Le rapport confirme que les API sont devenues le vecteur d'attaque dominant. 87% des organisations ont subi un incident de sécurité lié à une API en 2025 . Le secteur du commerce a subi plus de 200 milliards d'attaques sur ses applications et ses API entre 2024 et 2025
. Les attaques web sur les API ont augmenté de 9% entre le T4 2024 et le T4 2025, dépassant en volume les attaques web traditionnelles
.
Les attaques DDoS de couche 7 explosent. Akamai rapporte que ces attaques ont bondi de 104% en deux ans (2023-2025), avec une augmentation de 61% entre 2024 et 2025 . Le secteur du commerce a subi près de trois billions d'attaques DDoS de couche 7 entre 2024 et 2025
. Le retail a été le plus durement touché — 84% de toutes les attaques DDoS de couche 7 sur le commerce ont ciblé le secteur du retail
.
L'essor du commerce agentique — où des agents IA font leurs achats, effectuent des transactions et interagissent de manière autonome pour le compte d'utilisateurs — a fondamentalement redessiné le paysage des menaces. Les attaquants exploitent activement le fossé de confiance entre les interactions humaines et les interactions automatisées .
Les acteurs malveillants utilisent des bots IA pour automatiser des attaques avancées qui exploitent les flux de session, les mécanismes d'authentification et la logique métier des API, et pour créer et gérer des identités factices à grande échelle . Les logiciels malveillants ont représenté 56,5% de l'activité malveillante sur les terminaux de novembre 2025 à avril 2026, ce qui indique que les workflows agentiques élargissent la surface d'attaque des endpoints
.
Le rapport avertit que les agents d'achat IA légitimes et les bots malveillants se ressemblent désormais à s'y méprendre, rendant la détection traditionnelle des bots insuffisante .
En réponse, Akamai a annoncé son cadre de sécurité agentique unifié le 15 juin 2026, pour ses solutions Bot & Agent Control . Ce cadre connecte l'identité, l'observabilité, la confiance et la sécurité en périphérie (edge) en une seule couche décisionnelle en temps réel
. Il repose sur six piliers étroitement intégrés
:
Les partenaires de l'écosystème incluent Visa, Experian, Skyfire, Ping Identity, Auth0 et Tollbit . Notamment, Visa contribue via son Trusted Agent Protocol (TAP) pour vérifier cryptographiquement les agents d'achat IA et prévenir la fraude sur l'infrastructure cloud d'Akamai
. Le cadre est conçu pour répondre aux questions fondamentales d'identité, d'intention et de confiance soulevées lorsque des agents IA agissent pour le compte d'utilisateurs
.
Sur la base des conclusions du rapport, Akamai recommande les priorités suivantes aux responsables de la sécurité :