Une nouvelle étude révèle que 95 % des personnes interrogées ont rencontré des problèmes de sécurité dans les API de production, et que 23 % d'entre elles ont subi des violations en raison d'insuffisances en matière de sécurité des API.Les incidents liés à la sécurité des API ont plus que doublé au cours des 12 derniers mois, 37 % des personnes interrogées ayant connu un incident, contre seulement 17 % en 2023.
Le rapport de Salt Security montre que le volume d'API au sein des organisations s'accélère également, les données des clients de Salt montrant une augmentation de 167 % du nombre d'API au cours des 12 derniers mois et 66 % des répondants à l'enquête déclarant qu'ils en gèrent plus de 100.
Seules 7,5 % des entreprises considèrent que leurs programmes de sécurité des API sont "avancés". Il est alarmant de constater que 37 % des personnes interrogées, dont les API fonctionnent en production, n'ont pas mis en place de stratégie active de sécurité des API. Malgré cela, 46 % des personnes interrogées déclarent que la sécurité des API fait l'objet d'une discussion au niveau de la direction de leur entreprise.
Seulement 10 % des entreprises disposent actuellement d'une stratégie de gouvernance de la sécurité des API. Toutefois, conscientes de l'importance de cette stratégie, près de la moitié d'entre elles (47 %) prévoient de la mettre en œuvre au cours des 12 prochains mois.
« Le volume des API au sein des organisations ne montre aucun signe de déclin, et les équipes de sécurité ont du mal à suivre le rythme de l'étendue et de la profondeur des écosystèmes d'API modernes », déclare Roey Eliyahu, cofondateur et PDG de Salt Security. « Comme l'illustrent les résultats de notre étude, les attaquants continuent de tirer parti de cette situation, en exploitant les points faibles des API pour exécuter des attaques malveillantes et accéder aux données des entreprises et des clients. Les acteurs malveillants affinant constamment leurs tactiques pour lancer discrètement des attaques par API, souvent par des moyens légitimes, les entreprises doivent adopter une approche plus sophistiquée pour sécuriser les API. Une approche qui englobe de solides capacités de découverte des API, une stratégie de gouvernance de la posture et la capacité de détecter rapidement et efficacement les menaces actives et le trafic API malveillant. »
Les personnes interrogées se disent très préoccupées par les risques potentiels associés aux API "zombies" - les API obsolètes et oubliées au sein des écosystèmes. 70 % d'entre eux considèrent les API zombies comme une préoccupation importante ou forte, contre 54 % en 2023. La prise de contrôle de comptes et le déni de service sont les deuxième et troisième préoccupations les plus importantes.
La rapidité des mises à jour est également un problème : plus d'un tiers des organisations déclarent mettre à jour leurs API au moins une fois par semaine (38 %), et une part importante (13 %) effectue des mises à jour quotidiennes. Seulement 12 % des personnes interrogées se disent très confiantes dans l'exactitude de l'inventaire de leurs API, ce qui met en évidence un manque de confiance généralisé dans le dispositif de sécurité.
Source : "State of API Security Report 2024" (Salt Security)
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de Salt Security crédibles ou pertinentes ? Qu'en est-il au sein de votre entreprise ?Voir aussi :
Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois, et 80 % de ces attaques se sont produites par le biais d'API authentifiées, selon Salt Security Les attaques contre les API mettent les entreprises en danger, 27 % des attaques en 2023 ciblant la logique commerciale des API, soit une croissance de 10 %, selon le rapport d'Imperva