Vous avez besoin du Cloud Computing ? Commencez dès maintenant

API Security

Protégez toutes vos API des attaques et des vols de données toujours plus fréquents.

Découvrez et bénéficiez d'une visibilité sur toutes les API pour vous défendre contre les menaces

Grâce à la découverte et à l'analyse en temps réel, API Security vous offre une visibilité complète sur l'ensemble de votre parc d'API. Découvrez comment identifier les vulnérabilités et analyser le comportement des API, afin de détecter les attaques et de corriger les risques dans cette surface d'attaque en pleine croissance.

Éliminez une zone d'ombre commune en matière de sécurité

Découvrez votre parc d'API complet

Détectez et inventoriez toutes vos API, y compris les API fantômes, zombies et indésirables, grâce à la détection et à la surveillance continues.

Identifiez les API vulnérables

Audit pour les vulnérabilités et les erreurs de configuration des API ciblées par les attaquants, y compris les 10 principaux risques pour la sécurité des API de l'OWASP.

Atténuez les exploitations de logique métier

Utilisez des informations contextuelles pour identifier les risques tels que les fuites de données, les comportements suspects, les bots malveillants et les attaques d'API.

Fonctionnement d'API Security

Découvrir

Découvrir

Générez un inventaire complet des API, y compris du nombre et des types d'API dont vous disposez.

Tester

Tester

Ajoutez la sécurité à votre pipeline CI/CD sans sacrifier la vitesse pour sécuriser les API avant de les mettre en production.

Détecter

Détecter

Identifiez les vulnérabilités et les attaques des API grâce à une détection automatisée alimentée par l'apprentissage automatique.

Répondre

Résoudre

Créez des flux de travail avancés pour corriger les problèmes d'API en les intégrant à vos WAF, SIEM et outils ITSM.

Quel est l'impact d'un incident de sécurité des API ?

Plus de 1 200 professionnels de la sécurité nous expliquent comment les incidents ciblant les API affectent leurs résultats, leur réputation et le niveau de stress des équipes.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Gartner® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Gartner® Market Guide for API Protection

Fonctionnalités

  • Évaluez le trafic d'API avec une connexion native au réseau de diffusion de contenu (CDN) d'Akamai et intégrez-le à vos passerelles d'API, équilibreurs de charge ou WAF
  • Découvrez les API, les domaines et les problèmes connexes pour les API HTTP, RESTful, GraphQL, SOAP, XML-RPC et JSON-RPC
  • Identifiez les types de données sensibles auxquelles vos API peuvent accéder et suivez l'accès des utilisateurs à ces API
  • Analysez les API avec la liste des 10 principaux risques pour la sécurité des API de l'OWASP, puis hiérarchisez les vulnérabilités par impact pour une correction rapide
  • Saisissez le contexte des API grâce à des visualisations de la logique métier, de l'infrastructure réseau physique et des flux de trafic des API

  • Surveillez en permanence la conformité aux exigences réglementaires, aux normes industrielles et aux règles internes
  • Utilisez l'apprentissage automatique pour identifier les utilisations anormales, les attaques d'API, les fuites de données, les falsifications de données et les violations de règles
  • Bloquez les attaques d'API en temps réel et configurez des flux de travail avancés pour accélérer la correction et augmenter l'efficacité du centre d'opérations de sécurité (SOC)
  • La solution s'intègre entièrement à vos pipelines CI/CD existants et exécute automatiquement plus de 200 tests qui simulent un trafic malveillant

Foire aux questions (FAQ)

API Security est une solution de protection contre les menaces API indépendante du fournisseur qui ne nécessite pas l'utilisation d'autres solutions Akamai. Elle complète les solutions de sécurité d'Akamai et garantit aux clients une protection complète, car les attaques contre les API sont devenues beaucoup plus sophistiquées, nécessitant de nouvelles techniques de détection et des réponses automatisées. 

API Security et App & API Protector sont deux solutions différentes proposées par Akamai pour protéger votre entreprise.

  • App & API Protector découvre et atténue les menaces liées aux API pour toutes vos applications Web et API exécutées via Akamai Connected Cloud. Elle est capable de bloquer tout trafic en ligne contenant des menaces potentielles pour votre entreprise.
  • API Security est indépendante de la plateforme, découvre et offre une visibilité complète de tous les points de terminaison API à travers l'entreprise. Elle analyse en temps réel l'activité des API et détermine les mesures spécifiques à prendre pour sécuriser le trafic des API nouvellement exploitées.

Lorsqu'elles sont déployées ensemble, les solutions App & API Protector et API Security fonctionnent en ligne et offrent la visibilité la plus complète et continue sur les API. Elles vous permettent de découvrir, d'auditer et de détecter les problèmes d'API, et d'intervenir à l'échelle de tout votre réseau. En outre, l'intégration entre API Security et App & API Protector permet un déploiement simple et robuste d'API Security.

Oui, notre solution de test d'API est spécialement conçue pour assurer une couverture complète des vulnérabilités spécifiques aux API. Notre solution peut vous aider à adopter une approche « shift left » et à intégrer les tests de sécurité des API à chaque phase de développement.

API Security surveille et protège à la fois le trafic est-ouest et nord-sud, en examinant toutes les API de votre entreprise pour détecter les anomalies qui pourraient indiquer un risque de sécurité.

API Security identifie les API qui contiennent des informations personnelles identifiables (PII), de la documentation interne, de la propriété intellectuelle, etc. afin que vous puissiez automatiser les protections pour ces API en particulier. Tous les échantillons de trafic sont brouillés, qu'ils soient suspects ou non, et ne sont visibles que par les administrateurs et les contributeurs, ce qui simplifie vos initiatives de confidentialité et de conformité.

API Security est indépendante de toute plateforme et fonctionne dans tous les environnements, SaaS, hybride et sur site, y compris ceux qui sont complexes et ont plusieurs CDN, WAF, passerelles et API largement distribuées à travers toute l'entreprise (nord-sud et est-ouest). API Security offre une visibilité à l'échelle de l'entreprise sur le comportement de vos API, quel que soit l'endroit où elles sont découvertes.

API Security d'Akamai intègre un connecteur natif qui vous permet d'envoyer facilement une copie de votre trafic Akamai Connected Cloud à API Security d'Akamai pour analyse. Cette intégration est directement intégrée à API Security et à Akamai Connected Cloud, éliminant ainsi toute latence et réduisant les risques. Le connecteur natif détecte et suit automatiquement les API dans les environnements gérés par Akamai, aide à détecter les vulnérabilités et permet aux clients de bloquer les attaquants à la bordure de l'Internet.

Témoignages clients

Cas d'utilisation d'API Security

Découvrez comment Akamai API Security peut protéger votre entreprise digitale et ses données sur plusieurs fronts.

Testez les API avant de les mettre en production

Testez les API avant de les mettre en production

Tester les API est essentiel pour votre stratégie de sécurité des API car cela aide les entreprises à détecter et corriger les failles telles que l'exploitation de logique métier plus tôt dans le cycle de développement logiciel (approche du « shift left »), avant la mise en production des API.

Avec les tests API, vous pouvez exécuter automatiquement plus de 150 tests dynamiques qui simulent un trafic malveillant, y compris ceux de la liste des 10 principaux risques pour la sécurité des API de l'OWASP. Planifiez les tests pour qu'ils s'exécutent automatiquement aux intervalles souhaités, à n'importe quel stade du développement.

Obtenez un inventaire de vos API à l'échelle de l'entreprise

Obtenez un inventaire de vos API à l'échelle de l'entreprise

Toute stratégie de sécurité efficace des API passe par un inventaire complet et continuellement mis à jour de toutes les API de l'entreprise. La recherche à la demande ou quotidienne est insuffisante en raison de la gravité des risques associés aux attaques d'API. De plus, la visualisation du comportement réel des API (appels API) est nécessaire pour permettre aux membres clés de l'équipe de sécurité, de développement et des opérations de comprendre comment les API sont utilisées ou mal utilisées. Cela facilite la communication et l'enquête au sein des équipes de votre entreprise. 

API Security permet une recherche automatisée et continue des API à travers différentes technologies et infrastructures. Il identifie également les API nouvellement déployées et compare leurs propriétés à la documentation existante. API Security détecte les API fantômes souvent manquées et les vulnérabilités connues des API, telles que celles décrites dans les 10 principaux risques pour la sécurité des API selon l'OWASP

La découverte des API est un processus permanent, et notre surveillance continue détecte les nouvelles API et les modifications apportées aux API existantes 24 heures sur 24. Les équipes de sécurité gagnent une visibilité inégalée et sont les premières à savoir quand les développeurs déploient une nouvelle API ou un nouveau service.

Comprenez votre posture de risque API

Comprenez votre posture de risque API

Les API alimentent les produits et services digitaux déployés par une entreprise. Il n'est donc pas surprenant que les API gagnent en ampleur. Toutefois, cette prolifération des API refaçonne votre surface d'attaque.

Les attaquants d'aujourd'hui recherchent des vulnérabilités d'API, notamment des bogues logiciels ou des erreurs de configuration, qu'ils peuvent exploiter aux fins suivantes :

  • Accéder aux fonctionnalités sensibles des applications
  • Trouver, compromettre et/ou voler des données sensibles
  • Utiliser l'API de manière malveillante 

Grâce aux 10 principaux risques pour la sécurité des API selon l'OWASP, vous bénéficiez d'un résumé utile de certaines des vulnérabilités et menaces d'API les plus couramment exploitées que les entreprises devraient essayer d'identifier et de résoudre.

Avec API Security, vous pouvez empêcher les API vulnérables et mal configurées d'exposer votre entreprise à des attaques d'API. Comment ? En informant rapidement les équipes de sécurité, de développeurs et d'API des risques potentiels, des erreurs de configuration et des vulnérabilités. Vous pouvez également facilement établir si un partenaire a mal configuré votre API ou s'il y a des vulnérabilités dans le code. 

Les alertes contextuelles et conditionnelles fonctionnent en toute fluidité au sein de vos flux de travail existants, comme la création automatique d'un ticket Jira, afin que vous puissiez résoudre promptement tout problème.

Surveillez les exploitations d'API

Surveillez les exploitations d'API

Les API étant conçues pour être utilisées par programmation, il est extrêmement difficile de différencier l'utilisation légitime des attaques et des exploitations.

Bien que l'approche des attaques par menaces API varie, voici quelques-unes des méthodes les plus courantes :

  • L'exploitation de logique métier. Il y a exploitation de logique lorsqu'un acteur malveillant exploite les failles de conception ou d'implémentation d'une application pour provoquer un comportement inattendu et non approuvé profitant aux attaquants. Les contrôles de sécurité hérités ne peuvent empêcher ce type d'exploitation, ce qui entraîne un stress et une pression considérables pour les RSSI et leurs équipes.
  • L'accès non autorisé aux données. Une autre forme courante d'exploitation d'API est l'utilisation de mécanismes d'autorisation brisés pour accéder aux données auxquelles les pirates ne devraient pas être autorisés à accéder. Ces vulnérabilités portent de nombreux noms, tels que BOLA (défaillance de l'autorisation au niveau de l'objet) et IDOR (accès direct non sécurisé à un objet), ainsi que BFLA (défaillance de l'autorisation au niveau de la fonction).
  • Le piratage de comptes. Après un vol d'informations d'identification ou même une attaque de script cross-site, un compte peut être piraté. Une fois que cela se produit, il est possible d'exploiter même l'API la mieux écrite et la mieux sécurisée. Après tout, si vous n'effectuez pas d'analyse comportementale, toute activité authentifiée est considérée comme légitime.
  • Extraction de données. À mesure que les entreprises mettent des ensembles de données à disposition via des API publiques, des acteurs malveillants peuvent interroger ces ressources de manière agressive pour effectuer une capture élargie d'ensembles de données volumineux et précieux.
  • Déni de service (DoS). En demandant au back-end d'effectuer des tâches lourdes, les attaquants ou les utilisateurs d'API peuvent provoquer une « érosion du service » ou un déni de service complet au niveau de la couche applicative (une vulnérabilité très courante dans GraphQL, mais qui peut arriver avec toute implémentation de point de terminaison d'API gourmande en ressources). Cela peut se produire par le biais d'une attaque intentionnelle ou d'une utilisation excessive par un partenaire qui provoque l'inaccessibilité de l'API pour d'autres partenaires. 
  • L'exploitation de vulnérabilités. Les vulnérabilités techniques de l'infrastructure sous-jacente peuvent compromettre le serveur. Les exemples de ces types de vulnérabilités vont des vulnérabilités Apache Struts (CVE-2017-9791, CVE-2018-11776, et associées) aux vulnérabilités Log4j (CVE-2021-44228 et associées).

L'identification et l'atténuation de ces risques de sécurité et d'autres risques liés aux API nécessitent des contrôles de sécurité suffisamment sophistiqués pour faire face à cet écosystème des menaces complexe et en évolution rapide. 

La solution API Security fournit un contexte opérationnel qui ne peut pas être obtenu en analysant uniquement des éléments techniques tels que les adresses IP et les jetons API. Grâce à l'analyse du trafic en temps réel informée par l'IA/ML, API Security génère des données métier contextuelles qui vous permettent de faire une analyse approfondie de ce qui s'est passé avant et après une alerte pour identifier sa cause profonde. API Security vous permet également de rechercher des API par entités spécifiques, telles que vos utilisateurs ou partenaires, ou même des entités de processus métier (facture, paiement, commande, etc.), pour vous permettre de trouver des anomalies qui, autrement, ne seraient pas détectées.

Apprenez-en plus auprès de nos experts en sécurité des API

Rejoignez-nous alors que nous approfondissons le côté technique de la sécurité des API dans notre série mensuelle If Your APIs Could Talk.

Ressources

Découvrez les fonctionnalités essentielles d'API Security

Découvrez quelles fonctionnalités d'API Security peuvent vous aider à prévenir les attaques à l'aide d'exemples pratiques, notamment :

  • Détection et surveillance : Détectez et répondez instantanément aux menaces grâce à notre système de surveillance 24h/24, 7j/7
  • Alertes : Étudiez comment les alertes de posture et d'exécution sont gérées
  • Intégration facile : Intégration en toute transparence à votre pile technologique existante, quelle que soit la complexité

Programmez votre démonstration en deux étapes simples :

  1. Envoyez le formulaire
  2. Réservez un créneau avec notre équipe

Nous vous remercions de votre demande ! Un expert d'Akamai vous contactera sous peu.