Selon le rapport d'Imperva, les attaques d'API mettent les entreprises en danger. Les attaques ciblant la logique commerciale des API ont représenté 27 % des attaques en 2023, soit une croissance de 10 % par rapport à l'année précédente. Les attaques de prise de contrôle de compte (ATO) ciblant les API ont également augmenté, passant de 35 % en 2022 à 46 % en 2023.C'est l'une des conclusions d'un nouveau rapport d'Imperva, qui montre que le trafic des API a représenté plus de 71 % du trafic web l'année dernière. Si les API présentent l'avantage de permettre une connectivité transparente, d'améliorer les expériences en ligne et de favoriser l'innovation, leur adoption généralisée entraîne de nouveaux défis en matière de sécurité.
Le nombre moyen d'appels d'API vers les sites des entreprises est de 1,5 milliard. Mais ces volumes élevés de trafic automatisé non humain sont liés à une augmentation des attaques automatisées contre les API, telles que les attaques DDoS et les prises de contrôle de comptes (ATO). 46 % de toutes les attaques ATO ont ciblé des points d'extrémité d'API. Les attaquants deviennent également plus avisés dans leurs stratégies, 28 % de toutes les attaques DDoS sur les API visant les organisations de services financiers, le secteur le plus ciblé pour ce type d'attaque.
Grainne McKeever écrit sur le blog d'Imperva : "Les attaques automatisées constituent une menace importante pour les API en raison de leur composition fondamentale qui est, par conception, orientée vers l'automatisation et indifférente à l'intervention humaine. Les attaquants ont de plus en plus recours aux attaques automatisées, ou "bad bots", pour cibler la logique commerciale de l'API ou sa fonctionnalité de base. En imitant le trafic automatisé régulier de l'API, les attaques ne sont pas détectées, ce qui permet aux acteurs de la menace de mener leurs activités malveillantes sans interruption".
Les outils de sécurité traditionnels, tels que les pare-feu d'application web, ont du mal à détecter et à combattre cette forme d'abus, car les attaques d'API sont capables d'imiter le trafic normal.
Source : The State of API Security in 2024 (Imperva)
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois et 80 % de ces attaques se sont produites par le biais d'API authentifiées, selon Salt Security Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai 76 % des entreprises ont subi un incident de sécurité lié aux API au cours de l'année écoulée, 74 % des professionnels de la cybersécurité ne savent pas quelles API renvoient des données sensibles 
