IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les attaques contre les API ont augmenté de 681 % au cours des 12 derniers mois
Un incident API est survenu chez 95 % des entreprises au cours de cette période, selon Salt Security

Le , par Sandra Coret

55PARTAGES

3  0 
Alors que la transformation numérique et l'adoption du cloud a rendu les entreprises françaises plus vulnérables aux attaques et aux exploits d'API externes, ces menaces de sécurité sont généralement le résultat d'un manque de visibilité et de contrôle des réseaux, de solutions et de configurations obsolètes, et d'un manque de compréhension autour des scénarios d'attaque. Le rapport de Salt Security sur la sécurité des API révèle non seulement une augmentation des attaques contre les API de 681 % au cours des 12 derniers mois mais également que l’approche shift-left rend les entreprises plus vulnérables.
Le trafic des attaques API a plus que doublé par rapport au trafic légitime. Les inquiétudes qui en découlent sont un frein à l’innovation chez deux tiers des entreprises.


Salt Security, spécialiste de la sécurité des API, a publié son rapport, élaboré par Salt Labs : State of API Security, T1 2022. Dans cette dernière version, le rapport biannuel révèle que, chez 95 % des entreprises interrogées, un incident API est survenu au cours des 12 mois. Malgré la prolifération des attaques et incidents, ces entreprises, qui exploitent toutes des API de production, sont toujours mal préparées face à ces événements, et 34 % des réponses indiquent qu’aucune stratégie de sécurité des API n’est en place. Cette vulnérabilité présente de sérieux risques pour les activités des entreprises : innovation ralentie, baisse de la confiance chez les consommateurs et efforts de modernisation minés.

Le rapport State of API Security établit une synthèse à partir des réponses à différents questionnaires et des données empiriques issues de la plateforme cloud SaaS de Salt. Le nombre de tentatives visant les clients de Salt, bloquées par la plateforme, s’est envolé : le trafic malveillant visant les API a ainsi bondi de 681 %, alors que le trafic total des API est en progression de 321 %. Dans ce contexte, 62 % des sondés ont reconnu avoir ralenti le déploiement d’une nouvelle application en raison d’inquiétudes liées à la sécurité des API.

Roey Eliyahu, co-fondateur et PDG de Salt Security, explique : « Aujourd’hui, la croissance des entreprises dépend des logiciels, et les API sont au cœur de l’innovation des applications. Si les entreprises numériques se posent en leaders de notre économie moderne, elles sont en contrepartie devenues les premières cibles des acteurs malveillants. Chaque année, nous observons une forte accélération des attaques contre les API. Plus préoccupante encore, l’adoption des API, forcément corrélée aux attaques, bat de vitesse la préparation et la mise en œuvre de défenses chez les entreprises. Les entreprises doivent investir le temps et les efforts nécessaires pour comprendre le paysage des attaques visant les API et cerner les capacités cruciales dont elles ont besoin pour protéger leurs ressources les plus précieuses. »

Avec un incident de la sécurité affectant des API de production identifié chez presque tous les sondés (95 %), la nécessité d’élaborer une stratégie de sécurité se fait plus pressante que jamais. Également observée par les clients de Salt, une augmentation de la fréquence des attaques, et ils sont 12 % à faire face à une moyenne de 500 attaques par mois, si ce n’est plus.

« Les API constituent un vecteur d’attaque de choix, et ce, malgré les efforts louables des entreprises pour valider leur intégrité avant l’entrée en production », déclare Michael Isbitski, Technical Evangelist chez Salt Security. « Compte tenu de l’incapacité des plateformes de gestion des API à les protéger contre les attaques avancées, il n’est pas étonnant que les attaquants, forts de leur succès, continuent de menacer les entreprises. »

Stratégie API : les problèmes de sécurité sont au sommet de la liste

Parmi les diverses inquiétudes nourries par les sondés quant aux programmes API de leurs entreprises, 40 % d’entre eux évoquent la sécurité comme principale préoccupation. L’insuffisance des investissements dans la sécurité en pré-production est en tête (22 %), tandis que 18 % des sondés se disent d’abord inquiets de l’incapacité du programme à répondre de façon adéquate à la sécurité du runtime ou de la phase de production. Le manque de moyens disponibles pour l’élaboration des critères et de la documentation est la principale inquiétude chez 19 % des personnes interrogées.

Contre les attaques visant les API, la plupart des entreprises ne sont pas préparées

En dépit d’une médiatisation importante des incidents de sécurité et des demandes des professionnels du secteur, qui plaident pour une meilleure protection des API, la majorité des entreprises n’a pas adopté une stratégie de sécurité efficace. Parmi les sondés, 34 % n’ont aucune stratégie en place, et un peu plus du quart (27 %) n’a déployé qu’une stratégie élémentaire. Seuls 11 % d’entre eux disposent d’une stratégie avancée qui inclut une protection et des tests API dédiés.

Les conclusions du rapport suggèrent en outre que les écarts de budget et de compétences jouent un rôle dans ce manque de préparation. De fait, le manque d’expertise ou de ressources (35 %) et les contraintes budgétaires (20 %) sont les premiers obstacles à la mise en place d’une stratégie de sécurité des API.

L’approche shift-left rend les entreprises vulnérables

Alors que 95 % des sondés ont déjà connu un incident de sécurité au cours de l’année écoulée, et la protection du runtime allant de pair avec celle des API, les pratiques « shift left » sont à l’évidence inadaptées. Ce problème est d’autant plus prégnant que les équipes informatiques ne s’accordent toujours pas à désigner clairement un « garant » de la sécurité des API. Ainsi, plus de la moitié des sondés déclare que la responsabilité revient principalement aux développeurs, aux DevOps ou aux DevSecOps. Seuls 31 % des sondés estiment que la sécurité des API est du ressort des équipes AppSec ou InfoSec.

Les WAF et passerelles API continuent de laisser passer les attaques

Encore largement dépendantes des outils traditionnels de sécurité et de gestion des API, tels que les pare-feu d’application web (WAF) et les passerelles API, de nombreuses organisations semblent se bercer d’illusions quant à leur sécurité. Au vu du pourcentage de sondés (95 %) ayant enregistré un incident de sécurité API au cours de l’année écoulée, le fait que 55 % d’entre eux se reposent sur des alertes issues des passerelles et que 37 % ont recours à des WAF pour identifier les attaquants est révélateur d’un écart des capacités. En matière de sécurité des API, le recours aux analyses de l’historique des évènements (45 %) s’avère tout aussi inefficace : le temps d’analyser les journaux, les hackeurs sont déjà loin avec les données convoitées.

Intercepter les attaques reste le premier critère pour une plateforme de sécurité API

Pour la troisième fois consécutive, davantage de sondés (42 %) ont évoqué la neutralisation des attaques contre les API comme la fonctionnalité la plus recherchée dans une plateforme de sécurité. Cet impératif est talonné (à 41 %) par la capacité à identifier les API qui exposent les informations personnellement identifiables (PII) ainsi que les données sensibles. La possibilité de consolider les API au fil du temps arrive en troisième place (38 %), suivie de la conformité aux exigences réglementaires (36 %).


Autres conclusions du rapport State of API Security :

  • Le risque d’API obsolètes, bien réel, est également une préoccupation majeure, avec 43 % des sondés évoquant le problème comme prioritaire. L’usurpation de compte vient ensuite, et inquiète en premier lieu 22 % des sondés.
  • Les changements d’API progressent : 9 % des sondés mettent à jour leurs API quotidiennement, 31 % le font toutes les semaines et 24 % moins d’une fois par mois.
  • 94 % des exploits au sein de la base de clients de Salt surviennent contre des API authentifiées.
  • 86 % des sondés ne sont pas certains de savoir quelles API exposent des données sensibles.
  • 85 % des sondés notent que leurs outils actuels sont inefficaces contre les attaques visant les API.
  • 83 % des sondés n’ont pas entièrement confiance dans leur inventaire API.


La sécurité des API améliore le fonctionnement des équipes de sécurité

Qui est responsable de la sécurité des API ? Sur la question, les avis des entreprises divergent fortement. Pour autant, la collaboration et le partage de connaissances entre les équipes chargées de la sécurité et des DevOps n’ont de cesse de progresser. Plus d’un tiers des sondés (34 %) déclarent que les équipes de sécurité collaborent davantage avec les DevOps pour assurer la protection des API, et 30 % affirment que les DevOps font appel aux connaissances des équipes de sécurité pour l’élaboration des règles relatives aux API. Par ailleurs, 25 % des entreprises intègrent des ingénieurs en sécurité dans les équipes DevOps afin de mieux relever ce défi. Le sondage révèle également qu’un nombre croissant d’équipes responsables de la sécurité évoquent les menaces mises en avant dans la liste OWASP API Top 10 : ils sont 61 % dans ce rapport, contre 50 % il y a six mois, ce qui présage d’une amélioration des pratiques de sécurité des API au sein des entreprises.

Le rapport State of API Security, T1 2022 a été compilé par des chercheurs de Salt Labs, le département de recherche de Salt Security, à partir des données de sondage recueillies auprès de plus de 250 cadres et professionnels de la sécurité, des applications et des DevOps ; en plus des données empiriques agrégées et anonymes collectées auprès des clients de Salt Security à travers la solution API Protection Platform.

À propos de Salt Security

Salt Security protège les API, qui constituent le cœur de toutes les applications modernes. API Protection Platform est la première solution brevetée du secteur capable de prévenir les attaques de nouvelle génération contre les API, grâce à l’apprentissage automatique et à l’IA, deux fonctions qui lui permettent d’identifier et de protéger les API de façon automatique et continue. Déployée en quelques minutes seulement, la plateforme de Salt Security apprend le comportement granulaire des API d’entreprise et ne requiert aucune configuration ni personnalisation pour identifier et neutraliser les attaques.

Et vous ?

Trouvez-vous ce rapport pertinent ?
Votre entreprise a-t-elle connu une augmentation significative des attaques API ces 12 derniers mois ?
La stratégie de sécurité des API mise en place au sein de votre organisation est-elle efficace ?

Voir aussi :

Le trafic des attaques API a augmenté de plus de 300 % ces 6 derniers mois, alors que le trafic global des API a progressé de 141 %, d'après un nouveau rapport de Salt Security

Les consommateurs apprécient les API pour leur commodité, mais 61 % d'entre eux ne sont pas convaincus que les marques accordent la priorité à la sécurité de leurs API, et des applications associées

Les API constituent un véritable casse-tête pour les entreprises en matière de sécurité, 44 % des entreprises ont été confrontées à des problèmes importants, selon Cloudentity

80 % des attaques bloquées entre juin et décembre 2021, soit 1,8 milliard, étaient basées sur des API, les API exposant des données sensibles ont augmenté de 87 %, selon Cequence Security

Une erreur dans cette actualité ? Signalez-nous-la !