Retour au glossaire
A
Définition

API Définition IT

Interface de programmation qui permet à deux logiciels d'échanger des données et des fonctions de manière structurée.

Une API (Application Programming Interface, ou interface de programmation applicative) est un contrat technique qui permet à deux logiciels de communiquer entre eux sans connaître leur fonctionnement interne. Concrètement, une API expose un ensemble de points d'entrée — appelés endpoints — que d'autres applications peuvent appeler pour lire des données, déclencher des actions ou s'abonner à des événements. C'est la brique qui transforme un parc d'applications en système d'information cohérent.

Les API sont devenues le langage commun de l'informatique moderne. Un déclencheur Slack, un paiement Stripe, une connexion Google via SSO, une synchronisation entre votre ERP et votre CRM — chacune de ces interactions passe par une API. Sans elles, chaque intégration devrait être recodée à la main, et la plupart des plateformes SaaS seraient impossibles à connecter au reste du SI.

Comment fonctionne une API ?

Une API repose sur trois éléments :

  • Le contrat: : la documentation qui décrit les endpoints, les paramètres acceptés, les formats de réponse et les codes d'erreur. C'est le langage commun entre l'éditeur et les consommateurs.
  • L'authentification: : clé API, token OAuth, mTLS — la mécanique qui prouve que celui qui appelle est autorisé à le faire.
  • Le transport: : généralement HTTPS avec un format de payload (JSON, XML, GraphQL, gRPC, Protobuf).

Un appel typique ressemble à : « GET https://api.exemple.com/v1/users/42, avec le token X ». Le serveur renvoie une réponse structurée que l'application appelante peut interpréter et afficher.

Les grands styles d'API

  • REST: : le style le plus répandu. Stateless, organisé autour de ressources (`/users`, `/invoices`), utilise les verbes HTTP (GET, POST, PUT, DELETE). Simple à comprendre, idéal pour les API publiques.
  • GraphQL: : un seul endpoint, le client demande exactement les champs dont il a besoin. Réduit le sur-fetch typique du REST, populaire dans les apps mobiles et frontends modernes.
  • gRPC: : binaire, basé sur Protobuf, ultra-rapide. Réservé aux communications internes entre microservices.
  • SOAP: : protocole historique en XML, encore présent dans la banque, l'assurance et les ERP legacy.
  • Webhooks: : à l'inverse, c'est l'éditeur qui appelle l'application cliente quand un événement se produit. Indispensable pour le temps réel.

Pourquoi les API comptent pour la DSI

Pour une DSI, les API ne sont pas un sujet purement technique — c'est un levier stratégique :

  • Interopérabilité: : pas d'urbanisation du SI sans API. C'est le tissu qui relie ERP, CRM, ITSM, BI, HRIS et outils métiers.
  • Maîtrise des coûts: : éviter les doublons d'intégration, choisir des éditeurs avec API ouvertes plutôt que des solutions fermées.
  • Sécurité: : chaque API exposée est une surface d'attaque. Les fuites de données via API mal sécurisées (Optus, Twitter, T-Mobile) ont régulièrement dépassé les violations classiques en 2022-2024.
  • [Shadow IT](/fr/glossary/shadow-it): : les API publiques permettent à n'importe quel utilisateur métier de connecter Zapier ou Make à un outil SaaS sans validation IT.

API ouverte, privée, partenaire : trois usages distincts

  • API privée (interne): : utilisée uniquement à l'intérieur de l'entreprise pour connecter ses propres systèmes.
  • API partenaire: : exposée à un cercle restreint de partenaires sous contrat (intégrateurs, marketplaces).
  • API publique: : ouverte à tous les développeurs après inscription, souvent commercialisée à l'usage (Stripe, OpenAI, Twilio).

Le modèle « API-first », où l'API est conçue avant l'interface utilisateur, est devenu la norme chez les éditeurs SaaS modernes.

Sécuriser et gouverner ses API

Les bonnes pratiques de gouvernance API incluent :

  • Authentification forte: : OAuth 2.0, JWT signés, rotation régulière des clés.
  • Rate limiting: : limiter le nombre d'appels par minute pour éviter abus et DoS.
  • Versioning: : maintenir plusieurs versions (`/v1`, `/v2`) pour ne pas casser les intégrations clientes.
  • Catalogue interne: : recenser toutes les API exposées par l'entreprise — c'est le point aveugle de la plupart des DSI.
  • Monitoring: : suivre latence, erreurs, volumétrie via une API gateway (Kong, Apigee, AWS API Gateway).

Kabeen détecte automatiquement les applications connectées par API dans votre SI et révèle les dépendances invisibles entre vos outils.

Questions fréquentes

Qu'est-ce qu'une API en informatique ?

+

Une API (Application Programming Interface) est un ensemble de règles techniques qui permet à deux logiciels d'échanger des données ou des fonctions. Concrètement, une application appelle un endpoint exposé par une autre (souvent en HTTPS, au format JSON), reçoit une réponse structurée, et peut ainsi automatiser un traitement sans intervention humaine.

Quelle est la différence entre une API REST et une API GraphQL ?

+

REST organise l'API autour de ressources (utilisateurs, factures) et utilise les verbes HTTP standards. C'est simple et largement adopté. GraphQL expose un seul endpoint et laisse le client préciser exactement les champs qu'il souhaite récupérer, ce qui réduit le sur-fetch et accélère les frontends modernes. REST reste dominant pour les API publiques ; GraphQL est privilégié pour les applications mobiles et les SPA.

Qu'est-ce qu'une clé API et comment la sécuriser ?

+

Une clé API est un secret partagé qui prouve qu'une application est autorisée à appeler un service. Pour la sécuriser : ne jamais la commiter dans le code, la stocker dans un gestionnaire de secrets (Vault, AWS Secrets Manager), la faire tourner régulièrement, restreindre son scope au minimum nécessaire, et préférer OAuth 2.0 pour les flux utilisateurs.

Pourquoi les API sont-elles un enjeu pour la DSI ?

+

Parce qu'elles conditionnent l'interopérabilité du SI, la maîtrise des coûts (éviter les intégrations redondantes), la sécurité (chaque API exposée est une surface d'attaque) et la lutte contre le Shadow IT (les utilisateurs métiers peuvent connecter des outils non validés via Zapier ou Make). Un catalogue API interne est aujourd'hui un livrable de gouvernance SI à part entière.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement