Qu'est-ce qu'un expert API security ? Fiche métier

Un expert API security est un spécialiste cybersécurité concentré sur les Application Programming Interfaces (REST, GraphQL, gRPC, WebSockets) tout au long de leur cycle de vie : conception, implémentation, déploiement, opération, retrait. Il maîtrise en profondeur l'OWASP API Security Top 10 (2023), les protocoles d'authentification et d'autorisation (OAuth 2.0, OpenID Connect, JWT, SAML, mTLS), les architectures de microservices, les API gateways (Kong, Apigee, AWS API Gateway, Azure APIM). Spécialisation au sein de l'AppSec, montée en puissance forte en 2026 avec l'explosion des architectures API-first (fintech, SaaS B2B, plateformes). Profil rare en France : moins de 500 spécialistes API security déclarés selon les retours communautaires. Salaires juniors 55-75 k€ bruts IDF, confirmé 75-100 k€, senior 95-130 k€, lead 110-150 k€, TJM indépendant 900-1 500 €. Cet article détaille la définition précise, la distinction avec AppSec générique, l'OWASP API Top 10 comme référentiel central, les activités quotidiennes, la stack technique, les salaires et le profil qui réussit dans cette niche en tension.

1. Définition précise : qu'est-ce qu'un expert API security ?

L'expert API security se distingue de l'AppSec engineer généraliste par trois niveaux de spécialisation.

Niveau 1 — Maîtrise des protocoles API

Connaissance approfondie des protocoles dominants : REST (HTTP/1.1 et 2, content negotiation, caching, idempotence), GraphQL (schémas, resolvers, mutations, subscriptions, DataLoader pour éviter N+1), gRPC (Protocol Buffers, streaming bidirectionnel, TLS), WebSockets. Chaque protocole a ses vulnérabilités spécifiques que l'expert connaît en profondeur.

Niveau 2 — Maîtrise des patterns d'authentification et d'autorisation

OAuth 2.0 (flows : authorization code with PKCE, client credentials, device code), OpenID Connect (OIDC pour l'identité), JWT (signature RS256 vs HS256, refresh tokens, revocation, JWE pour le chiffrement), SAML pour les contextes enterprise, mTLS pour les communications machine-to-machine. L'expert sait identifier les anti-patterns : secrets JWT faibles, absence de validation d'audience, refresh tokens non rotatifs, fuite de client_secret côté SPA.

Niveau 3 — Maîtrise des architectures API à l'échelle

API gateways (Kong, Apigee, AWS API Gateway, Azure APIM), service meshes (Istio, Linkerd) avec mTLS automatique, rate limiting distribué, cache, versioning, deprecation, monitoring avec OpenTelemetry. Abus de business logic par API chaining, abus de GraphQL batching et query complexity pour DoS applicatif. Compréhension des microservices à 50-500+ services et des patterns de sécurité à cette échelle.

2. Expert API security vs AppSec engineer : spécialisation dans la spécialisation

L'expert API security est une niche au sein de la niche AppSec. Tableau comparatif.

Recouvrement en scale-up : dans une scale-up tech de 50-200 personnes, l'AppSec engineer fait de l'API security en complément. L'expert API security dédié apparaît dans les organisations > 500 personnes avec architecture microservices > 50 services.

Pour approfondir le métier AppSec générique, voir Qu'est-ce qu'un AppSec engineer ? Fiche métier.

3. OWASP API Security Top 10 2023 : le référentiel central

L'expert API security maîtrise par cœur l'OWASP API Security Top 10 (version 2023) et ses 10 catégories de vulnérabilités.

Exemple concret de BOLA (API1) avec la requête vulnérable et le pattern de remédiation. Scénario : application de gestion de factures.

# === Requete legitime (utilisateur A, facture 4821 qui lui appartient) ===
GET /api/v1/invoices/4821 HTTP/1.1
Host: api.exemple.fr
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...  # JWT utilisateur A
Accept: application/json
 
# Reponse attendue : 200 OK avec les donnees de la facture 4821
 
# === Exploit BOLA (utilisateur A tente d'acceder facture 4822 utilisateur B) ===
GET /api/v1/invoices/4822 HTTP/1.1
Host: api.exemple.fr
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...  # MEME JWT utilisateur A
Accept: application/json
 
# Si vulnerable : 200 OK avec les donnees de la facture 4822
# Fuite de donnees client B vers utilisateur A non autorise.
# Si securise : 404 Not Found (strategie opaque, pas d'enumeration)

Pattern de remédiation côté backend (exemple Python / FastAPI) :

# Pattern securise - Object-Level Authorization verification cote backend
 
@app.get("/api/v1/invoices/{invoice_id}")
async def get_invoice(
    invoice_id: int,
    current_user: User = Depends(get_current_user),
):
    invoice = await db.fetch_one(
        "SELECT * FROM invoices WHERE id = :id",
        values={"id": invoice_id},
    )
 
    if not invoice:
        raise HTTPException(status_code=404)
 
    # OBLIGATOIRE : verifier que la facture appartient bien au user connecte
    if invoice["owner_user_id"] != current_user.id:
        # Ne jamais distinguer 403 / 404 pour eviter enumeration
        raise HTTPException(status_code=404)
 
    return invoice

Ce pattern d'autorisation explicite par ressource est répété dans tous les endpoints qui manipulent des ressources scopées utilisateur. C'est précisément le type de revue de code qu'un expert API security audite quotidiennement — et le type de règle Semgrep personnalisée qu'il écrit pour détecter les oublis en CI/CD.

4. Activités quotidiennes et cadre de travail

Répartition type du temps d'un expert API security confirmé (4-6 ans d'expérience) dans une fintech ou SaaS B2B.

Exemple de mission type : audit complet d'une nouvelle API GraphQL avant mise en production. Phases : revue du schéma GraphQL (3 j.h.), test de l'introspection et des requêtes batched (2 j.h.), tests d'autorisation sur les resolvers (4 j.h.), tests de DoS par query complexity et alias abuse (2 j.h.), rapport structuré (3 j.h.). Total : 14 j.h. pour une API GraphQL de taille moyenne.

5. Stack d'outils et protocoles maîtrisés

Outils pentest API manuel

• Burp Suite Professional : référence absolue. Extensions critiques : JWT Editor, Autorize, GraphQL Raider, AuthAnalyzer, TurboIntruder.
• Postman et Bruno : construction de requêtes, collections partageables, scripts JS pour auth flows.
• Insomnia : alternative Postman.
• curl + Python requests : scripts ad hoc pour automation de tests d'abus.

Outils scanning et automation

• APIClarity : découverte et cartographie d'API à partir du trafic réseau (spec inference).
• 42Crunch Platform : audit OpenAPI, conformité, policies.
• Escape : spécialisé GraphQL (coverage OWASP API Top 10 GraphQL-centric).
• Salt Security, Noname Security, Traceable AI : plateformes SaaS API security enterprise.
• Nuclei avec templates API : scan léger.

API gateways à configurer

• Kong Gateway (open source + Enterprise) : dominant open source, plugins rich.
• Apigee (Google) : enterprise, fort en monétisation API.
• AWS API Gateway : natif AWS, intégration Lambda.
• Azure API Management (APIM) : natif Azure.
• Nginx Plus + Nginx AppProtect : solution classique WAF-like.

Protocoles d'authentification et d'autorisation

• OAuth 2.0 et ses flows : authorization code + PKCE (SPA moderne), client credentials (M2M), device code (IoT).
• OpenID Connect (OIDC) : surcouche OAuth 2.0 pour l'identité.
• JWT : RFC 7519, signature RS256/ES256, validation audience/issuer/expiration.
• SAML 2.0 : contextes enterprise, SSO.
• mTLS : authentification mutuelle pour M2M critique.

Formats de schema et documentation

• OpenAPI 3.x (Swagger) : REST, quasi-incontournable.
• AsyncAPI : pour event-driven APIs et WebSockets.
• GraphQL Schema Definition Language (SDL).
• Protocol Buffers (protobuf) pour gRPC.

Outils JWT et auth testing

• jwt_tool (Python) : test d'attaques JWT (none algorithm, key confusion, brute-force).
• Burp JWT Editor : manipulation interactive.
• Autorize (extension Burp) : tests d'autorisation automatisés.

6. Salaires et trajectoires de carrière

Trajectoire salariale

Fourchettes Apec Cadres 2023-2024, Numeum, observatoires LinkedIn France. Profil rare : moins de 500 spécialistes API security déclarés en France, ce qui explique la prime salariale versus AppSec générique.

Employeurs types en France 2026

• Fintech et paiement : Qonto, Lydia, Alan, Swile, Stripe Paris, PayFit, Shift Technology. Architecture API-first massive.
• SaaS B2B français et internationaux : Algolia, Dataiku, Aircall, Mirakl, PayFit, Ankorstore.
• Plateformes grand public API-first : Doctolib (API médicale), Leboncoin, ManoMano, Vinted, Criteo.
• Banques avec stratégie API banking (PSD2, open finance) : Société Générale, BNP Paribas, Crédit Agricole, ING.
• Éditeurs API security et observabilité : Sekoia.io, OVHcloud, Dashlane (ex-produit B2B).
• Consulting spécialisé : cabinets AppSec (Synacktiv, Almond, LEXFO) avec missions API dédiées.

Bifurcations classiques après 5-7 ans

• Staff / Principal API Security Engineer : expert technique ultime, reporting direct au CTO.
• Lead API Security (équipe 3-8 personnes) : management d'une spécialité.
• Architecte sécurité API : design transverse, standards organisationnels.
• Consulting indépendant spécialisé : TJM 1 000-1 500 €, clientele fintech et SaaS premium.
• Bascule product security : cumul avec protection produit global.

7. Pour qui le métier convient-il ?

Traits qui fonctionnent en API security

• Background dev backend solide : 3+ ans d'expérience en développement backend (Python, Go, Node, Java). L'expert API lit et écrit du code au quotidien.
• Passion pour les protocoles HTTP et les RFC : goût pour la lecture de RFC (7519 JWT, 6749 OAuth 2.0, 8414 OAuth server metadata).
• Rigueur dans les détails d'autorisation : une virgule manquante dans une policy OAuth peut créer une faille. Tolérance à la précision.
• Goût pour la documentation OpenAPI : savoir lire et écrire des specs structurées.
• Appétit pour la veille continue : OWASP API Top 10 évolue, nouvelles attaques GraphQL apparaissent (AppSec Village, CTF API).

Traits qui signalent un mauvais match

• Pas de background dev backend → bascule rarement viable en moins de 18-24 mois.
• Préférence pour le pentest web plus classique → plutôt AppSec engineer généraliste.
• Rejet de la paperasse OpenAPI et documentation structurée.
• Mauvaise tolérance à la spécialisation pointue (préférence généraliste) → plutôt AppSec ou DevSecOps.

Trajectoires d'entrée

• Via AppSec engineer + spécialisation API : 2-3 ans AppSec généraliste puis focus API spécialisé pendant 12-18 mois.
• Via dev backend + bascule AppSec API : 4-5 ans dev backend (API centriques) + bascule AppSec directement spécialisé API.
• Via pentester web + spécialisation API : pentester 2-3 ans dont 50 % missions API → bascule vers expert API security interne.

Pour la trajectoire AppSec engineer qui précède naturellement la spécialisation API, voir Qu'est-ce qu'un AppSec engineer ? Fiche métier. Pour la trajectoire pentest qui peut aussi mener à l'expertise API security, voir Qu'est-ce qu'un pentester ? Fiche métier complète.

Points clés à retenir

• Expert API security = spécialisation AppSec concentrée sur les API (REST, GraphQL, gRPC, WebSockets).
• Trois niveaux de spécialisation : protocoles API, auth/authz (OAuth 2.0, JWT, OIDC, SAML, mTLS), architectures API à l'échelle (gateways, service meshes).
• OWASP API Top 10 2023 comme référentiel central. API1 BOLA reste la vulnérabilité la plus fréquente.
• Stack technique : Burp Suite Pro (+ extensions JWT, Autorize, GraphQL Raider), Postman, APIClarity, 42Crunch, API gateways (Kong, Apigee).
• Profil rare en France : < 500 spécialistes déclarés. Salaires juniors 55-75 k€ IDF. Senior 95-130 k€. TJM indépendant 900-1 500 €.
• Bascule idéale : AppSec engineer 2-3 ans + spécialisation API pendant 12-18 mois.

Pour l'ensemble des métiers cyber avec salaires et accessibilité par profil, voir Les métiers de la cybersécurité : guide complet. Pour le métier AppSec engineer qui est le prérequis naturel, voir Qu'est-ce qu'un AppSec engineer ? Fiche métier. Pour comparer avec les métiers techniques voisins (DevSecOps, pentester, cloud security), voir Qu'est-ce qu'un DevSecOps ? Fiche métier, Qu'est-ce qu'un pentester ? Fiche métier complète et Qu'est-ce qu'un ingénieur cloud security ? Fiche métier. La formation OWASP Web Security de Zeroday couvre les fondamentaux OWASP Top 10 et la spécificité API (OWASP API Top 10 2023), base essentielle avant une spécialisation experte API security.