Une étude révèle que les équipes de sécurité ressentent l'impact des menaces croissantes liées aux API
D'après l' étude 2024 des impacts sur la sécurité des API d'Akamai, les abus d'API augmentent de façon alarmante. Si l'on en croit l'enquête menée auprès de plus de 1 200 professionnels de l'informatique et de la sécurité, 84 % d'entre eux ont déclaré avoir subi un incident de sécurité API au cours des 12 derniers mois, contre 78 % l'année dernière. Par ailleurs, les effets sur les entreprises se font de plus en plus sentir, notamment avec l'augmentation des coûts de résolution et des niveaux de stress.
Face à l'augmentation des incidents liés aux API, les entreprises ont du mal à évaluer les risques
L'augmentation des incidents liés à la sécurité des API n'est pas surprenante. Il faut voir les choses de la manière suivante : Comme les employés d'une entreprise, les API ont un rôle à jouer, un rôle qui consiste à échanger rapidement des données entre les technologies digitales. Ce travail est important : Les API permettent aux clients et aux partenaires d'obtenir les services dont ils ont besoin. Mais ce travail est également très risqué, car, contrairement à ces employés, les API manipulent des données sensibles avec peu ou pas de surveillance.
De nombreuses API vivent dans l'ombre parce qu'elles ont été créées à l'insu du service informatique central d'une entreprise – et elles ne sont souvent pas détectées par les outils de sécurité traditionnels. Les équipes de sécurité manquent souvent de visibilité sur les risques liés aux API, même celles dont elles peuvent rendre compte.
Vous ne pouvez pas protéger ce que vous ne pouvez pas voir
L'étude 2024 des impacts sur la sécurité des API révèle que seulement 27 % des personnes interrogées qui pensent disposer d'un inventaire complet des API savent lesquelles de leurs API renvoient des données sensibles – contre 40 % l'année dernière. En outre, il existe un décalage entre les rôles : bien que 43 % des DSI interrogés pensent savoir quelles API renvoient des données sensibles, seuls 17 % des RSSI partagent ce point de vue.
Vous ne pouvez pas protéger ce que vous ne pouvez pas identifier. Et ce manque de visibilité est troublant si l'on considère ce qui suit :
108 milliards d'attaques d'API ont été enregistrées entre janvier 2023 et juin 2024, selon un récent rapport d'Akamai sur l'état des lieux d'Internet (SOTI)
Une seule API compromise peut conduire à un vol de données important, entraînant des pertes de revenus et des amendes réglementaires
À mesure que les entreprises sont confrontées à des menaces liées aux API, les impacts se matérialisent
Les personnes interrogées dans le cadre de notre étude – des RSSI au personnel AppSec – ont estimé l'impact financier global des incidents API, des coûts de résolution aux frais juridiques. En moyenne, les entreprises ayant subi des incidents de sécurité API au cours des 12 derniers mois ont indiqué un coût moyen de 591,404 USD.
Les personnes interrogées ont également fait part de ce qu'elles estiment être les principaux impacts des incidents de sécurité API.
Que peuvent nous apprendre ces résultats ? Toute forme d'attaque est forcément source d'inquiétude. Mais il existe une forme particulière de stress lorsque l'on est confronté à un vecteur d'attaque que l'on ne connaît pas. De nombreuses entreprises sont en train de se familiariser avec la complexité des risques liés aux API. En outre, la pression ressentie à la suite d'une attaque d'API ne fait qu'augmenter lorsque les dirigeants demandent : comment cela a-t-il pu se produire ?
Alors que la sensibilisation aux attaques d'API ne cesse de croître, les entreprises s'interrogent sur les causes de ces attaques
Heureusement, la plupart des équipes de sécurité sont engagées et améliorent leurs connaissances sur la façon dont les attaques d'API se produisent. La plupart sont également conscientes que les outils couramment utilisés pour sécuriser les API ne suffisent plus. Les personnes interrogées ont cité les principales causes des incidents liés aux API qu'elles ont connus, et leurs réponses reflètent un mélange des éléments suivants :
Des outils qui ne sont pas conçus pour voir ou sécuriser la grande partie des parcs d'API qui ne sont pas gérés et qui, par conséquent, n'ont pas détecté les incidents en dehors de leur vision limitée
- Les vulnérabilités citées dans la liste des 10 principaux risques pour la sécurité des API de l'OWASP, telles que les erreurs de codage commises à la hâte et les contrôles d'authentification manquants
4 domaines d'intérêt pour les entreprises qui cherchent à protéger leurs API
Les menaces actuelles liées aux API nécessitent des stratégies et des solutions ancrées dans quatre domaines clés :
Découverte des API
Gestion de la posture
Protection de la durée d'exécution
Tests de sécurité
Découverte des API
Accroître la visibilité : Faites la lumière sur les zones d'ombre, en particulier sur les API qui ne sont souvent pas gérées et dont l'accès aux données n'est pas contrôlé. Recherchez des outils avec une approche automatisée pour découvrir les API. Analysez les risques liés aux API et documentez-les dans un inventaire complet.
Gestion de la posture
Renforcer la posture : Obtenez des précisions sur les comportements normaux et atypiques des API, tout en obtenant une visibilité sur les types d'alertes les plus courants, ce qui permet aux entreprises de détecter de manière proactive les signes d'une attaque. Utilisez ces informations pour réduire les risques, définir des priorités et renforcer la stratégie de sécurité des API.
Protection de la durée d'exécution
Voir et sécuriser en temps réel : Intégrez une solution complète de sécurité des API à un système de sécurité existant (par exemple, avec des pare-feux d'application Web ou des outils de sécurité des applications Web et des API), ce qui permet aux utilisateurs de repérer les comportements à haut risque et de bloquer le trafic suspect avant qu'il n'accède à des ressources critiques.
Tests de sécurité
Tester tôt et continuellement : Adoptez une approche shift-left qui intègre les tests de sécurité dans les phases de développement d'une API. Testez si les API sont codées correctement pour remplir leur fonction, si elles sont exposées à des risques et si elles sont vulnérables aux méthodes d'attaque courantes et émergentes.
Réflexions finales : Ressentir l'impact et se préparer à agir
Considérez les données de cette étude non pas comme des éléments de prise de conscience ou de divergence, mais comme les points de départ d'une conversation importante. Avec l'augmentation des incidents de sécurité liés aux API, la détresse ressentie par les RSSI et leurs équipes est palpable. L'examen minutieux des chefs d'entreprise, qui se tournent vers les équipes de sécurité pour se protéger contre les attaques d'API, peut être stressant pour tout le monde.
Assurez-vous que vos équipes sont continuellement formées à la sécurité des API. Obtenez les informations dont vous avez besoin en lisant ce nouveau rapport important.