Technologies

Les API, rouages essentiels des stratégies d'IA agentique

Les API sont centrales au développement de l'IA agentique, même si les obstacles restent nombreux. (Image : G.Altmann/Pixabay)

Aujourd'hui, l'IA se contente souvent de parler, dans des chatbots. Mais demain, sous sa forme agentique en particulier, elle enchaînera des actions concrètes et s'appuiera pour cela sur les API. Mais les enjeux d'efficacité, de sécurité, de confidentialité, d'interfaçage, notamment, restent nombreux.

PublicitéPour l'instant, les agents d'IA sont principalement des agents conversationnels. Nous les interrogeons et ils répondent. Bien que les fenêtres contextuelles s'agrandissent et que les intégrations avec des documents externes s'améliorent, ce type d'IA reste limitée dans sa manière d'interagir avec le monde réel. Une situation sur le point de changer radicalement à mesure que les agents d'IA s'intéressent aux API.

Les API, lingua franca du numérique

« Sans API, l'IA agentique ne peut ni combiner, ni orchestrer efficacement les processus entre différents systèmes », rappelle Rebecca Fox, DSI de la société de conseil en cybersécurité NCC Group. La technologie ne tiendra en effet ses promesses d'automatiser les workflows des entreprises que si elle peut se connecter aux CRM, aux calendriers, aux environnements de type Slack ou aux systèmes de paiement. Les API étant déjà la lingua franca de l'infrastructure numérique, elles constituent la passerelle naturelle pour rendre l'IA agentique réellement exploitable.

Les agents invoquent de manière autonome les API via des mécanismes structurés d'appel de fonctions, pour accéder aux données, exécuter des tâches et piloter des flux de travail. Et l'enchaînement de plusieurs requêtes vers des API, au travers des systèmes de l'entreprise, rendent possible l'automatisation des workflows de l'organisation. Si les DSI soulignent l'importance des API, ils reconnaissent également que la voie à suivre présente encore des obstacles - notamment en matière de documentation, de gouvernance et de complexité du contrôle d'accès -, lacunes qui doivent être comblées pour parvenir à une véritable interopérabilité entre l'IA et les API.

Les deux rôles centraux des API pour l'IA agentique

Les API jouent deux rôles clés dans la concrétisation de l'IA agentique. « Les agents les utilisent pour accéder aux outils et aux données afin d'exécuter des tâches de manière autonome, explique Mark O'Neill, analyste chez Gartner. Mais ils peuvent disposer de leurs propres API afin d'instrumenter leurs actions ». Et l'accès aux API va au-delà du seul RAG. Il permet aux agents et aux LLM sous-jacents de réaliser des mutations dans une base de données, par exemple, et de déclencher des actions externes.

Une évolution qui doit permettre aux agents d'exécuter des workflows complexes composés de plusieurs étapes, qui nécessitaient auparavant plusieurs interventions humaines. « Les API prêtes pour l'IA, associées à des capacités multi-agents, peuvent débloquer un large éventail de cas d'usage au sein des workflows de l'entreprise », déclare Milind Naphade, vice-président technologies et directeur des fondations IA pour la banque américaine Capital One.

Les entreprises devront réaliser elles-mêmes les connexions

PublicitéEn outre, les API constituent une passerelle essentielle pour sortir des systèmes d'IA précédemment isolés. « Pour l'instant, les services et les plateformes logicielles ont tendance à pousser leurs propres capacités d'IA intégrées, explique Rebecca Fox, group CIO du cabinet de conseil en cybersécurité NCC Group. Mais, pour être plus réaliste, les entreprises vont devoir connecter elles-mêmes l'IA à de multiples applications et sources de données par le biais d'API sécurisées. »

Par rapport à des solutions de contournement fragiles comme le screen scraping ou l'intégration via des connecteurs, les API offrent une base beaucoup plus solide pour l'automatisation. Les API connectent en effet de façon transparente et en temps réel diverses sources de données.

Comment les API rendent les agents d'IA exploitables

Pour l'instant, les agents d'IA gèrent des fonctions simples comme les calendriers, la récupération des courriels et le résumé de réunions. Et ce, de manière autonome via les API. Mais ce n'est qu'un début. De la santé à l'assurance, de la logistique au service client, de multiples cas d'usage transformateurs de l'IA agentique émergent. En combinant les LLM avec une intégration robuste des outils, les API permettent aux agents d'agir comme des centres opérationnels, selon Doug Gilbert, DSI et CTO de la SSII spécialisée dans la data Sutherland. Dans le domaine de l'assurance, par exemple, les API alimentent des moteurs autonomes de traitement des sinistres qui extraient des données de documents externes, valident les sinistres en fonction des rapports de la police, détectent les fraudes et traitent les résultats avec un minimum d'intervention humaine.

En utilisant des API, les agents d'IA peuvent aussi optimiser certaines opérations à la volée. Comme le raconte le cabinet Gartner, le fabricant de PC Lenovo utilise une suite d'agents autonomes pour optimiser son marketing et augmenter les conversions. Sous la supervision d'un agent de planification, les agents d'IA appellent des API pour accéder à l'historique d'achats et aux profils des clients, ainsi qu'aux données des produits. Et en fonction des informations glanées et des besoins, ils déclenchent des applications en aval dans le processus de configuration de la machine.

Mais la véritable transformation interviendra dans des domaines tels que la finance, la gestion d'entrepôts, la logistique et la planification, où les workflows sont complexes et traditionnellement difficiles à optimiser. Les API pourraient même réduire le besoin de plateformes aujourd'hui saturées comme les ERP, en les remplaçant par des services spécialisés, ce qui réduirait à la fois les coûts et la complexité.

Des projets tournés vers les utilisateurs

« Qui plus est, l'accès aux API externes peut enrichir les applications d'IA avec des données et des fonctions pertinentes, au-delà de ce qu'un LLM seul peut réaliser », indique Brian Glass, DSI de la société de santé spécialisée dans les thérapies peptidiques Transcend. Cette dernière expérimente AgentForce de Salesforce pour améliorer les interactions avec ses clients, et ses agents utilisent les API pour valider les commandes de substances contrôlées, confirmer l'éligibilité du patient et signaler les effets secondaires potentiels. Transcend étudie également la manière dont les agents pilotés par API peuvent aider ses commerciaux à accéder en temps réel aux données relatives aux clients, aux ventes, à la démographie et aux laboratoires, tout en restant conformes à la loi HIPAA (Health Insurance Portability and Accountability Act, loi fédérale américaine qui réglemente les accès aux données de santé des citoyens).

De plus en plus de projets orientés vers les utilisateurs apparaissent également. C'est le cas du concierge de Capital One, un agent conversationnel d'IA conçu pour améliorer l'expérience d'achat d'une voiture. Basé sur le modèle open source Llama, il exploite des API supplémentaires pour la comparaison de véhicules et la prise de rendez-vous avec les concessionnaires, par exemple.

De premiers gains financiers

« De nombreux workflows peuvent être réimaginés comme des instances spécifiques de cette technologie de workflow d'IA conversationnelle multi-agent », estime Milind Naphade de Capital One. Ce dernier prédit ainsi l'émergence de modèles similaires pour le service clients, la planification des voyages, l'analyse, etc. La gestion de projet est un autre terrain favorable à l'IA agentique portée par les API, avec la prise de notes en réunion ou la mise à jour autonome des trackers de projet et des tableaux de bord via des API internes. La détection et la remédiation des failles de cybersécurité est un autre cas d'usage évident.

L'utilisation des API dans l'IA agentique peut, qui plus est, générer directement des gains financiers. Par exemple, Lenovo, qui utilise un essaim d'agents d'IA pour appeler des API, a constaté un taux de conversion en commande plus élevé pour les configurations générées par l'IA que pour celles générées par l'homme. Mais les gains les plus importants seront probablement liés à l'amélioration de l'efficacité opérationnelle et à la réduction des coûts. Cela découle en particulier d'une nouvelle agilité commerciale. « Lorsque l'IA agentique peut reconfigurer dynamiquement les business process, et faire en sorte d'utiliser uniquement les ressources nécessaires provenant des fournisseurs les plus performants, les opérations sont rationalisées, la complexité réduite et l'allocation des ressources améliorée », affirme Rebecca Fox.

Réduire les délais

Les résultats du côté consommateurs sont significatifs. « Il ne s'agit pas simplement d'avoir une conversation », dit Brian Glass de Transcend, en décrivant comment l'accès aux API permet aux agents de guider les utilisateurs vers des résultats plutôt que de simplement répondre à des questions. Grâce aux API, les agents d'IA peuvent faire apparaître des données personnalisées et des sujets de discussion basés sur les interactions précédentes, ce qui conduit à des expériences plus sûres et plus productives. En médecine, la précision, l'exactitude et le temps de réponse sont essentiels, d'où l'importance de boucles de rétroaction réduites. « L'IA agentique et les API peuvent découvrir des choses mieux que les humains, ce qui rend les vérifications manuelles plus rapides, poursuit Brian Glass. Et si une API peut nous aider à être plus précis, nous sommes tout à fait d'accord ! »

D'autres s'accordent à dire que l'IA agentique peut réduire les délais et aider à évaluer certains risques grâce à l'accès aux API. Selon Doug Gilbert, les compagnies d'assurance qui utilisent l'IA agentique ont réduit leurs délais de traitement des demandes d'indemnisation de 60% et leurs coûts de 30%. Et les agents connectés aux API devraient aussi rationaliser encore davantage les workflows liés à l'accueil, au traitement des sinistres et à l'assistance à la clientèle.

Des questions d'interopérabilité à résoudre

L'interopérabilité des API avec les agents d'IA se heurte toutefois à de gros obstacles, dont l'un réside dans le legacy. « Les API traditionnelles génèrent d'importantes frictions pour les agents d'IA, car elles ont été conçues pour que les développeurs humains y aient accès, explique Mark O'Neill du Gartner. Les workflows d'intégration d'API qui imposent de parler à une équipe commerciale ou qui cachent la documentation derrière une authentification, par exemple, ne sont pas bien positionnés. »

Mais ce type d'environnements fermés existent parfois aussi pour des raisons légitimes. « Souvent, les fournisseurs ne sont pas incités à ouvrir complètement leurs API parce que cela pourrait nuire à leur modèle commercial, explique Rebecca Fox. En outre, pour garantir une interopérabilité transparente, il faut des API standardisées et robustes, capables de supporter des changements fréquents ».

Des normes de documentation des API encore jeunes

« L'intégration transparente des agents d'IA dans les écosystèmes d'entreprise est en réalité confrontée à plusieurs défis majeurs », explique Doug Gilbert. Il cite les problèmes liés aux LLM eux-mêmes, l'absence de cadres de gouvernance clairs et l'incertitude liée aux réglementations en cours en matière d'IA. Sans négliger l'intégration avec les systèmes existants. Une infrastructure obsolète avec des API fragmentées ou mal documentées peut ralentir considérablement le processus.

Les normes relatives à la documentation des API sont également naissantes dans de nombreuses organisations. Selon Enterprise Management Associates (EMA), seuls 10% des entreprises documentent entièrement leurs API. Plus inquiétant encore, une étude réalisée en 2024 par la société de monitoring d'API APIContext a révélé que 75% des API en production divergent de leur définition OpenAPI. Cela signifie que la plupart sont soit décrites de manière inexacte, soit dépourvues de définition appropriée.

L'éternel défi de la data

Les obstacles à l'interopérabilité dépendront également de l'existence d'une stratégie solide en matière de données de base, ce qui n'est pas encore totalement acquis dans de nombreuses entreprises. « L'un des plus grands défis auxquels sont confrontées les entreprises est le besoin pour l'IA agentique de datasets volumineux contenant des données variées, telles que les données non structurées - courriels, documents et vidéos -, plus difficiles à valider et à gouverner », dit Joel Chaplin, le DSI de la société spécialiste de data management Precisely. Celle-ci a pris le sujet à bras le corps en préparant ses données pour les agents d'IA, en les centralisant, en appliquant des techniques d'étiquetage, de classification et d'intégration des métadonnées pour rendre le contenu lisible par la machine et riche sur le plan sémantique. L'objectif consiste à transformer le contenu brut en connaissances structurées sur lesquelles l'IA peut raisonner de manière sûre et efficace.

L'ouverture d'un plus grand nombre d'accès API aux systèmes autonomes pose de nouveaux risques de sécurité des API. Cela tient en partie au fait que les agents sont construits sur des modèles de langage non déterministes, qui se comportent de manière imprévisible. Lorsqu'ils agissent de manière autonome ou au nom d'autres agents, leur intention peut devenir confuse. « La sécurité est probablement le plus grand casse-tête », juge Rebecca Fox, soulignant les implications en matière d'authentification et d'autorisation. Étant donné la propension de l'IA à halluciner, il est difficile de lui faire confiance pour respecter des autorisations granulaires, telles que "qui devrait avoir accès à quoi, pourquoi et quand". « Les faux pas ne sont pas seulement gênants, ils peuvent exposer des données sensibles ou créer des cauchemars en matière de conformité », indique-t-elle.

Le casse-tête majeur de la sécurité

Près de 95% des attaques contre les API proviennent d'utilisateurs authentifiés, selon les données de Salt Security pour 2025. De nombreux piratages surviennent lorsqu'un attaquant modifie simplement l'identifiant d'un utilisateur dans une demande d'API afin d'obtenir des informations non autorisées. Cela signifie que le fait d'encourager une plus grande utilisation des API par les agents pourrait amplifier les lacunes préexistantes en matière de contrôle d'accès. « Une grande partie de la réflexion actuelle sur la sécurité de l'IA se concentre sur OAuth, ajoute Mark O'Neill. Mais OAuth 2.0, le cadre d'autorisation d'API omniprésent, n'a qu'une portée limitée. Un agent peut avoir les bonnes directives d'autorisation d'usage d'une API, mais faire dériver ses privilèges au moment de l'exécution. »

Sans mesures de protection appropriées, les systèmes agentiques risquent d'accéder à des données sensibles ou de les utiliser à mauvais escient, de communiquer avec des plates-formes non fiables ou de subir des attaques par injection rapide et par usurpation d'entrée. « Un accès illimité pourrait entraîner le partage non autorisé d'informations confidentielles et élargir la surface d'attaque », poursuit Doug Gilbert. Pour réagir, Sutherland adopte une approche en plusieurs étapes. La société utilise notamment des passerelles API basées sur les rôles, un contrôle d'accès précis, une validation stricte des entrées et des pratiques d'observabilité rigoureuses pour faciliter l'audit et la détection des adversaires. Dans l'ensemble, les protections traditionnelles des points de terminaison ne suffiront pas ; les entreprises auront besoin de cadres de gouvernance évolutifs et sensibles aux intentions pour prendre en charge l'autonomie de l'IA, explique Doug Gilbert.

La nécessité de normes d'intégration des API à l'IA

La connexion des agents d'IA avec les API à grande échelle dépendra aussi des normes industrielles adoptées. La principale, MCP, est le protocole open source proposé par Anthropic. Depuis sa publication l'année dernière, il a donné naissance à un vaste écosystème de serveurs de connexion des agents d'IA à des données, des outils et des API externes. Si l'adoption de ce protocole est montée en flèche ces derniers mois, il en existe d'autres comme le protocole agent-to-agent (A2A) de Google.

Certains observateurs soulignent le rôle des spécifications standards indépendantes des fournisseurs. C'est le cas d'Arazzo, qui définit les séquences d'appels d'API et convient parfaitement aux agents d'IA. Avec Arazzo, les fournisseurs d'API peuvent suggérer aux agents des flux prédéterminés multi-étapes afin d'éviter les enchaînements plus hasardeux. « Les normes ouvertes telles que OpenAPI, OAuth2 et GraphQL sont également essentielles, car elles garantissent une intégration sécurisée et évolutive dans les environnements d'entreprise », ajoute Doug Gilbert. Heureusement, avec l'émergence de nouveaux frameworks d'IA, les entreprises n'auront pas à se charger elles-mêmes de l'intégration de ces technologies en utilisant des normes ouvertes. « Du point de vue de la sécurité, OAuth est un point de départ essentiel, affirme Rebecca Fox. Des cadres de sécurité plus avancés, en particulier autour des architectures Zero Trust et de la gestion granulaire des identités, deviendront indispensables ».

Un optimisme prudent

Les API sont largement considérées comme le pivot de l'évolution de l'IA agentique, mais le paysage actuel est loin d'être parfait. Les entreprises sont toujours confrontées à des défis tels que des pratiques incohérentes en matière de données, des normes fragmentées, des protocoles d'intégration concurrents et des préoccupations croissantes en matière de sécurité. C'est pourquoi certains dirigeants abordent le sujet avec un optimisme prudent, plutôt que de se précipiter.