field](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/search-black.svg)

* [Nous contacter](https://www.paloaltonetworks.fr/company/contact?ts=markdown)

* [Ressources](https://www.paloaltonetworks.fr/resources?ts=markdown)

* [Support](https://support.paloaltonetworks.com/support)

* [Victime d'une attaque ?](https://start.paloaltonetworks.com/contact-unit42.html)
  ![x close icon to close mobile navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/x-black.svg) [![Palo Alto Networks logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)](https://www.paloaltonetworks.com/?ts=markdown) ![magnifying glass search icon to open search field](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/search-black.svg)

* [](https://www.paloaltonetworks.com/?ts=markdown)

* Produits  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Produits  
  [Plateforme de sécurité du réseau pilotée par IA](https://www.paloaltonetworks.fr/network-security?ts=markdown)
  
  * [Sécuriser l'IA à la conception](https://www.paloaltonetworks.fr/precision-ai-security/secure-ai-by-design?ts=markdown)
  
  * [Prisma AIRS](https://www.paloaltonetworks.fr/prisma/prisma-ai-runtime-security?ts=markdown)
  
  * [AI Access Security](https://www.paloaltonetworks.fr/sase/ai-access-security?ts=markdown)
  
  * [SERVICES DE SÉCURITÉ CLOUD](https://www.paloaltonetworks.fr/network-security/security-subscriptions?ts=markdown)
  
  * [Advanced Threat Prevention](https://www.paloaltonetworks.fr/network-security/advanced-threat-prevention?ts=markdown)
  
  * [Advanced URL Filtering](https://www.paloaltonetworks.fr/network-security/advanced-url-filtering?ts=markdown)
  
  * [Advanced WildFire](https://www.paloaltonetworks.fr/network-security/advanced-wildfire?ts=markdown)
  
  * [Advanced DNS Security](https://www.paloaltonetworks.fr/network-security/advanced-dns-security?ts=markdown)
  
  * [Enterprise Data Loss Prevention](https://www.paloaltonetworks.fr/sase/enterprise-data-loss-prevention?ts=markdown)
  
  * [Sécurité IoT d'entreprise](https://www.paloaltonetworks.fr/network-security/enterprise-device-security?ts=markdown)
  
  * [Medical IoT Security](https://www.paloaltonetworks.fr/network-security/medical-iot-security?ts=markdown)
  
  * [sécurité ot industrielle](https://www.paloaltonetworks.fr/network-security/industrial-ot-security?ts=markdown)
  
  * [SaaS Security](https://www.paloaltonetworks.fr/sase/saas-security?ts=markdown)
  
  * [Pare-feu nouvelle génération](https://www.paloaltonetworks.fr/network-security/next-generation-firewall?ts=markdown)
  
  * [Pare-feu matériels](https://www.paloaltonetworks.fr/network-security/hardware-firewall-innovations?ts=markdown)
  
  * [Pare-feu logiciels](https://www.paloaltonetworks.fr/network-security/software-firewalls?ts=markdown)
  
  * [Strata Cloud Manager](https://www.paloaltonetworks.fr/network-security/strata-cloud-manager?ts=markdown)
  
  * [SD-WAN pour NGFW](https://www.paloaltonetworks.fr/network-security/sd-wan-subscription?ts=markdown)
  
  * [PAN-OS](https://www.paloaltonetworks.fr/network-security/pan-os?ts=markdown)
  
  * [Panorama](https://www.paloaltonetworks.fr/network-security/panorama?ts=markdown)
  
  * [SECURE ACCESS SERVICE EDGE](https://www.paloaltonetworks.fr/sase?ts=markdown)
  
  * [Prisma SASE](https://www.paloaltonetworks.fr/sase?ts=markdown)
  
  * [Accélération des applications](https://www.paloaltonetworks.fr/sase/app-acceleration?ts=markdown)
  
  * [Autonomous Digital Experience Management](https://www.paloaltonetworks.fr/sase/adem?ts=markdown)
  
  * [DLP d'entreprise](https://www.paloaltonetworks.fr/sase/enterprise-data-loss-prevention?ts=markdown)
  
  * [Prisma Access](https://www.paloaltonetworks.fr/sase/access?ts=markdown)
  
  * [Prisma Browser](https://www.paloaltonetworks.fr/sase/prisma-browser?ts=markdown)
  
  * [Prisma SD-WAN](https://www.paloaltonetworks.fr/sase/sd-wan?ts=markdown)
  
  * [Isolation de navigateur à distance (RBI)](https://www.paloaltonetworks.fr/sase/remote-browser-isolation?ts=markdown)
  
  * [Sécurité SaaS](https://www.paloaltonetworks.fr/sase/saas-security?ts=markdown)  
    [Plateforme SecOps pilotée par IA](https://www.paloaltonetworks.fr/cortex?ts=markdown)
  
  * [Sécurité du cloud](https://www.paloaltonetworks.fr/cortex/cloud?ts=markdown)
  
  * [Cortex Cloud](https://www.paloaltonetworks.fr/cortex/cloud?ts=markdown)
  
  * [Sécurité des applications](https://www.paloaltonetworks.fr/cortex/cloud/application-security?ts=markdown)
  
  * [Sécurité de la posture cloud](https://www.paloaltonetworks.fr/cortex/cloud/cloud-posture-security?ts=markdown)
  
  * [Sécurité du runtime cloud](https://www.paloaltonetworks.fr/cortex/cloud/runtime-security?ts=markdown)
  
  * [Prisma Cloud](https://www.paloaltonetworks.fr/prisma/cloud?ts=markdown)
  
  * [SOC piloté par IA](https://www.paloaltonetworks.fr/cortex?ts=markdown)
  
  * [Cortex Advanced Email Security](https://www.paloaltonetworks.fr/cortex/advanced-email-security?ts=markdown)
  
  * [Cortex Exposure Management](https://www.paloaltonetworks.fr/cortex/exposure-management?ts=markdown)
  
  * [Cortex XSIAM](https://www.paloaltonetworks.fr/cortex/cortex-xsiam?ts=markdown)
  
  * [Cortex XDR](https://www.paloaltonetworks.fr/cortex/cortex-xdr?ts=markdown)
  
  * [Cortex XSOAR](https://www.paloaltonetworks.fr/cortex/cortex-xsoar?ts=markdown)
  
  * [Cortex Xpanse](https://www.paloaltonetworks.fr/cortex/cortex-xpanse?ts=markdown)
  
  * [Services managés de détection et de réponse (MDR) d'Unit 42](https://www.paloaltonetworks.fr/cortex/managed-detection-and-response?ts=markdown)
  
  * [XSIAM managé](https://www.paloaltonetworks.fr/cortex/managed-xsiam?ts=markdown)

* Solutions  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Solutions  
  Sécurité de l'IA
  
  * [Sécuriser l'écosystème d'IA](https://www.paloaltonetworks.fr/prisma/prisma-ai-runtime-security?ts=markdown)
  * [Sécuriser la GenAI](https://www.paloaltonetworks.fr/sase/ai-access-security?ts=markdown)  
    Sécurité réseau
  * [Sécurité des réseaux cloud](https://www.paloaltonetworks.fr/network-security/software-firewalls?ts=markdown)
  * [Sécurité des data centers](https://www.paloaltonetworks.fr/network-security/data-center?ts=markdown)
  * [DNS Security](https://www.paloaltonetworks.fr/network-security/advanced-dns-security?ts=markdown)
  * [Détection et prévention des intrusions](https://www.paloaltonetworks.fr/network-security/advanced-threat-prevention?ts=markdown)
  * [IoT Security](https://www.paloaltonetworks.fr/network-security/enterprise-device-security?ts=markdown)
  * [Sécurité 5G](https://www.paloaltonetworks.fr/network-security/5g-security?ts=markdown)
  * [Sécuriser l'ensemble des applications, des utilisateurs et des sites](https://www.paloaltonetworks.fr/sase/secure-users-data-apps-devices?ts=markdown)
  * [Sécuriser la transformation des sites distants](https://www.paloaltonetworks.fr/sase/secure-branch-transformation?ts=markdown)
  * [Sécuriser le travail sur tous les appareils](https://www.paloaltonetworks.fr/sase/secure-work-on-any-device?ts=markdown)
  * [Remplacement du VPN](https://www.paloaltonetworks.fr/sase/vpn-replacement-for-secure-remote-access?ts=markdown)
  * [Sécurité web et contre le hameçonnage](https://www.paloaltonetworks.fr/network-security/advanced-url-filtering?ts=markdown)  
    Sécurité cloud
  * [Gestion de la posture de sécurité des applications (ASPM)](https://www.paloaltonetworks.fr/cortex/cloud/application-security-posture-management?ts=markdown)
  * [Sécurité de la supply chain logicielle](https://www.paloaltonetworks.fr/cortex/cloud/software-supply-chain-security?ts=markdown)
  * [Sécurité du code](https://www.paloaltonetworks.fr/cortex/cloud/code-security?ts=markdown)
  * [Gestion de la posture de sécurité du cloud (CSPM)](https://www.paloaltonetworks.fr/cortex/cloud/cloud-security-posture-management?ts=markdown)
  * [Gestion des droits sur l'infrastructure cloud (CIEM)](https://www.paloaltonetworks.fr/cortex/cloud/cloud-infrastructure-entitlement-management?ts=markdown)
  * [Gestion de la posture de sécurité des données (DSPM)](https://www.paloaltonetworks.fr/cortex/cloud/data-security-posture-management?ts=markdown)
  * [Gestion de la posture de sécurité IA (AI-SPM)](https://www.paloaltonetworks.fr/cortex/cloud/ai-security-posture-management?ts=markdown)
  * [Détection et réponse dans le cloud (CDR)](https://www.paloaltonetworks.fr/cortex/cloud-detection-and-response?ts=markdown)
  * [Protection des workloads cloud (CWP)](https://www.paloaltonetworks.fr/cortex/cloud/cloud-workload-protection?ts=markdown)
  * [Sécurité des API et des applications web (WAAS)](https://www.paloaltonetworks.fr/cortex/cloud/web-app-api-security?ts=markdown)  
    Opérations de sécurité
  * [Détection et réponse en mode cloud](https://www.paloaltonetworks.fr/cortex/cloud-detection-and-response?ts=markdown)
  * [Automatisation de la sécurité réseau](https://www.paloaltonetworks.fr/cortex/network-security-automation?ts=markdown)
  * [Gestion des incidents](https://www.paloaltonetworks.fr/cortex/incident-case-management?ts=markdown)
  * [Automatisation du SOC](https://www.paloaltonetworks.fr/cortex/security-operations-automation?ts=markdown)
  * [Gestion CTI](https://www.paloaltonetworks.fr/cortex/threat-intel-management?ts=markdown)
  * [Services managés de détection et de réponse](https://www.paloaltonetworks.fr/cortex/managed-detection-and-response?ts=markdown)
  * [Gestion de la surface d'attaque](https://www.paloaltonetworks.fr/cortex/cortex-xpanse/attack-surface-management?ts=markdown)
  * [Gestion de la conformité](https://www.paloaltonetworks.fr/cortex/cortex-xpanse/compliance-management?ts=markdown)
  * [Gestion des opérations Internet](https://www.paloaltonetworks.fr/cortex/cortex-xpanse/internet-operations-management?ts=markdown)  
    Sécurité des terminaux
  * [Protection des terminaux](https://www.paloaltonetworks.fr/cortex/endpoint-protection?ts=markdown)
  * [Détection et réponse étendues](https://www.paloaltonetworks.fr/cortex/detection-and-response?ts=markdown)
  * [Protection contre les ransomwares](https://www.paloaltonetworks.fr/cortex/ransomware-protection?ts=markdown)
  * [Analyses forensiques](https://www.paloaltonetworks.fr/cortex/digital-forensics?ts=markdown)  
    [Solutions par secteur](https://www.paloaltonetworks.fr/industry?ts=markdown)
  * [Secteur public](https://www.paloaltonetworks.com/industry/public-sector)
  * [Services financiers](https://www.paloaltonetworks.com/industry/financial-services)
  * [Industrie](https://www.paloaltonetworks.com/industry/manufacturing)
  * [Santé](https://www.paloaltonetworks.com/industry/healthcare)
  * [Solutions pour PME et ETI](https://www.paloaltonetworks.com/industry/small-medium-business-portfolio)

* Services  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Services  
  [Services de Threat Intelligence et de réponse aux incidents](https://www.paloaltonetworks.fr/unit42?ts=markdown)
  
  * [Évaluation](https://www.paloaltonetworks.fr/unit42/assess?ts=markdown)
  
  * [AI Security Assessment](https://www.paloaltonetworks.fr/unit42/assess/ai-security-assessment?ts=markdown)
  
  * [Évaluation de la surface d'attaque](https://www.paloaltonetworks.fr/unit42/assess/attack-surface-assessment?ts=markdown)
  
  * [Bilan de préparation à une compromission](https://www.paloaltonetworks.fr/unit42/assess/breach-readiness-review?ts=markdown)
  
  * [Évaluation de l'état de préparation aux compromissions de messagerie professionnelle (BEC)](https://www.paloaltonetworks.com/bec-readiness-assessment)
  
  * [Évaluation de la sécurité du cloud](https://www.paloaltonetworks.fr/unit42/assess/cloud-security-assessment?ts=markdown)
  
  * [Évaluation de compromission](https://www.paloaltonetworks.fr/unit42/assess/compromise-assessment?ts=markdown)
  
  * [Évaluation du cyber-risque](https://www.paloaltonetworks.fr/unit42/assess/cyber-risk-assessment?ts=markdown)
  
  * [Due diligence de cybersécurité pour les fusions et acquisitions](https://www.paloaltonetworks.fr/unit42/assess/mergers-acquisitions-cyber-due-dilligence?ts=markdown)
  
  * [Test de pénétration](https://www.paloaltonetworks.fr/unit42/assess/penetration-testing?ts=markdown)
  
  * [Exercices Purple Team](https://www.paloaltonetworks.fr/unit42/assess/purple-teaming?ts=markdown)
  
  * [Évaluation de la préparation face aux ransomwares](https://www.paloaltonetworks.fr/unit42/assess/ransomware-readiness-assessment?ts=markdown)
  
  * [Évaluation du SOC](https://www.paloaltonetworks.fr/unit42/assess/soc-assessment?ts=markdown)
  
  * [Évaluation des risques sur la supply chain](https://www.paloaltonetworks.fr/unit42/assess/supply-chain-risk-assessment?ts=markdown)
  
  * [Exercices de simulation](https://www.paloaltonetworks.fr/unit42/assess/tabletop-exercise?ts=markdown)
  
  * [Équipe d'astreinte Unit 42](https://www.paloaltonetworks.fr/unit42/retainer?ts=markdown)
  
  * [Réponse](https://www.paloaltonetworks.fr/unit42/respond?ts=markdown)
  
  * [Réponse à incident dans le cloud](https://www.paloaltonetworks.fr/unit42/respond/cloud-incident-response?ts=markdown)
  
  * [Analyse forensique numérique](https://www.paloaltonetworks.fr/unit42/respond/digital-forensics?ts=markdown)
  
  * [Réponse à incident](https://www.paloaltonetworks.fr/unit42/respond/incident-response?ts=markdown)
  
  * [Services managés de détection et de réponse (MDR)](https://www.paloaltonetworks.fr/unit42/respond/managed-detection-response?ts=markdown)
  
  * [Services managés de Threat Hunting](https://www.paloaltonetworks.fr/unit42/respond/managed-threat-hunting?ts=markdown)
  
  * [XSIAM managé](https://www.paloaltonetworks.fr/cortex/managed-xsiam?ts=markdown)
  
  * [Équipe d'astreinte Unit 42](https://www.paloaltonetworks.fr/unit42/retainer?ts=markdown)
  
  * [Transformation](https://www.paloaltonetworks.fr/unit42/transform?ts=markdown)
  
  * [Élaboration et examen du plan de réponse à incident](https://www.paloaltonetworks.fr/unit42/transform/incident-response-plan-development-review?ts=markdown)
  
  * [Conception du programme de sécurité](https://www.paloaltonetworks.fr/unit42/transform/security-program-design?ts=markdown)
  
  * [RSSI virtuel](https://www.paloaltonetworks.fr/unit42/transform/vciso?ts=markdown)
  
  * [Conseil en Zero Trust](https://www.paloaltonetworks.fr/unit42/transform/zero-trust-advisory?ts=markdown)  
    [Service client international](https://www.paloaltonetworks.fr/services?ts=markdown)
  
  * [Formations](https://www.paloaltonetworks.com/services/education)
  
  * [Professional Services](https://www.paloaltonetworks.com/services/consulting)
  
  * [Outils clients](https://www.paloaltonetworks.com/services/customer-success-tools)
  
  * [Services de support](https://www.paloaltonetworks.com/services/solution-assurance)
  
  * [Accompagnement des clients](https://www.paloaltonetworks.com/services/customer-success)  
    [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/logo-unit-42.svg)  
    CONTRAT D'ASTREINTE UNIT 42
    Taillé sur mesure pour répondre aux besoins de votre entreprise, votre contrat vous permet d'allouer les heures d'astreinte à l'offre de votre choix, notamment les services de gestion proactive des cyber-risques. Découvrez comment vous attacher les services de l'équipe de réponse aux incidents Unit 42.
    En savoir plus](https://www.paloaltonetworks.fr/unit42/retainer?ts=markdown)

* Partenaires  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Partenaires  
  Partenaires NextWave
  
  * [Communauté de partenaires NextWave](https://www.paloaltonetworks.com/partners)
  * [Fournisseurs de services cloud (CSP)](https://www.paloaltonetworks.com/partners/nextwave-for-csp)
  * [Intégrateurs de systèmes globaux](https://www.paloaltonetworks.com/partners/nextwave-for-gsi)
  * [Partenaires technologiques](https://www.paloaltonetworks.com/partners/technology-partners)
  * [Fournisseurs de services](https://www.paloaltonetworks.com/partners/service-providers)
  * [Fournisseurs de solutions](https://www.paloaltonetworks.com/partners/nextwave-solution-providers)
  * [Fournisseurs de services de sécurité managés (MSSP)](https://www.paloaltonetworks.com/partners/managed-security-service-providers)  
    Agir
  * [Connexion au portail](https://www.paloaltonetworks.com/partners/nextwave-partner-portal)
  * [Programme de services managés](https://www.paloaltonetworks.com/partners/managed-security-services-provider-program)
  * [Devenir partenaire](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerregistration?type=becomepartner)
  * [Demander un accès](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerregistration?type=requestaccess)
  * [Trouver un partenaire](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerlocator)  
    [CYBERFORCE
    Notre programme CYBERFORCE réunit les tout meilleurs ingénieurs partenaires, des professionnels reconnus pour leur expertise en sécurité.
    En savoir plus](https://www.paloaltonetworks.com/cyberforce)

* Entreprise  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Entreprise  
  Palo Alto Networks
  
  * [Notre entreprise](https://www.paloaltonetworks.fr/about-us?ts=markdown)
  * [Équipe de direction](https://www.paloaltonetworks.com/about-us/management)
  * [Relations investisseurs](https://investors.paloaltonetworks.com)
  * [Implantations](https://www.paloaltonetworks.com/about-us/locations)
  * [Éthique et conformité](https://www.paloaltonetworks.com/company/ethics-and-compliance)
  * [Responsabilité d'entreprise](https://www.paloaltonetworks.com/about-us/corporate-responsibility)
  * [Militaires et anciens combattants](https://jobs.paloaltonetworks.com/military)  
    [L'avantage Palo Alto Networks](https://www.paloaltonetworks.fr/why-paloaltonetworks?ts=markdown)
  * [Sécurité Precision AI](https://www.paloaltonetworks.fr/precision-ai-security?ts=markdown)
  * [Notre approche plateforme](https://www.paloaltonetworks.fr/why-paloaltonetworks/platformization?ts=markdown)
  * [Transformez votre cybersécurité](https://www.paloaltonetworks.com/why-paloaltonetworks/nam-cxo-portfolio)
  * [Prix et distinctions](https://www.paloaltonetworks.com/about-us/awards)
  * [Témoignages clients](https://www.paloaltonetworks.fr/customers?ts=markdown)
  * [Certifications internationales](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance)
  * [Programme Trust 360](https://www.paloaltonetworks.com/resources/whitepapers/trust-360)  
    Carrières
  * [Aperçu](https://jobs.paloaltonetworks.com/)
  * [Culture d'entreprise et avantages](https://jobs.paloaltonetworks.com/en/culture/)  
    [Au palmarès Newsweek des entreprises où il fait bon travailler
    "Une entreprise qui assure aux yeux de ses employés"
    Lire l'article](https://www.paloaltonetworks.com/company/press/2021/palo-alto-networks-secures-top-ranking-on-newsweek-s-most-loved-workplaces-list-for-2021)

* Suite du menu  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Suite du menu  
  Ressources
  
  * [Blog](https://www.paloaltonetworks.com/blog/?lang=fr)
  * [Travaux de recherche Unit 42 Blog](https://unit42.paloaltonetworks.com/)
  * [Communautés](https://www.paloaltonetworks.com/communities)
  * [Bibliothèque de contenu](https://www.paloaltonetworks.fr/resources?ts=markdown)
  * [Cyberpedia](https://www.paloaltonetworks.fr/cyberpedia?ts=markdown)
  * [Tech Insider](https://techinsider.paloaltonetworks.com/)
  * [Base de connaissances](https://knowledgebase.paloaltonetworks.com/)
  * [TV Palo Alto Networks](https://tv.paloaltonetworks.com/)
  * [Perspectives pour les dirigeants](https://www.paloaltonetworks.fr/perspectives/)
  * [Cyber Perspectives : le magazine](https://www.paloaltonetworks.com/cybersecurity-perspectives/cyber-perspectives-magazine)
  * [Data centers cloud régionaux](https://www.paloaltonetworks.fr/products/regional-cloud-locations?ts=markdown)
  * [Documentation technique](https://docs.paloaltonetworks.com/)
  * [Security Posture Assessment](https://www.paloaltonetworks.com/security-posture-assessment)
  * [Podcast Threat Vector](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/)  
    Contact
  * [LIVE community](https://live.paloaltonetworks.com/)
  * [Évènements](https://events.paloaltonetworks.com/)
  * [Briefing Center pour dirigeants](https://www.paloaltonetworks.com/about-us/executive-briefing-program)
  * [Démos](https://www.paloaltonetworks.com/demos)
  * [Nous contacter](https://www.paloaltonetworks.fr/company/contact?ts=markdown)  
    [Blog
    Découvrez les tendances et les dernières innovations du plus grand acteur de la cybersécurité de la planète
    En savoir plus](https://www.paloaltonetworks.com/blog/?lang=fr)

* FR  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Language
  
  * [USA (ENGLISH)](https://www.paloaltonetworks.com/)
  * [AUSTRALIA (ENGLISH)](https://www.paloaltonetworks.com.au)
  * [BRAZIL (PORTUGUÉS)](https://www.paloaltonetworks.com.br)
  * [CANADA (ENGLISH)](https://www.paloaltonetworks.ca)
  * FRANCE (FRANÇAIS)
  * [GERMANY (DEUTSCH)](https://www.paloaltonetworks.de)
  * [INDIA (ENGLISH)](https://www.paloaltonetworks.in)
  * [ITALY (ITALIANO)](https://www.paloaltonetworks.it)
  * [JAPAN (日本語)](https://www.paloaltonetworks.jp)
  * [KOREA (한국어)](https://www.paloaltonetworks.co.kr)
  * [LATIN AMERICA (ESPAÑOL)](https://www.paloaltonetworks.lat)
  * [MEXICO (ESPAÑOL)](https://www.paloaltonetworks.com.mx)
  * [SINGAPORE (ENGLISH)](https://www.paloaltonetworks.sg)
  * [SPAIN (ESPAÑOL)](https://www.paloaltonetworks.es)
  * [TAIWAN (繁體中文)](https://www.paloaltonetworks.tw)
  * [CHINA (简体中文)](https://www.paloaltonetworks.cn)
  * [UK (ENGLISH)](https://www.paloaltonetworks.co.uk)

* [Nous contacter](https://www.paloaltonetworks.fr/company/contact?ts=markdown)

* [Ressources](https://www.paloaltonetworks.fr/resources?ts=markdown)

* [Support](https://support.paloaltonetworks.com/support)

* [Victime d'une attaque ?](https://start.paloaltonetworks.com/contact-unit42.html)

* [Commencer](https://www.paloaltonetworks.fr/get-started?ts=markdown)  
  Recherche  
  Close search modal
  [](https://www.paloaltonetworks.com/?ts=markdown)

1. [Cyberpedia](https://www.paloaltonetworks.fr/cyberpedia?ts=markdown)
2. [Cloud Security](https://www.paloaltonetworks.com/cyberpedia/cloud-security?ts=markdown)
3. [API Security](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security?ts=markdown)
4. [Qu'est-ce que la sécurité des API ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security?ts=markdown)  
   Sommaire

* Qu'est-ce que la sécurité des API ?
  * [La sécurité des API en bref](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#api?ts=markdown)
  * [Qu'est-ce qu'une API ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#definition?ts=markdown)
  * [Pourquoi la sécurité des API est-elle si importante ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#why?ts=markdown)
  * [Approche traditionnelle de la sécurité des applications web](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#traditional?ts=markdown)
  * [Anatomie d'une attaque d'API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#anatomy?ts=markdown)
  * [Risques liés à la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#risks?ts=markdown)
  * [Sécurité des API pour SOAP, REST et GraphQL](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#graphql?ts=markdown)
  * [Les bonnes pratiques pour la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#best?ts=markdown)
  * [Solution de sécurité API Prisma Cloud](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#prisma?ts=markdown)
  * [Sécurité des API : questions fréquentes](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#faqs?ts=markdown)
* [Qu'est-ce qu'un WAF ? | Le Web Application Firewall expliqué](https://www.paloaltonetworks.com/cyberpedia/what-is-a-web-application-firewall?ts=markdown)
  * [L'émergence de la technologie WAF](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#emergence?ts=markdown)
  * [WAFs : Un élément de sécurité essentiel](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#wafs?ts=markdown)
  * [Comprendre le paysage des menaces](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#understanding?ts=markdown)
  * [Fonctions d'un pare-feu d'application Web efficace](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#functions?ts=markdown)
  * [Différents types de pare-feu pour applications web](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#different?ts=markdown)
  * [WAFs et autres outils de sécurité](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#vs?ts=markdown)
  * [Comment déployer un pare-feu d'application Web ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#how?ts=markdown)
  * [Éléments à prendre en compte lors du choix d'une solution de sécurité pour les applications web](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#what?ts=markdown)
  * [L'avenir de la sécurité des applications Web et des API (WAAS)](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#future?ts=markdown)
  * [Sécuriser vos applications pour l'avenir](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#securing?ts=markdown)
  * [FAQ sur le WAF](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall#faqs?ts=markdown)
* [Qu'est-ce que la couche 7 ?](https://www.paloaltonetworks.com/cyberpedia/what-is-layer-7?ts=markdown)
  * [Anatomie de la couche 7](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#what?ts=markdown)
  * [Comprendre le modèle OSI](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#osi?ts=markdown)
  * [Parcours des données dans l'architecture OSI](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#how?ts=markdown)
  * [Le rôle de la couche 7](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#role?ts=markdown)
  * [Équilibrage de charge en couche 7](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#load?ts=markdown)
  * [Sécurité de couche 7](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#security?ts=markdown)
  * [Modèle OSI vs modèle TCP/IP](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#model?ts=markdown)
  * [Couche 7 et modèle OSI : les questions fréquentes](https://www.paloaltonetworks.fr/cyberpedia/what-is-layer-7#faqs?ts=markdown)
* [Qu'est-ce que la gestion de la sécurité des applications (ASPM) ?](https://www.paloaltonetworks.com/cyberpedia/aspm-application-security-posture-management?ts=markdown)
  * [Explication de la gestion de la sécurité des applications (ASPM)](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#application?ts=markdown)
  * [Pourquoi les SAGI sont-ils importants ?](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#why?ts=markdown)
  * [Le rôle des SAGI dans la cyberdéfense](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#role?ts=markdown)
  * [ASPM : Valeur de l'entreprise](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#aspm?ts=markdown)
  * [Comparaison des SAGI avec d'autres technologies de sécurité](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#security?ts=markdown)
  * [Fonctionnement des SAGI](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#works?ts=markdown)
  * [Cas d'utilisation des SAGI](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#cases?ts=markdown)
  * [Principaux éléments à prendre en compte lors du choix d'une solution SGAA](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#considerations?ts=markdown)
* [FAQ des SAGI](https://www.paloaltonetworks.fr/cyberpedia/aspm-application-security-posture-management#faqs?ts=markdown)

# Qu'est-ce que la sécurité des API ?

Sommaire

* * [La sécurité des API en bref](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#api?ts=markdown)
  * [Qu'est-ce qu'une API ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#definition?ts=markdown)
  * [Pourquoi la sécurité des API est-elle si importante ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#why?ts=markdown)
  * [Approche traditionnelle de la sécurité des applications web](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#traditional?ts=markdown)
  * [Anatomie d'une attaque d'API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#anatomy?ts=markdown)
  * [Risques liés à la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#risks?ts=markdown)
  * [Sécurité des API pour SOAP, REST et GraphQL](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#graphql?ts=markdown)
  * [Les bonnes pratiques pour la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#best?ts=markdown)
  * [Solution de sécurité API Prisma Cloud](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#prisma?ts=markdown)
* [Sécurité des API : questions fréquentes](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#faqs?ts=markdown)

1. La sécurité des API en bref

* * [La sécurité des API en bref](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#api?ts=markdown)
  * [Qu'est-ce qu'une API ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#definition?ts=markdown)
  * [Pourquoi la sécurité des API est-elle si importante ?](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#why?ts=markdown)
  * [Approche traditionnelle de la sécurité des applications web](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#traditional?ts=markdown)
  * [Anatomie d'une attaque d'API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#anatomy?ts=markdown)
  * [Risques liés à la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#risks?ts=markdown)
  * [Sécurité des API pour SOAP, REST et GraphQL](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#graphql?ts=markdown)
  * [Les bonnes pratiques pour la sécurité des API](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#best?ts=markdown)
  * [Solution de sécurité API Prisma Cloud](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#prisma?ts=markdown)
* [Sécurité des API : questions fréquentes](https://www.paloaltonetworks.fr/cyberpedia/what-is-api-security#faqs?ts=markdown)

La sécurité des API protège les interfaces de programmation applicative (API) contre toute utilisation malveillante ou tentative d'exploitation visant à perturber leur fonctionnement ou à dérober des données sensibles. Il s'agit d'un ensemble de stratégies, de techniques et de solutions permettant de s'assurer que seuls les utilisateurs autorisés peuvent accéder à l'API et que les données transmises via cette interface sont sécurisées de façon à empêcher toute manipulation ou tout accès prohibés.

## La sécurité des API en bref

Les API permettent aux systèmes et aux services d'interagir avec le back-end. Il est donc essentiel d'assurer leur sécurité afin de protéger les données sensibles qui y transitent, telles que les informations d'accès (données d'authentification, d'autorisation, de validation, de chiffrement, etc.). La sécurité des API englobe donc les méthodes et les outils conçus pour défendre ce framework back-end et neutraliser les menaces liées aux violations d'accès, aux attaques de bots ou aux tentatives de détournement.

**Principaux types d'attaques d'API**

* DoS (déni de service)
* DDoS (déni de service distribué)
* MITM (Man-in-the-Middle)
* Violation du contrôle d'accès
* Injection

Une attaque d'API peut entraîner des pertes massives de données, des vols d'informations privées ou personnelles ainsi que des interruptions de service.

## Qu'est-ce qu'une API ?

Une API, ou interface de programmation applicative (Application Programming Interface en anglais), est un ensemble de définitions et de protocoles facilitant la communication des composants logiciels. En tant qu'intermédiaire entre les différents systèmes, l'API permet aux applications ou aux services de partager des données et des fonctionnalités. Mais l'API ne se contente pas de fournir une infrastructure de connectivité. Elle régit également la manière dont les applications sont autorisées à communiquer et à interagir entre elles, en définissant notamment le type de requêtes qui peuvent être échangées, la manière dont ces requêtes doivent être effectuées et les formats de données autorisés.

Les API permettent ainsi aux entreprises de partager des données avec leurs clients ou d'autres utilisateurs externes. Parmi les applications les plus courantes, on peut par exemple citer le traitement des paiements, les visioconférences, les réseaux sociaux, les services de messagerie, la domotique et le suivi de santé ou des performances physiques. Ouvertes ou fermées, publiques ou privées, la plupart des architectures d'API suivent des standards tels que REST, SOAP ou GraphQL.

En leur donnant accès aux fonctionnalités d'autres applications, les API profitent aussi aux développeurs. Elles leur évitent en effet d'avoir à continuellement créer de nouvelles infrastructures de connectivité ou à maîtriser toutes les subtilités de l'architecture et du code sous-jacent.  
![Figure 1. Structure applicative moderne](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/api-modern-applications-strucuture.png "Figure 1. Structure applicative moderne") Figure 1. Structure applicative moderne

## Pourquoi la sécurité des API est-elle si importante ?

Les applications sont omniprésentes. Elles font désormais partie intégrante de la vie des entreprises et de la société dans son ensemble. Or, derrière presque toutes les applications se trouvent des API. Il est donc essentiel de les protéger ces interfaces efficacement.

Les API offrent un framework back-end à la plupart des applications cloud-native, dont les applications mobiles, web et SaaS, mais aussi aux applications internes ou destinées aux partenaires et aux clients. Leur utilisation est de ce fait extrêmement répandue. Pour donner une idée de l'ampleur du phénomène, la plateforme de gestion d'API Postman a, par exemple, enregistré 1,13 milliard d'appels d'API en 2022. Mais cet essor éveille aussi l'intérêt des acteurs malveillants.

Les API exposent en effet la logique des applications, les ressources et les données sensibles (y compris les données à caractère personnel). Elles sont donc devenues la cible privilégiée des attaquants, qui peuvent désormais profiter de cette porte d'entrée pour perturber le fonctionnement de l'entreprise et accéder à des informations sensibles dans le but de les exfiltrer ou de les détruire.  
![Figure 2. Application de microservices utilisant des API](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/modern-microservice-api.png "Figure 2. Application de microservices utilisant des API") Figure 2. Application de microservices utilisant des API

## Approche traditionnelle de la sécurité des applications web

À l'époque des applications monolithiques, la sécurité consistait à déployer un [WAF (pare-feu d'application web)](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall?ts=markdown) en périphérie afin d'intercepter et d'inspecter le trafic HTTP envoyé par les clients. Cette approche constituait, et constitue encore, une barrière efficace pour protéger les applications contre les intrusions malveillantes via des formulaires HTTP standards ou des requêtes de navigateur.

Mais la nature des applications web a changé et le temps des monolithes hébergés par des serveurs indépendants est révolu. Nous avons désormais affaire à des objets containerisés, cloud-native et distribués dans des clusters de serveurs hôtes.

Aujourd'hui, les équipes de sécurité et les développeurs sont contraints de gérer des architectures en microservices cloud-native et distribuées dans des réseaux sans périmètre. Les applications modernes traitent par ailleurs des données provenant de sources variées (requêtes web standard, appels d'API depuis un appareil mobile, événements cloud, données de télémétrie des équipements IoT, stockage cloud, etc.).

Les requêtes HTTP entrantes (trafic nord-sud) ne représentent souvent que la première étape d'une série de flux de communication. Bien souvent, une seule requête entrante génère des dizaines d'appels d'API internes (trafic est-ouest) susceptibles d'exposer les terminaux d'API s'ils ne sont pas correctement inspectés et validés.

Malheureusement, il ne suffit pas d'inspecter le trafic entrant à la périphérie pour identifier les payloads suspects. Les terminaux d'API internes peuvent également être mal configurés et permettre à des utilisateurs non autorisés d'accéder à des microservices spécifiques, exposant ainsi la logique de l'application à des acteurs mal intentionnés. Il est donc essentiel que tous les terminaux d'API, externes ou internes, soient surveillés et protégés en permanence.  
![](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/maxresdefault-video.jpg)  
*Vidéo : comprendre et renforcer la sécurité des API*  
close

## Anatomie d'une attaque d'API

Les API permettent aux entreprises de développer leurs activités, mais elles offrent aussi aux attaquants de nombreuses failles à exploiter. Cet exemple d'attaque d'API ciblant un acteur de l'e-commerce doté d'une application mobile en front-end illustre la facilité avec laquelle les cybercriminels peuvent mettre la main sur des données sensibles.  
![Figure 3. Anatomie d’une attaque d’API](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/the-anatomy-of-an-api-based-attack.png "Figure 3. Anatomie d’une attaque d’API") *Figure 3. Anatomie d'une attaque d'API*

**Étape 1.** Grâce à un processus de rétro-ingénierie sur l'application mobile, un attaquant découvre que l'URL d'un terminal d'API utilisé pour récupérer des données à partir d'un microservice back-end est obsolète.

**Étape 2**. L'attaquant observe qu'aucune authentification ni autorisation n'est requise pour envoyer des appels d'API vers ce terminal.

**Étape 3**. L'attaquant exploite la vulnérabilité SQLi. L'URL du terminal d'API fournit un identifiant produit unique sous la forme d'une valeur numérique. Une série de tests automatisés permettent ensuite à l'attaquant de découvrir que le champ d'entrée \<product\_id\> peut être utilisé pour lancer une attaque SQLi.

**Étape 4**. Plutôt que d'exploiter cette vulnérabilité SQLi pour altérer les données, l'attaquant exécute une commande shell dans le microservice qui gère la base de données SQL. Il télécharge ainsi un programme malveillant de minage de bitcoins et l'exécute.

## Risques liés à la sécurité des API

Les erreurs de configuration, les failles logiques et les vulnérabilités des API mettent les applications et les données en danger. Dans ce contexte, certaines entreprises pensent s'offrir une sécurité complète en se dotant d'une passerelle API, qui se borne pourtant à surveiller le trafic acheminé via la passerelle et n'offre aucune visibilité sur le trafic interne.

Pourtant, les équipes de sécurité ont besoin d'une visibilité totale sur leur surface API, car on ne peut protéger que ce que l'on voit. Or, un acteur malveillant peut se cacher derrière chaque angle mort et chaque API fantôme.

Bien que les passerelles surveillent efficacement les API et leur utilisation, elles ne sont pas en mesure de détecter et de bloquer les attaques. La sécurité des API doit donc conjuguer visibilité, gestion des risques et protection en temps réel contre les acteurs malveillants.

### Les 10 principaux risques identifiés par l'OWASP

En 2019, l'Open Web Application Security Project (OWASP) a publié la liste des [10 principaux risques liés à la sécurité des API](https://owasp.org/www-project-api-security/). Le but : sensibiliser les entreprises aux menaces pesant sur les applications web. Cette liste présente les types d'attaques les plus courants visant les API web et propose des conseils pour les neutraliser.

**Failles d'autorisation au niveau de l'objet**

Les terminaux gérant les identifiants d'un objet sont souvent exposés. Les contrôles d'accès y sont vulnérables, ce qui étend la surface d'attaque des API. Un attaquant peut, par exemple, modifier l'identifiant d'une ressource appartenant à un autre utilisateur au cours d'un appel d'API. Grâce à cette opération, connue sous le nom d'attaque IDOR (Insecure Direct Object Reference), les acteurs malveillants peuvent accéder à des ressources auxquelles ils ne devraient pas avoir accès.

**Failles d'authentification au niveau de l'utilisateur**

Les mécanismes d'authentification des API constituent des cibles faciles, car ils sont exposés aux yeux de tous. Lorsqu'ils ne sont pas correctement implémentés, ils peuvent par ailleurs offrir aux attaquants une porte d'entrée dans le système et leur permettre d'usurper l'identité d'utilisateurs autorisés.

Des problèmes d'authentification peuvent survenir dès lors que les bonnes pratiques en matière de sécurité des API ne sont pas respectées. Parmi les failles courantes, on peut par exemple citer l'absence d'authentification par jeton d'accès ou l'archivage des identifiants et des clés dans les URL des terminaux d'API.

**Exposition excessive des données**

Plus il y a de données exposées, plus le risque est grand. Lors de l'implémentation d'une API, les développeurs exposent parfois les propriétés d'un objet sans préciser de restrictions et comptent sur le client pour filtrer les données inutiles avant qu'elles ne soient affichées dans l'interface utilisateur. Mais, même si les données sensibles sont filtrées en bout de chaîne, les attaquants peuvent toujours exploiter l'appel d'API initial pour accéder à des numéros de carte bancaire, à des identifiants de connexion ou à des numéros de sécurité sociale.

**Manque de ressources et limitation du débit**

Les API qui ne limitent pas le nombre de ressources pouvant être appelées par le client s'exposent à des tentatives de surcharge de trafic. Ces attaques nuisent à la performance du serveur d'API et peuvent potentiellement bloquer l'accès des utilisateurs légitimes ou même entraîner un déni de service. Or, la surcharge du serveur d'API crée des failles d'authentification que les attaquants peuvent exploiter, notamment par force brute.

**Failles d'autorisation au niveau de la fonction**

Les développeurs sont confrontés à des politiques de contrôle d'accès complexes, basées sur différentes hiérarchies de groupes d'utilisateurs et de rôles. Il est par ailleurs difficile de distinguer clairement les fonctions admin des fonctions non-admin. Ce manque de visibilité génère des failles d'autorisation, que les attaquants peuvent exploiter pour accéder aux ressources d'un utilisateur ou exécuter des fonctions admin non autorisées.

**Assignation massive**

Cette vulnérabilité apparaît lorsque les données client sont soumises à un modèle data mais ne sont pas filtrées au regard d'une liste de validation permettant d'empêcher les utilisateurs d'assigner des données à un champ protégé. Les attaquants peuvent ainsi accéder à des données sensibles en interceptant les requêtes API et en modifiant les propriétés des objets stockés en back-end. Il leur suffit pour cela de deviner les propriétés de l'objet, de lire la documentation ou de passer au crible les terminaux à la recherche d'indices sur la manière de compromettre les attributs de l'API privée.

**Erreurs de configuration de sécurité**

Les erreurs de configuration de sécurité peuvent déboucher sur une compromission du serveur en exposant des données utilisateurs confidentielles ou des informations système. Parmi les causes les plus courantes à l'origine de ces failles, on peut notamment citer : des politiques trop permissives de partage de ressources entre origines multiples (CORS) ; des configurations incomplètes ou ponctuelles ; des en-têtes ou méthodes HTTP incorrects ; des configurations par défaut non sécurisées et des messages d'erreurs de type verbose contenant des informations sensibles.

**Injection**

Les API sont exposées à des attaques par injection (injection SQL, NoSQL ou de commande), qui peuvent survenir lorsque des données non approuvées sont envoyées à un interpréteur dans le cadre d'une commande ou d'une requête. Un acteur malveillant peut ainsi amener l'interpréteur à exécuter des commandes dangereuses et à exposer des données que l'attaquant peut ensuite manipuler à sa guise ou exfiltrer.

**Mauvaise gestion des assets**

Les API exposent généralement plus de terminaux que les applications web traditionnelles. Il est donc essentiel de gérer efficacement ces API et de suivre chacun de ces terminaux pour empêcher tout détournement via des terminaux d'API exposés ou vulnérables. En effet, les terminaux obsolètes et de débogage, par exemple, peuvent être utilisés par des attaquants pour compromettre l'application.

**Journalisation et surveillance insuffisantes**

Bien qu'elles ne constituent pas une menace directe, une journalisation et une surveillance insuffisantes peuvent retarder la détection des menaces. Ce manque de vigilance laisse aux acteurs malveillants le champ libre pour mener leur attaque, s'immiscer dans différents systèmes et altérer, extraire ou détruire des données sans déclencher l'alerte. D'après plusieurs rapports d'enquête sur les compromissions, la détection d'une menace persistante peut ainsi nécessiter plus de 200 jours. Par ailleurs, sans une journalisation et une surveillance adéquates, les entreprises ne disposent pas des informations nécessaires pour évaluer les dommages subis suite à une compromission de données.  
![Vidéo : tout savoir sur l’OWASP, l’AppSec et les 10 principaux risques liés à la sécurité des applications](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/OWASP-video-thumbnail.jpg)  
*Vidéo : tout savoir sur l'OWASP, l'AppSec et les 10 principaux risques liés à la sécurité des applications*  
close

## Sécurité des API pour SOAP, REST et GraphQL

Les trois modèles d'architecture d'API les plus courants sont SOAP, REST et GraphQL. Chacun d'entre eux présente des enjeux de sécurité spécifiques.

### Sécurité des API SOAP

SOAP (Simple Object Access Protocol) est un protocole d'échange de données structurées permettant d'implémenter des services web dans des réseaux informatiques. Il communique en langage XML et peut être acheminé par différents protocoles de niveau inférieur, tels que HTTP ou SMTP. Les API SOAP sont généralement protégées par différentes mesures de sécurité appliquées au niveau de la couche de transport (comme HTTPS) et du message (signatures numériques et chiffrement XML, etc.).

La sécurité de ces API passe par des extensions de protocoles permettant de gérer les incidents. Le protocole SOAP suit les spécifications Web Services (WS), qui assurent la sécurité de tous les services web de l'entreprise grâce à des fonctionnalités comme WS-ReliableMessaging, conçue pour étendre la prise en charge intégrée des erreurs.

### Sécurité des API REST

Les API REST (Representational State Transfer) sont basées sur le transfert de données JSON et le protocole HTTP/S. Elles se révèlent donc souvent plus simples à développer que d'autres architectures d'API. Les API RESTful utilisent quant à elles des requêtes HTTP pour créer (POST), mettre à jour (PUT), lire (GET) et supprimer (DELETE) des données.

En l'absence de politiques de protection intégrées, la sécurité des API REST dépend uniquement de leur conception. Il est donc important que les services de transmission, de déploiement et d'interaction avec le client intègrent des mesures de sécurité adaptées. De leur côté, la plupart des API RESTful s'appuient des dispositifs de sécurité appliqués au niveau de la couche de transport (par ex. HTTPS) et sur l'authentification par jeton.

Pour assurer leur sécurité, les API REST sont souvent déployées derrière une passerelle, via laquelle les clients pourront choisir de se connecter. Il faut toutefois garder à l'esprit que les passerelles API ne protègent pas l'architecture de l'ensemble des menaces.

### REST vs SOAP

Les API SOAP et RESTful prennent toutes deux en charge les requêtes et les réponses transmises via des protocoles HTTP et SSL (Secure Sockets Layer), mais leurs similitudes s'arrêtent là. Avec leurs fonctionnalités de sécurité intégrées, les API SOAP sont intrinsèquement sûres. Les API RESTful, en revanche, doivent être protégées par des choix d'implémentation et d'architecture adaptés.

### Sécurité des API GraphQL

[GraphQL](https://graphql.org/) est un langage API open-source qui 1) décrit la manière dont les clients demandent des informations et 2) agit comme un environnement d'exécution permettant de traiter des requêtes avec des données existantes. Sa syntaxe est utilisée par les développeurs pour effectuer des demandes de données spécifiques provenant d'une ou plusieurs sources. Elle permet par ailleurs aux clients de définir la structure des données devant être renvoyées par le serveur.

La sécurité des API GraphQL se heurte donc à des difficultés liées à la personnalisation et à la flexibilité des requêtes. Le serveur pourrait en effet être dans l'incapacité de traiter des demandes complexes et exécuter, par inadvertance, des requêtes malveillantes au cours du processus.

Pour atténuer les risques et éviter les requêtes volumineuses, il est toutefois possible de limiter le nombre ainsi que la profondeur des requêtes et de définir un délai d'expiration.

## Les bonnes pratiques pour la sécurité des API

Les API sont de plus en plus répandues et accessibles. Il est donc important de limiter les risques d'exposition des données en appliquant les bonnes pratiques permettant de réduire la surface d'attaque, de corriger les vulnérabilités et de lutter contre les menaces en temps quasi réel.

### Méthodes d'authentification et d'autorisation sécurisées

Limitez l'accès des API aux utilisateurs autorisés grâce à des méthodes d'authentification sécurisées, comme OAuth2 ou les jetons web JSON (JWT).

### Limite de débit

Limitez le débit de vos API pour bloquer les comportements malveillants, par exemple les attaques par force brute. Cette approche vous permet de restreindre le nombre de requêtes pouvant être adressé à une API au cours d'une période donnée.

### Protocole HTTPS

Utilisez le protocole HTTPS pour garantir le chiffrement et la sécurité des requêtes et des réponses de l'API. Cette bonne pratique se révèle particulièrement importante pour protéger les données sensibles.

### Évaluations régulières de la sécurité

Évaluez régulièrement la sécurité de vos API pour identifier les failles potentielles. Il est également conseillé de passer en revue les changements apportés à l'inventaire des API. Vous pourrez ainsi détecter les API récemment exposées et définir leur profil de risque, notamment en ce qui concerne l'exposition des données sensibles, l'exposition aux menaces web, les [vulnérabilités des workloads](https://www.paloaltonetworks.fr/cyberpedia/what-is-workload?ts=markdown) et le niveau d'authentification.

### Clé API

Une clé API est un identifiant unique utilisé pour reconnaître l'application appelant une API et vérifier son autorisation d'accès. Contrairement aux jetons d'authentification (qui identifient l'utilisateur), la clé API identifie directement l'application ou le site web à l'origine de l'appel. Les deux mesures sont donc complémentaires.

Stocker les clés API de manière appropriée vous permettra ainsi d'éviter les appels indésirables, de bloquer les accès non autorisés et de protéger vos données confidentielles contre les compromissions et les pertes.

### Surveillance des API

Gérez et surveillez les spécifications, la documentation, les scénarios de test, le trafic et les métriques de vos API. Cette approche vous permet de bloquer les activités indésirables, comme le trafic et les bots malveillants, pour protéger vos applications tout en réduisant les coûts.

### Sensibilisation des équipes aux bonnes pratiques

Sécurisez vos [pipelines CI/CD](https://www.paloaltonetworks.fr/cyberpedia/what-is-the-ci-cd-pipeline-and-ci-cd-security?ts=markdown) en amont et sensibilisez vos développeurs aux risques, comme les failles d'authentification et les vulnérabilités logiques. Il est également recommandé de mettre en œuvre les principes [DevSecOps](https://www.paloaltonetworks.fr/cyberpedia/what-is-devsecops?ts=markdown) , notamment en ce qui concerne la collaboration entre les équipes de sécurité et de développement.

### Identification des vulnérabilités

Identifiez vos vulnérabilités au regard des 10 principaux risques API identifiés par l'OWASP. Une analyse régulière de vos API à l'aide d'outils et de techniques appropriés vous permettra de repérer et de combler immédiatement les failles dans lesquelles les attaquants pourraient s'engouffrer.

### Authentification par jeton

L'authentification par jeton constitue votre première ligne de défense. Cette approche protège en effet les API contre les accès non autorisés en rejetant les appels des utilisateurs ne disposant pas d'un jeton valide.

Pour résumer, les bonnes pratiques de la sécurité API exigent une visibilité étendue et une surveillance efficace de la surface d'attaque. Ces dernières passent par une identification automatique de toutes les applications web et de tous les terminaux d'API au sein de votre environnement. Les couches de défense devraient par ailleurs inclure des politiques régissant le trafic nord-sud et est-ouest afin de bloquer aussi bien les menaces venant d'Internet que des applications elles-mêmes.

Pour renforcer la sécurité de vos applications, vous pouvez également ajouter une autre couche d'analyse des vulnérabilités et de la conformité ainsi qu'une authentification forte. Vous devrez aussi sécuriser vos workloads ou votre couche d'infrastructure (hôtes, VM, containers et systèmes sans serveur hébergeant vos applications).

## Solution de sécurité API Prisma Cloud

Détection des API, profilage des risques, protection en temps réel de toutes les API... la plateforme de protection des applications cloud-native [(CNAPP)](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-cloud-native-application-protection-platform?ts=markdown) de [Prisma Cloud](https://www.paloaltonetworks.fr/prisma/cloud/web-application-API-security?ts=markdown)offre une solution de sécurité complète.

### Fonctionnalités de sécurité API

* **Détection des API** -- Détectez automatiquement toutes les API de votre environnement et éliminez les angles morts causés par les API fantômes ou non autorisées.
* **Profilage des risques associés aux API** -- Identifiez les risques ainsi que les facteurs de risque associés aux API (erreurs de configuration, exposition des données sensibles, contrôle d'accès, etc.) et priorisez vos efforts de remédiation.
* **Protection en temps réel** -- Appliquez des mesures de protection en temps réel pour lutter contre la surcharge de trafic, les bots malveillants et les 10 principaux risques identifiés par l'OWASP.

## Sécurité des API : questions fréquentes

### Qu'est-ce qu'une application monolithique ?

Un monolithe est une unité autonome, indépendante des autres applications ; la plupart ou l'ensemble de ses fonctionnalités sont regroupées dans un seul processus ou conteneur. Les logiciels étaient auparavant conçus sur ce modèle et incluaient tous les composants nécessaires à leur fonctionnement (API, services, accès aux données, bases de données, etc.). Les applications monolithiques exécutent ainsi toutes les fonctions nécessaires à la réalisation d'une tâche, de la collecte des entrées utilisateurs au stockage des informations dans une base de données.

### Qu'est-ce qu'une architecture orientée services ?

L'architecture orientée services est un modèle de conception logicielle permettant à des composants applicatifs d'échanger des services ou des données avec d'autres composants par le biais d'un protocole de communication via un réseau.

### Qu'est-ce qu'une architecture en microservices ?

L'architecture en microservices permet de concevoir les applications comme un ensemble de composants modulaires ayant leurs propres fonctionnalités et communiquant par le biais de protocoles légers.

Ces microservices \<\< faiblement couplés \>\> facilitent le travail des développeurs, qui peuvent créer rapidement des applications complexes. Ce type d'architecture cloud-native basée sur des microservices découplés permet également de pousser de nouvelles lignes de code et de nouvelles fonctionnalités plus rapidement pour s'adapter à l'évolution des besoins des clients.

### Qu'est-ce que le protocole SOAP (Simple Object Access Protocol) ?

SOAP est une méthode d'échange d'informations entre applications reposant sur un protocole XML léger. Bien qu'ils soient généralement transmis lors d'une session HTTP, les messages SOAP peuvent également être envoyés selon les modalités spécifiques requises par l'application, à condition que le client et le serveur utilisent la même méthode.

### Qu'est-ce que le protocole TLS ?

Le protocole TLS (Transport Layer Security) est un protocole de chiffrement protégeant les communications sur le réseau et sur Internet. Communément utilisé pour chiffrer le trafic HTTPS, les e-mails et les SMS, le protocole TLS succède au protocole SSL (Secure Sockets Layer).

### Qu'est-ce qu'un terminal d'API ?

Les terminaux d'API sont les seuls points de contact permettant à des systèmes externes de communiquer avec des API, et aux API d'accéder aux ressources dont elles ont besoin pour exécuter leur fonction. Ces points d'accès exposent toutefois les systèmes aux attaques. Il est donc essentiel de surveiller efficacement les API afin de prévenir toute tentative de détournement.

### En quoi consistent les tests de sécurité API ?

Lorsqu'ils sont correctement intégrés au [pipeline DevOps](https://www.paloaltonetworks.fr/cyberpedia/what-is-the-ci-cd-pipeline-and-ci-cd-security?ts=markdown), les tests de sécurité API permettent de s'assurer que les terminaux des API respectent les bonnes pratiques du secteur en matière de protection. Par exemple, pour évaluer les processus d'authentification et de chiffrement ainsi que les conditions d'accès, l'API peut être soumise à des tests émulant les tactiques des attaquants pour vérifier si les comportements malveillants, les bugs et autres vulnérabilités sont bien identifiés par le système. Les résultats de ces tests révèlent les contournements d'autorisation ou d'authentification, les erreurs de configuration, les injections de commandes SQL et OS ou les failles au niveau du code open-source.

Les tests de sécurité API se basent sur des évaluations statiques ou dynamiques ainsi que sur une [analyse de la composition logicielle](https://www.paloaltonetworks.fr/cyberpedia/what-is-sca?ts=markdown), qui passe au crible le code d'une application au regard des bases de données CVE. Lorsqu'un problème est identifié, l'outil SCA signale aux développeurs que l'application ou l'API utilise une bibliothèque ou un framework présentant une vulnérabilité connue. Compte tenu de la généralisation des ressources en open-source dans le développement des API, ces tests de sécurité sont essentiels pour assurer la sécurité des API et des applications.

### Qu'est-ce qu'une passerelle API ?

Une passerelle API est une sorte de proxy \<\< reverse \>\> interceptant les appels d'API entre une application et des services back-end. Son rôle consiste à décomposer chaque appel en une multitude de requêtes et à les acheminer vers les services appropriés. Elle suit ensuite l'ensemble de l'activité pour collecter et transmettre les réponses.

### Qu'est-ce qu'une API fantôme ?

Les API fantômes, ou zombies, sont des API non autorisées et non documentées ne faisant l'objet d'aucun suivi. Leur présence et leurs caractéristiques échappent souvent aux développeurs.

### Qu'est-ce qu'une API ouverte ?

Les API ouvertes, ou publiques, sont accessibles à tous et permettent aux développeurs d'accéder à une application ou à un service web.

### Qu'est-ce qu'une API privée ?

Les API privées sont utilisées pour les applications hébergées par les entreprises. Elles agissent comme une interface front-end pour l'accès aux données et fonctionnalités en back-end. Les API privées servent donc de point d'entrée aux collaborateurs et prestataires chargés de développer ces fonctionnalités.

### Qu'est-ce qu'une injection DLL ?

Une injection DLL est un type d'attaque ciblant les processus et les services du système d'exploitation Windows. Elle consiste à remplacer un fichier DLL légitime par une version infectée, puis à l'implanter dans les paramètres de recherche d'une application. Le fichier infecté est appelé lors du chargement de l'application et déclenche l'exécution de tâches malveillantes.

### Qu'est-ce qu'un webhook ?

Un webhook est une fonction de rappel basée sur le protocole HTTP. Elle permet à deux API d'interagir suite à des événements donnés pour que des applications web puissent recevoir de petites quantités de données d'autres applications. Mais les webhooks ne sont pas des API. Souvent appelés API \<\< reverse \>\> ou \<\< push \>\>, ils déclenchent l'envoi d'une requête HTTP POST par le serveur au client dès que les données sont disponibles (au lieu d'attendre une requête HTTP spécifique). Toutefois, pour utiliser un webhook, les applications doivent disposer d'une API.

Dans les environnements GitOps, les webhooks peuvent par ailleurs activer des workflows automatisés et simplifier l'implémentation des pipelines de déploiement basés sur Git. Ils permettent notamment le lancement automatique des workflows [IaC (Infrastructure-as-Code)](https://www.paloaltonetworks.fr/cyberpedia/what-is-iac-security?ts=markdown).
Sur le même thème  
[Qu'est-ce que la protection des API et des applications web ?
Très utilisées dans le cadre du développement cloud-native, les API peuvent être facilement modifiées. Cela évite aux développeurs de devoir tout reprendre à zéro pour chaque API d...](https://www.paloaltonetworks.fr/cyberpedia/what-is-web-application-and-api-protection?ts=markdown)  
[Sécurité des API et CTI : les alliées de votre protection
Aujourd'hui, les entreprises développent leurs applications à un rythme effréné. L'automatisation s'impose donc comme un outil indispensable pour réduire la surface d'attaque, suiv...](https://www.paloaltonetworks.com/blog/prisma-cloud/api-security-threat-intel-reduce-attack-surface/)  
[Protéger efficacement les API et les applications web
Les applications web se complexifient et font émerger de nouvelles vulnérabilités qui étendent votre surface d'attaque. Et si vos applications et API ne sont pas protégées, votre...](https://www.paloaltonetworks.com/resources/webcasts/web-app-and-api-security-done-right)  
[Sécurité des applications web et des API : les bonnes pratiques
La surface d'attaque évolue au même rythme que les applications web et les API. Les équipes de sécurité des applications, les développeurs et les architectes cloud ont besoin d'une...](https://www.paloaltonetworks.com/resources/ebooks/5-best-practices-for-securing-modern-web-applications-and-apis)  
![Share page on facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/facebook-circular-icon.svg) ![Share page on linkedin](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/linkedin-circular-icon.svg) [![Share page by an email](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/email-circular-icon.svg)](mailto:?subject=Qu%E2%80%99est-ce%20que%20la%20s%C3%A9curit%C3%A9%20des%20API%20%3F&body=La%20s%C3%A9curit%C3%A9%20des%20API%2C%20comme%20son%20nom%20l%E2%80%99indique%2C%20prot%C3%A8ge%20les%20API%20et%20les%20applications%20de%20toute%20utilisation%20malveillante%20ou%20tentative%20d%E2%80%99exploitation%20visant%20%C3%A0%20d%C3%A9rober%20des%20donn%C3%A9es%20sensibles.%20at%20https%3A//www.paloaltonetworks.com/cyberpedia/what-is-api-security)  
Haut de page  
[Suivant](https://www.paloaltonetworks.fr/cyberpedia/what-is-a-web-application-firewall?ts=markdown) Qu'est-ce qu'un WAF ? | Le Web Application Firewall expliqué  
{#footer}

## Produits et services

* [Plateforme de sécurité du réseau pilotée par IA](https://www.paloaltonetworks.fr/network-security?ts=markdown)

* [Sécuriser l'IA à la conception](https://www.paloaltonetworks.fr/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.fr/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.fr/sase/ai-access-security?ts=markdown)

* [Services de sécurité cloud (CDSS)](https://www.paloaltonetworks.fr/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.fr/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.fr/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.fr/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.fr/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.fr/sase/enterprise-data-loss-prevention?ts=markdown)

* [Sécurité IoT d'entreprise](https://www.paloaltonetworks.fr/network-security/enterprise-iot-security?ts=markdown)

* [Sécurité IoT médical](https://www.paloaltonetworks.fr/network-security/medical-iot-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.fr/network-security/industrial-ot-security?ts=markdown)

* [Sécurité SaaS](https://www.paloaltonetworks.fr/sase/saas-security?ts=markdown)

* [Pare-feu nouvelle génération](https://www.paloaltonetworks.fr/network-security/next-generation-firewall?ts=markdown)

* [Pare-feu matériels](https://www.paloaltonetworks.fr/network-security/hardware-firewall-innovations?ts=markdown)

* [Logiciels pare-feu](https://www.paloaltonetworks.fr/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.fr/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN pour NGFW](https://www.paloaltonetworks.fr/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.fr/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.fr/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.fr/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.fr/sase?ts=markdown)

* [Accélération des applications](https://www.paloaltonetworks.fr/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management (ADEM)](https://www.paloaltonetworks.fr/sase/adem?ts=markdown)

* [DLP d'entreprise](https://www.paloaltonetworks.fr/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.fr/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.fr/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.fr/sase/sd-wan?ts=markdown)

* [Isolation de navigateur à distance (RBI)](https://www.paloaltonetworks.fr/sase/remote-browser-isolation?ts=markdown)

* [Sécurité SaaS](https://www.paloaltonetworks.fr/sase/saas-security?ts=markdown)

* [Plateforme SecOps pilotée par IA](https://www.paloaltonetworks.fr/cortex?ts=markdown)

* [Sécurité cloud](https://www.paloaltonetworks.fr/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.fr/cortex/cortex-xsoar?ts=markdown)

* [Sécurité des applications](https://www.paloaltonetworks.fr/cortex/cloud/application-security?ts=markdown)

* [Posture de sécurité dans le cloud](https://www.paloaltonetworks.fr/cortex/cloud/cloud-posture-security?ts=markdown)

* [Sécurité du Runtime dans le cloud](https://www.paloaltonetworks.fr/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.fr/prisma/cloud?ts=markdown)

* [SOC piloté par IA](https://www.paloaltonetworks.fr/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.fr/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.fr/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.fr/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.fr/cortex/cortex-xpanse?ts=markdown)

* [Services managés détection et réponse Unit 42](https://www.paloaltonetworks.fr/cortex/managed-detection-and-response?ts=markdown)

* [XSIAM managé](https://www.paloaltonetworks.fr/cortex/managed-xsiam?ts=markdown)

* [Services de Threat Intelligence et de réponse à incident](https://www.paloaltonetworks.fr/unit42?ts=markdown)

* [Évaluations proactives](https://www.paloaltonetworks.fr/unit42/assess?ts=markdown)

* [Réponse à incident](https://www.paloaltonetworks.fr/unit42/respond?ts=markdown)

* [Transformez votre stratégie de sécurité](https://www.paloaltonetworks.fr/unit42/transform?ts=markdown)

* [Découvrez la Threat Intelligence](https://www.paloaltonetworks.fr/unit42/threat-intelligence-partners?ts=markdown)

## Entreprise

* [Notre entreprise](https://www.paloaltonetworks.fr/about-us?ts=markdown)
* [Carrières](https://jobs.paloaltonetworks.com/en/)
* [Nous contacter](https://www.paloaltonetworks.fr/company/contact?ts=markdown)
* [Responsabilité d'entreprise](https://www.paloaltonetworks.com/about-us/corporate-responsibility)
* [Clients](https://www.paloaltonetworks.fr/customers?ts=markdown)
* [Relations investisseurs](https://investors.paloaltonetworks.com/)
* [Présence dans le monde](https://www.paloaltonetworks.com/about-us/locations)
* [Presse](https://www.paloaltonetworks.fr/company/newsroom?ts=markdown)

## Pages les plus visitées

* [Article](https://www.paloaltonetworks.com/blog/?lang=fr)
* [Communautés](https://www.paloaltonetworks.com/communities)
* [Bibliothèque de contenu](https://www.paloaltonetworks.fr/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.fr/cyberpedia?ts=markdown)
* [Évènements](https://events.paloaltonetworks.com/)
* [Préférences de communication](https://start.paloaltonetworks.com/preference-center)
* [Produits de A à Z](https://www.paloaltonetworks.fr/products/products-a-z?ts=markdown)
* [Certifications produits](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance)
* [Signaler une vulnérabilité](https://www.paloaltonetworks.com/security-disclosure)
* [Plan du site](https://www.paloaltonetworks.fr/sitemap?ts=markdown)
* [Documentation technique](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Ne pas autoriser la vente ou le partage de mes données personnelles](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Politique de confidentialité](https://www.paloaltonetworks.com/legal-notices/privacy)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center)
* [Conditions générales d'utilisation](https://www.paloaltonetworks.com/legal-notices/terms-of-use)
* [Documents](https://www.paloaltonetworks.com/legal)

Copyright © 2026 Palo Alto Networks. Tous droits réservés

* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/)
* FR  
  Select your language