Sécurité des API – Découverte & Protection

Bunkerity

Bunkerity est une société française spécialisée dans la sécurité applicative et la protection des environnements web. En complément de son WAF open source BunkerWeb, l’entreprise propose une gamme complète de services professionnels centrés sur l’audit, l’expertise et l’accompagnement cyber. Ses prestations couvrent les audits de sécurité, les tests d’intrusion sur sites web et APIs, l’analyse de configuration, ainsi que l’évaluation de la surface d’exposition afin d’identifier vulnérabilités et risques réels. Bunkerity assure également des missions de conseil pour la sécurisation des architectures web, le durcissement d’environnements cloud ou containerisés, et l’accompagnement à la mise en œuvre de bonnes pratiques de développement et d’exploitation. L’entreprise dispense en parallèle des formations spécialisées, axées sur la sécurité web, l’usage sécurisé de BunkerWeb, l’OWASP Top 10 et la maîtrise des menaces modernes. Cette combinaison de services d’expertise et d’outils souverains permet aux organisations de renforcer efficacement la sécurité de leurs services en ligne.

BunkerWeb

BunkerWeb est un pare-feu applicatif web (WAF) open source de nouvelle génération, conçu pour protéger les applications web, sites et API contre les menaces courantes telles que celles répertoriées dans le Top 10 de l'OWASP, les bots malveillants et les attaques DDoS. Basé sur NGINX, il s'intègre facilement dans divers environnements (Linux, Docker, Kubernetes) et offre une configuration simplifiée via une interface web intuitive. Ses fonctionnalités incluent le support HTTPS avec Let's Encrypt, l'intégration de ModSecurity avec le jeu de règles OWASP, la limitation des connexions, le blocage des IP malveillantes via des listes noires externes, et un système de plugins pour étendre ses capacités. Distribué sous licence AGPLv3, BunkerWeb est adapté aux organisations recherchant une solution de sécurité web flexible et transparente.​

DataDome

​DataDome fournit une plateforme de protection contre les bots et la fraude en ligne, destinée à sécuriser les sites web, applications mobiles et API contre les menaces automatisées. Ses solutions couvrent des cas d'usage tels que la prévention des attaques par bots malveillants, le blocage des tentatives de prise de contrôle de comptes (ATO), la détection des fraudes au paiement, la protection contre les attaques DDoS de couche 7, ainsi que la sécurisation des scripts côté client pour la conformité PCI DSS. Grâce à une détection en temps réel basée sur l'intelligence artificielle, DataDome analyse chaque requête en moins de 2 millisecondes, assurant une protection sans latence perceptible pour l'utilisateur final. La plateforme est conçue pour s'intégrer facilement aux infrastructures existantes, avec des SDK légers pour les environnements web et mobiles, et une surveillance continue assurée par une équipe SOC dédiée.

Escape

Escape propose une plateforme unifiée de sécurité des API, combinant découverte automatisée, tests dynamiques et remédiation intégrée. Elle permet d'identifier et de cartographier en quelques minutes l'ensemble des API exposées, y compris les API Shadow ou Zombie, sans nécessiter de surveillance du trafic ni d'agents. Grâce à un scanner DAST propriétaire, Escape détecte des vulnérabilités complexes telles que les BOLA, IDOR ou les erreurs de contrôle d'accès, souvent ignorées par les outils traditionnels. La solution s'intègre nativement aux environnements modernes (CI/CD, GitHub, GitLab, Jira, Slack) et fournit des correctifs contextualisés adaptés à chaque stack technique. Elle prend également en charge la sécurité des applications GraphQL, des microservices et des Single Page Applications. Fondée en 2020, Escape est soutenue par Y Combinator et Frst.vc, et est utilisée par plus de 2000 équipes de sécurité à travers le monde. La plateforme est conçue pour s'adapter aux environnements DevSecOps modernes, offrant une visibilité complète du code au cloud.

Git Guardian

GitGuardian est une entreprise française de cybersécurité fondée en 2017, spécialisée dans la détection automatisée de secrets exposés dans le code source, tels que les clés API, les identifiants de bases de données et les certificats. Sa plateforme, disponible en mode SaaS ou on-premise, scanne les dépôts Git publics et privés, les pipelines CI/CD et les outils de développement pour identifier les secrets codés en dur, les erreurs de configuration d'infrastructure-as-code et les vulnérabilités de la chaîne d'approvisionnement logicielle. Grâce à son moteur d'analyse entraîné sur des milliards de commits GitHub, GitGuardian offre une détection précise et une remédiation à grande échelle, réduisant ainsi le temps moyen de résolution des incidents. En 2025, l'entreprise est devenue l'application numéro un sur GitHub Marketplace dans la catégorie sécurité. Parmi ses fonctionnalités phares figurent la surveillance publique en temps réel, la détection de secrets internes, l'injection de honeytokens pour piéger les intrus, ainsi que la gouvernance des identités non humaines (NHI) pour sécuriser les comptes de service et les jetons d'accès. GitGuardian est utilisé par des entreprises de divers secteurs, notamment la finance, l'automobile, les télécommunications et le secteur public, pour renforcer leur posture de sécurité et assurer leur conformité réglementaire.

OGO

OGO Security est une entreprise française fondée en 2018, spécialisée dans la protection des sites web, applications et API contre les cyberattaques. Sa solution phare, OGO Shield, est un pare-feu d'application web (WAF) souverain qui combine intelligence artificielle et analyses comportementales pour détecter et bloquer en temps réel les menaces, y compris les attaques de type zero-day. Fonctionnant sans règles prédéfinies ni gestion manuelle (Zero Rules), OGO Shield offre une protection automatique contre les attaques courantes telles que les injections SQL, les scripts intersites (XSS), les attaques par déni de service (DDoS) et les vulnérabilités des CMS. La solution est disponible en mode SaaS, on-premise ou dans un cloud souverain conforme au RGPD, avec des options d'hébergement en France. Elle intègre également des fonctionnalités de Smart Rate Limiting (SRL) pour protéger les API contre les attaques par force brute, et propose un tableau de bord en temps réel pour la visualisation du trafic et des menaces bloquées. OGO Security collabore avec des partenaires tels que NumSpot et OVHcloud pour offrir des services de cybersécurité dans des environnements certifiés SecNumCloud. Parmi ses clients figurent des collectivités territoriales, des entreprises du secteur public et privé, ainsi que des institutions soucieuses de renforcer leur souveraineté numérique.

Patrowl

Patrowl est une plateforme française de gestion de la surface d’attaque externe (External Security Posture Management) qui permet aux organisations d’identifier, cartographier et surveiller en continu leurs actifs exposés sur Internet, tels que les sites web, API, services cloud ou accès distants. Elle détecte automatiquement les vulnérabilités connues (CVE), les mauvaises configurations, les fuites de données et les actifs non référencés (shadow IT), tout en orchestrant des tests d’intrusion automatisés via son moteur propriétaire. La plateforme propose des plans de remédiation contextualisés, assure un suivi de la correction des failles et s’intègre avec des outils ITSM (Jira, ServiceNow). Elle contribue à la conformité avec des réglementations comme DORA, NIS 2 et CyberScore. Disponible en mode SaaS, Patrowl est utilisée par des acteurs publics et privés de toutes tailles, notamment dans la santé, l’industrie, les assurances ou le transport, et se distingue par son approche sans faux positifs, alliant automatisation et validation humaine.

Purplemet

Purplemet est une entreprise française fondée en 2019, spécialisée dans la gestion proactive de la surface d'attaque des applications web. Sa plateforme SaaS de Web Attack Surface Management (ASM) offre une visibilité complète en temps réel sur l'ensemble des actifs web d'une organisation, y compris les applications, API et composants cachés tels que le shadow IT. Grâce à une détection technologique approfondie, Purplemet identifie automatiquement les versions, vulnérabilités (CVE) et configurations sensibles, sans nécessiter de configuration complexe ni impacter les performances des systèmes analysés. La plateforme fournit des alertes instantanées sur les nouvelles vulnérabilités et changements technologiques, accompagnées d'une priorisation intelligente basée sur des scores tels que NIST EPSS et CISA KEV, permettant aux équipes de sécurité de se concentrer sur les risques les plus critiques. Purplemet s'intègre facilement aux pipelines CI/CD existants, offrant une solution complémentaire aux scanners traditionnels et aux tests d'intrusion, tout en étant plus rapide, plus économique et moins intrusif. Elle est utilisée par plus de 100 organisations pour renforcer leur hygiène cybernétique et leur résilience numérique.

Snowpack

Snowpack est une entreprise européenne de cybersécurité fondée en 2021, issue du CEA, qui développe une technologie brevetée de réseau privé virtuel invisible (VIPN) visant à rendre les utilisateurs, services et infrastructures numériques totalement indétectables sur Internet. Sa solution repose sur un réseau superposé (Snowpack Network Overlay) qui fragmente les données en « flocons » anonymes, rendant les métadonnées inexploitables et éliminant le besoin de tiers de confiance, y compris Snowpack lui-même. La plateforme se décline en trois offres principales : Invisible Access, pour une navigation Internet sans trace adaptée aux professionnels en déplacement ou en contexte sensible ; Invisible Services, qui masque les services web critiques (API, serveurs) en les rendant inaccessibles aux attaquants non autorisés ; et Invisible Infra, qui dissimule les composants d'infrastructure (serveurs, endpoints, IoT) afin de réduire drastiquement la surface d'attaque externe. Des déclinaisons spécifiques sont proposées selon les usages : FreeSnow (version gratuite), OneSnow (individus et startups), RedSnow (pentesters, red teams, SEO) et DarkSnow (agences gouvernementales, OSINT, cyber-investigation). Snowpack propose également des SDK et API via « Invisible by Snowpack » pour intégrer ses capacités d'invisibilité dans des applications tierces. La technologie est conçue pour résister aux interceptions, aux attaques par ingénierie inverse et aux menaces de surveillance massive, tout en assurant une compatibilité avec les outils existants (TOR, SOCKS5, Docker). Basée à Paris et Vienne, Snowpack a levé plus de 2 millions d'euros en 2022 et a été récompensée au Forum InCyber 2024 pour son approche innovante de la cybersécurité sans exposition.

Ubika

UBIKA, anciennement connue sous le nom de DenyAll, est une entreprise française spécialisée dans la protection des applications web et des API. Elle propose une gamme de solutions de sécurité applicative (WAAP) adaptées aux environnements on-premise, cloud, SaaS et conteneurisés, visant à sécuriser les applications critiques contre les menaces avancées. Parmi ses produits phares, UBIKA offre le WAAP Gateway en versions On-Premise et Cloud, le Cloud Protector en mode SaaS, ainsi qu'une solution WAAP Container pour les applications cloud-native. Ces solutions intègrent des workflows personnalisables, une protection contre les attaques DDoS, la détection de bots malveillants et une intégration fluide dans les cycles DevOps grâce à des API REST et des modèles de déploiement automatisés via Terraform. Elles sont également disponibles sur les principales marketplaces cloud telles qu'AWS, Azure et GCP. UBIKA est reconnue pour son engagement en matière de souveraineté numérique, avec des solutions certifiées CSPN par l'ANSSI, garantissant une conformité aux réglementations telles que le RGPD, NIS2 et DORA. L'entreprise collabore avec des partenaires technologiques comme GLIMPS pour renforcer la détection des menaces grâce à l'intelligence artificielle. Fondée en 2001 et basée à Meudon, avec un centre de recherche à Montpellier, UBIKA compte plus de 600 clients dans 35 pays, notamment dans les secteurs public, financier et industriel.