Plus de 90 % des cyberattaques basées sur le Web ciblent les points d’extrémité des API. Ces attaques visent à exploiter des vulnérabilités plus récentes et moins connues, souvent présentes au sein d’API qui ne font pas l’objet d’une surveillance active de la part des équipes de sécurité.
Les API (Application programming interfaces) sont les éléments cachés du système nerveux central de nos vies numériques. Chaque jour, les API gèrent les applications dont nous nous servons pour commander notre premier café de la journée dans notre coffee shop préféré, scanner notre badge pour entrer au bureau, réserver un uber pour aller déjeuner avec un ami, consulter la météo ou encore regarder une série en streaming à la fin d’une longue journée. Pratiquement toutes les organisations avec lesquelles nous interagissons au quotidien reposent sur les API pour piloter leur activité numérique.
Le développement et la conception de logiciels basés sur les API ont considérablement amélioré le monde à bien des égards. Mais un problème se pose : lorsque vos applications et vos architectures changent, votre surface d’attaque évolue elle aussi. Les mesures de sécurité traditionnelles telles que le WAF, le DDoS et la protection contre les bots restent essentielles mais ne suffisent pas à protéger ces API dans leur totalité.
Conçues pour les surfaces d’attaque de leur époque, elles n’étaient pas en mesure d’anticiper les futures surfaces d’attaque ni les changements qu’allaient provoquer l’adoption rapide des API au cours des dernières années.
Nos recherches montrent qu’aujourd’hui, plus de 90 % des cyberattaques basées sur le Web ciblent les points d’extrémité des API. Ces attaques visent à exploiter des vulnérabilités plus récentes et moins connues, souvent présentes au sein d’API qui ne font pas l’objet d’une surveillance active de la part des équipes de sécurité.
Les attaques et les surfaces d’attaque sont en pleine évolution, raison pour laquelle votre défense doit également s’adapter. Les récents efforts de l’industrie pour promouvoir l’IA générative ont provoqué une expansion rapide du volume d’applications et d’API dédiées à la gestion des modèles d’intelligence artificielle et d’apprentissage automatique (AI/ML).
Cette situation ne fait qu’ajouter à la complexité de la situation. Les organisations requièrent une stratégie de défense dynamique, centrée sur la détection et la réduction des risques avant que ces derniers ne se transforment en attaques coûteuses, problématiques… et souvent évitables.
Face à ces changements rapides, sécuriser les API critiques constitue un défi de taille pour toutes les entreprises, quelle que soit leur taille. Les équipes de développeurs et de défenseurs, déjà très sollicitées, ne sont souvent pas conscientes du nombre d’API utilisées par leur entreprise, ni de leur emplacement, ni des risques de conformité et autres liés aux données critiques et aux processus commerciaux pris en charge par ces interfaces.
Malgré une évolution technologique constante, la sécurité des API nous rappelle les principes fondamentaux de la cybersécurité. Il existe une bonne raison pour que les principaux cadres de contrôle tels que le NIST commencent presque toujours par l’étape « Identification ». Autrement dit, il est difficile de protéger ce que l’on ne voit pas et de gérer efficacement le risque d’une surface d’attaque que l’on ne comprend pas.
Les angles morts de l’API posent désormais un véritable problème. Cela fait déjà quelques années, depuis 2019 au moins, que les analystes du secteur et Gartner pensent que les API deviendront le premier vecteur d’attaque. C’est d’ailleurs ce que confirment nos données, qui ne montrent aucun signe de ralentissement de cette tendance.
Pour l’instant, le secteur de la cybersécurité a réagi en proposant des solutions ponctuelles axées sur l’un ou l’autre aspect du développement des API. Ces solutions présentent des fonctionnalités variées mais limitées, telles que la détection d’API pour trouver des API déjà consommées, ou des outils pour analyser et tester les vulnérabilités et tenter de les corriger.
Mais l’avenir de la sécurité des API ne se résume pas à un ensemble de solutions ponctuelles que l’on combine et que l’on tente d’intégrer soi-même.
Pour construire le futur de toute entreprise, il faut la préparer à l’avenir.
Les applications d’aujourd’hui qui sont alimentées par l’IA s’appuient sur un ensemble distribué de sources de données, de modèles et de services à travers des déploiements sur site, dans le cloud et en périphérie, réunis par un nombre d’API en rapide augmentation.
Le triptyque de base pour protéger les API apparaît alors clairement : multicloud, priorité à l’API et alimentation par l’IA.
Grâce à une véritable visibilité et une sécurité allant du code au cloud, les entreprises peuvent alors faire fonctionner chaque application et chaque API en toute sécurité. Partout.
