{ Tribune Expert } - Les API sont les gardiennes de l'IA agentique

Les agents d'intelligence artificielle sont partout. Ils promettent de nous simplifier la vie en sachant faire tout ce qu'il faut faire. Cela signifie que les agents doivent accéder à des ressources telles que des services, des outils et des données, mais cet accès ne doit pas être illimité. Pour fonctionner de manière responsable, les ressources ne doivent être accessibles que dans le contexte approprié. Les lignes directrices suivantes montrent comment les API remplissent cette fonction.

Les normes promeuvent les API en tant qu'intermédiaires structurés

Les API sont un intermédiaire structuré. L'invocation des API crée un espace d'exécution où les acteurs trouvent des ressources, l'accès est contrôlé et l'autorisation est vérifiée. Les API sont flexibles, réduisant l'exposition tout en permettant simultanément une variété d'actions approuvées par l'entreprise. L'inconvénient de cette flexibilité est le manque de normes qui entravent l'interopérabilité. Par conséquent, des normes émergentes telles que le Model Context Protocol (MCP), le Open Agentic Schema Framework (OASF), le LangChain Agent Protocol et le Agent2Agent Protocol (A2A) constituent un pas dans la bonne direction. Elles encouragent une conception réfléchie des API et leur utilisation en tant qu'interface externe principale au sein des écosystèmes agentiques. Des écosystèmes de services, d'outils et de données que les agents utiliseront pour accomplir leurs plans de travail auto-dirigés.

Sécuriser les API à l'aide des services d'infrastructure

Les applications métier actuelles exposent leur fonctionnalité via des API, mais les API ne fonctionnent pas seules. Les passerelles consolident des fonctions inter-API telles que l'accès utilisateur, l'autorisation et la découverte de services. Les pare-feux filtrent les ports, appliquent des règles de routage et protègent contre les requêtes de protocole malformées. Les mandataires d'autorisation mettent en oeuvre des contrôles d'identité avancés tels que les flux de code d'autorisation et les consultations de politiques. Les API sont la porte d'entrée des applications métier. Les services d'infrastructure rationalisent, améliorent et permettent une validation appropriée des requêtes adressées aux API.

La validation dynamique remplacera la validation statique

Lorsqu'un agent d'IA ne dispose pas de l'autorisation nécessaire pour effectuer une action spécifique, il peut collaborer avec un autre agent qui, lui, a l'autorisation. Cela permet aux flux de travail de se poursuivre sans enfreindre les limites d'accès. Par exemple, un assistant d'achat peut demander un code de réduction à un agent de traitement des commandes au lieu de l'extraire directement d'une base de données sensible. Les API facilitent cette interaction tout en préservant la séparation des tâches. Cela fonctionne bien aujourd'hui car les agents peuvent agir au nom d'un utilisateur humain ou d'un rôle.

Les utilisateurs et les rôles représentent des schémas d'autorisation statiques pris en charge par les systèmes actuels d'identité et de politiques. À l'avenir, il est concevable que les agents possèdent eux-mêmes leur propre identité (ou plusieurs identités), ce qui accentuera le besoin de garde-fous solides pour régir l'accès aux ressources dans une grande variété de situations. Finalement, des mesures de sécurité dynamiques de type Zero-trust, qui valideront le demandeur, la ressource cible et l'action au moment de l'exécution, remplaceront la validation statique prédéfinie.

Les conceptions « API-first » vont s'imposer.

Les API sont essentielles pour les agents d'IA car les agents ont besoin d'une délimitation claire des ressources auxquelles ils peuvent accéder et du contexte de sécurité à utiliser pour chaque action qu'ils entreprennent. Plus le nombre d'agents déployés augmente, plus ils accèdent à des ressources et plus ils effectuent de requêtes - toutes via des API. Si un seul agent exécute plusieurs tâches, il peut y avoir plusieurs autorisations utilisant plusieurs contextes de sécurité. Le besoin en API performantes s'intensifie à mesure que le nombre d'agents impliqués augmente. Les API doivent permettre un accès approprié, automatiquement et à une échelle extrêmement élevée.

Aujourd'hui, les utilisateurs accèdent aux ressources via des applications et des API personnalisées. À l'avenir, des API normalisées émergeront comme le point de contrôle stratégique où les systèmes d'IA agentique et les ressources métier interagiront à travers les réseaux, les organisations et les secteurs industriels. Une approche « API-first » nous conduira vers l'ère de l'IA agentique, en offrant gouvernance, interopérabilité et montée en charge.

* James Hendergart est directeur principal de la recherche technique chez F5