Naoplay

18/05/2026

L’IA générative est déjà entrée dans l’entreprise. Parfois par les outils officiellement validés, souvent par des usages plus discrets : assistants SaaS, extensions, outils de rédaction, plateformes de résumé, génération de code ou analyse documentaire.

Faut-il tout interdire ? Ce serait simple sur le papier, mais rarement réaliste. Faut-il tout laisser faire ? Ce serait prendre le risque d’exposer des données sensibles, de perdre la maîtrise des usages et de laisser se développer une forme de Shadow AI difficile à contrôler.

Dans cet APItime, nous verrons comment aborder le sujet de manière pragmatique : identifier les usages réels, évaluer les risques, poser des règles compréhensibles et construire une gouvernance compatible avec les besoins des utilisateurs.

La session abordera notamment :
- les usages actuels de l’IA générative en entreprise
- les limites d’une stratégie fondée uniquement sur l’interdiction
- les principaux risques liés au Shadow AI : données sensibles, conformité, traçabilité, dépendance aux SaaS, qualité des réponses
- les bonnes pratiques pour définir un cadre d’usage clair et acceptable
- un retour d’expérience Naoplay autour de Shyrka, une application d’accès à l’IA générative via Google Chat
- le rôle des API LLM et du MCP pour connecter les modèles à des outils internes de manière plus sécurisée et gouvernée.

L’objectif : passer d’usages dispersés et peu maîtrisés à une IA interne plus lisible, plus utile et mieux encadrée.

Ce webinaire sera co-présenté par Keren Bismuth, Cyber Threat Intelligence Analyst, et Roméo Carecchio, consultant API et cybersécurité chez Naoplay.

APItime 8
Shadow AI en entreprise : comment évaluer ses risques et établir une gouvernance user-friendly
📅 18 juin 2026

Inscription : https://naoplay.webinargeek.com/apitime8

07/05/2026

Tout DSI le sait : les métiers n’attendent pas. Ils branchent des modèles sur leurs données, connectent des SaaS, testent des assistants IA, puis, quand ils veulent passer à l’échelle, arrive la question qui change la nature du sujet :

“Est-ce qu’on peut lui faire déclencher une action dans le SI ?”

Créer une commande, lire un dossier client, changer un statut, lancer un workflow : à ce stade, on ne parle plus seulement d’expérimentation ou d’accès à l’information.

C’est souvent là que le dialogue avec la DSI, le RSSI ou le DPO se tend. Une IA qui consulte une information, c’est déjà sensible. Une IA qui agit dans le SI, c’est un risque opérationnel.

Pour les équipes Cloud et les DSI, contrôler l’infrastructure ne suffit plus. Il faut contrôler les points de passage vers les actions métier.

C’est le rôle des API : exposer des capacités métier claires, gouvernées, traçables et réutilisables. Pas pour ralentir les métiers, mais pour leur offrir un chemin sécurisé, au lieu de laisser chaque équipe bricoler son propre raccourci.

Avec l’IA, la gouvernance API devient un moyen de reprendre la main : organiser l’accès aux données, aux services et aux capacités exposées via MCP, avant que les usages ne se dispersent partout dans l’entreprise.

Les métiers utilisent déjà l’IA. Reste à décider par quels chemins l’entreprise accepte de la laisser agir dans son SI.

28/04/2026

Les dernières publications d’Anthropic sur les agents IA confirment une tendance déjà visible en entreprise : l’IA ne se limite plus à répondre.
Elle agit.

Elle utilise des outils, exécute des tâches longues, navigue entre applications et déclenche des opérations dans le système d’information.

C’est précisément là que le sujet devient critique.

Dans beaucoup d’organisations, les métiers créent déjà leurs propres solutions IA, et ils ont souvent raison de le faire. Personne ne connaît mieux un processus métier que ceux qui le vivent au quotidien.

Leur initiative est légitime. Elle est même précieuse. Mais elle crée un angle mort dangereux : en contournant la DSI, elle échappe aussi aux couches que la DSI porte : sécurité, traçabilité, conformité, mise en production maîtrisée.
Et sans ces couches, le gain apparent de vélocité peut devenir un risque industriel :
➔ intégrations non tracées,
➔ droits mal maîtrisés,
➔ actions difficiles à auditer,
➔ décisions opérationnelles déclenchées sans cadre clair.

Quand un agent appelle une API, il ne fait pas seulement une requête technique.
Il peut :
➔ créer une commande.
➔ modifier un stock.
➔ mettre à jour un client.
➔ déclencher un processus.

La mauvaise réponse serait d’exposer directement les endpoints back-office à ces agents. Ces endpoints n’ont pas été conçus pour porter une intention métier, contractualiser une action ou encadrer un comportement autonome.

Chez Naoplay, nous défendons une autre approche : faire consommer aux agents des capacités métier gouvernées, via des Smart Proxies.
➔ Client.
➔ Commande.
➔ Produit.
➔ Stock.

Des API orientées métier, qui masquent la complexité du SI tout en portant les règles de contrôle :
➔ droits d’accès,
➔ quotas,
➔ budgets d’usage,
➔ idempotence,
➔ journalisation,
➔ observabilité,
➔ actions autorisées.

L’enjeu n’est pas d’opposer les métiers à la DSI.
L’enjeu est de réconcilier leur vélocité avec les exigences de production : pour qu’ils puissent agir vite sans créer une intégration fantôme, non traçable et non maîtrisée.

La prochaine étape de l’API-first, c’est l’API comme plan de contrôle des agents IA.

Si vos agents commencent à agir sur votre SI, le sujet n’est plus seulement l’IA. C’est l’architecture de contrôle.

Parlons-en.

hashtag

23/04/2026

L’affaire ANTS ne raconte pas seulement un incident cyber.
Elle raconte un problème plus profond : beaucoup d’organisations exposent encore aujourd'hui des API critiques comme de simples tuyaux techniques.

Les faits publics sont déjà suffisants pour mesurer la gravité : des données d’identification ont été exposées, 11,7 millions de comptes seraient concernés selon le point d’étape du 21 avril, sans fuite confirmée à ce stade des pièces jointes ni des données biométriques. Le risque principal est désormais celui des escroqueries ciblées. (cf. Ministère de l’Intérieur : https://www.interieur.gouv.fr/actualites/communiques-de-presse/incident-de-securite-relatif-au-portail-antsgouvfr)

Sur la cause technique, prudence : l’hypothèse IDOR/BOLA circule, mais elle n’est pas officiellement confirmée (cf. https://itsocial.fr/cybersecurite/cybersecurite-actualites/lants-confirme-un-incident-de-securite-une-fuite-de-donnees-et-une-configuration-dmarc-inactive-depuis-au-moins-2019/).

Mais même sans attendre la conclusion forensique, une chose est claire : quand des API donnent accès à des objets métier sensibles, la question centrale devient celle de l’autorisation.
Qui peut voir quoi ?
Qui peut appeler quoi ?
Sur quel objet ?
Avec quelles propriétés ?
Dans quel contexte métier ?

C’est exactement le cœur de l’OWASP API Top 10 :
➔ API1:2023 Broken Object Level Authorization (le fameux BOLA)
➔ et parfois API3:2023 Broken Object Property Level Authorization quand l’API retourne plus que ce qu’elle devrait. (OWASP)

Chez Naoplay, nous défendons une idée simple : une gateway ne sécurise pas magiquement une mauvaise API.

La sécurité se joue d’abord dans le design du proxy API qu’elle expose, et dans les règles de gouvernance qu’il porte.

Avec la Smart Proxization, nous poussons des proxys métier gouvernés, portés par :
➔ une gouvernance transverse dès la conception ;
➔ des normes explicites ;
➔ un proxy owner responsable de la documentation, des droits, des contraintes de sécurité et de l’évitement des bypass ;
➔ un pilotage clair de qui consomme quelles données et dans quelles conditions.

16/04/2026

Le replay d’APItime #7 est disponible.

Quand les agents IA passent à l’action, la question n’est plus seulement le modèle.

C’est ce qu’on expose, comment on le gouverne, et avec quel contrôle.

Replay ▶️ : https://youtu.be/EXf-YtbwCfo

Les agents IA ne fonctionnent pas seuls : pour agir, ils doivent découvrir des outils, appeler des API, interagir avec des modèles de langage et parfois coll...

09/04/2026

Un agent ne fait pas qu’appeler une API.
Il doit découvrir des outils, choisir quoi faire, exécuter, puis réévaluer la suite.

C’est là que le sujet devient intéressant.
Parce qu’orchestrer un agent, ce n’est pas empiler des briques techniques. C’est organiser proprement les points d’entrée, les règles d’accès et les interactions entre outils, modèles et agents.

C’est exactement ce que nous aborderons lors d’APItime #7 avec Gravitee :
- rendre des API exploitables via MCP
- protéger et gouverner l’accès aux LLM
- exposer et superviser des échanges A2A

Rendez-vous jeudi 16 avril 2026 à 13h15.

16/03/2026

Les agents IA ne fonctionnent pas seuls : pour agir, ils doivent découvrir des outils, appeler des API, interagir avec des modèles de langage et parfois collaborer avec d’autres agents. La question devient alors rapidement une question d’architecture : comment exposer ces capacités de manière sécurisée et gouvernée ?

Dans ce webinaire en partenariat avec Gravitee, notre consultante Kawtar Mouhib reçoit Loïc Bertin, Solutions Engineer. Ensemble, ils montreront concrètement comment une plateforme d’API management peut servir de fondation pour orchestrer des agents.

À partir d’un cas concret, nous verrons notamment comment :
- rendre une API exploitable par des agents via MCP
- sécuriser et contrôler l’accès aux LLM
- exposer et superviser des agents capables d’interagir entre eux (A2A)

Une session technique et concrète pour comprendre comment les principes de gouvernance des API s’appliquent désormais aux systèmes d’agents.

10/03/2026

« Every company is now an API company, whether they know it or not. »

Sam Altman formulait le mois dernier cette idée dans un contexte très précis : l’arrivée des agents et des systèmes pilotés par l’IA.

Ces agents seront capables d’intégrer des services numériques, avec ou sans API officielle.

Autrement dit, les systèmes ne seront plus consommés seulement par des humains à travers une interface.
Ils seront consommés par des logiciels qui cherchent à activer des capacités.

Et la plus petite unité de capacité dans un système logiciel… c’est une API.

Il y a quelques années, Mehdi Medjaoui présentait déjà les API comme « les nouveaux brevets » : des actifs que l’on décide d’exposer et de licencier.

Aujourd’hui, Emmanuel Paraskakis explique que l’API devient l’unité minimale de valeur d’un produit logiciel.

Le mouvement s’accélère.

De plus en plus de systèmes sont appelés à être consommés directement par :
– des agents
– des automatisations
– des orchestrations
– des serveurs MCP
– des outils d’IA générative

Tous reposent sur la même chose : des API compréhensibles (par un développeur hier, mais aussi par un agent aujourd’hui), stables et bien conçues.

Si elles sont mal conçues, ces systèmes deviennent :
– difficiles à orchestrer
– difficiles à automatiser
– difficiles à exposer à des agents.

Le design API devient donc une compétence structurante.

C’est précisément l’idée derrière des approches comme la « Smart Proxization », qui consiste à exposer des capacités métier stables et gouvernées à travers des API.

Pour celles et ceux qui souhaitent approfondir ces sujets, notre cours de design API en français est accessible ici :

https://www.naoplay.fr/mooc-design-API/introduction

Pour encourager les premières validations, 5 badges sont actuellement offerts aux personnes qui complètent la formation avec le code :

APIDESIGN5

19/02/2026

Le modèle per-seat, fondé sur le nombre d’utilisateurs humains, est fragilisé.

Quand des agents exécutent des tâches à la place des équipes, la corrélation entre usage et revenu devient instable.

Ce n’est pas une crise du SaaS.
C’est une confusion entre modèle économique et architecture.

Les agents ne créent pas la rupture.
Ils révèlent les failles :
- des systèmes conçus pour l’assistance, pas pour l’exécution autonome
- des frontières métier floues
- une gouvernance des actions insuffisante

Si l’action métier devient l’unité de valeur, alors le SI doit évoluer.

Il ne s’agit plus d’empiler des interfaces.
Il s’agit de construire des systèmes d’action gouvernés, contractuels, exécutables par un humain ou un agent sans changer de nature.

C’est aussi le sens de l’approche que nous appelons "Smart Proxization".

Retrouvez notre analyse sur LinkedIn : https://www.linkedin.com/posts/naoplay_ce-qui-fragilise-le-saas-ce-nest-pas-l-activity-7430144229374484480-z1gl

hashtag hashtag hashtag

06/02/2026

IA en entreprise : en 2026, le vrai sujet n’est plus l’IA.

Le Panorama 2026 de l’IA en entreprise (Eleven / La French Tech Grand Paris / VivaTech) couvre bien sûr un champ beaucoup plus large (humain, régulation, risques, recherche), mais une chose ressort très clairement sur le terrain : il confirme ce que beaucoup constatent en silence dans les organisations.
→ Les entreprises ne bloquent plus sur les modèles.
→ Elles bloquent sur tout le reste.

Quand l’IA passe du copilote à l’action (agents, orchestrations, MCP), les questions deviennent très concrètes :
→ Quelles actions métier un agent est-il réellement autorisé à déclencher ?
→ Où sont les points de contrôle, de traçabilité, de responsabilité ?
→ Quelles API exposent de vraies capacités métier, et lesquelles ne sont que des façades techniques ?
→ Que se passe-t-il quand le non-déterminisme rencontre un processus critique ?

Le Panorama est clair :
➡️ on ne peut pas industrialiser l’IA sur un SI mal urbanisé.
➡️ l’agentique met en lumière la qualité réelle des API, de l’intégration et de la gouvernance.

C’est précisément là que beaucoup de projets se tendent. Pas par manque d’IA, mais par manque de structure.

Chez Naoplay, nous travaillons depuis longtemps sur ce point, bien avant que l’agentique et MCP deviennent des sujets “à la mode” :
→ des API conçues comme des actions et entités métier, pas comme des connecteurs techniques
→ une séparation claire entre ce qui relève de l’architecture, de la gouvernance et du produit
→ une urbanisation API qui permet d’introduire de l’IA sans perdre la maîtrise (sécurité, coûts, conformité, réversibilité)

Ce Panorama ne dit pas autre chose :
→ les organisations qui avanceront ne seront pas celles qui empilent des agents,
→ mais celles qui savent exactement ce que leurs systèmes autorisent à faire, et à ne pas faire.

Le Panorama 2026 de l’IA en entreprise mérite d’être lu : https://lnkd.in/eEnDy_9S
Et si certaines questions vous parlent déjà, c’est probablement que votre SI est plus concerné que vous ne le pensez.

Chez Naoplay, c’est souvent à ce moment-là que la discussion devient intéressante.