Compte tenu des cyberattaques qui frappent les entreprises aux quatre coins du monde, les DSI ont aujourd’hui pour mission essentielle, entre autres responsabilités, de tenir les acteurs malveillants à distance. Selon une récente étude, 70 % des DSI s’attendent à être davantage associés aux pratiques et aux procédures de sécurité de leurs entreprises cette année.
Pourquoi les API sont-elles devenues le vecteur d’attaque le plus fréquent ?
Les DSI font face à une multitude de problématiques de sécurité : erreurs de configuration impactant des infrastructures et des services, compromission d’identifiants, hameçonnage (phishing) et ingénierie sociale, entre autres. Néanmoins, comme l’illustrent les récentes attaques visant T-Mobile et Optus qui se sont soldées par le piratage d’informations personnelles et de données par millions, le détournement d’API (Application Programming Interfaces) est devenu le vecteur de choix pour accéder au Graal d’une entreprise : les données des utilisateurs.Pourquoi ? Les API font partie de ces outils qui facilitent véritablement l’établissement d’une connectivité ultra-agile entre les clients d’une part et leurs données et services stratégiques d’autre part, en plus d’être des éléments phares dans la réussite de la transformation numérique. Les API sont créées à tout bout de champ dans les environnements actuels. Expressément destinées aux échanges d’informations essentielles, elles constituent une cible aussi intéressante que lucrative pour les pirates, qui aspirent à s’introduire sur le réseau d’une entreprise pour compromettre d’autres systèmes par déplacement latéral.
Les DSI doivent systématiquement concilier au mieux la nécessaire accélération de l’innovation et du progrès avec la nécessaire protection de l’entreprise. La sécurisation des API représente l’un de ces points de jonction critiques susceptibles d’aider les entreprises à avancer plus vite et plus sûrement. S’il est universellement admis que les environnements actuels ne peuvent faire l’impasse sur la sécurité du cloud, le fait que cette dernière soit tributaire de la sécurisation des API n’est pas forcément compris par tous. Du fait même de cette redoutable dépendance, la sécurisation des API est une activité à part entière, dont la problématique incombe au DSI (et pas simplement à l’équipe en charge de la sécurité).
Comment les DSI peuvent-ils renforcer la posture de sécurité de leurs API ?
Pour renforcer la posture de sécurité de leurs API, les DSI peuvent prendre plusieurs initiatives clés en collaboration avec les équipes de sécurité.Premièrement, les bonnes pratiques débutant systématiquement par la gestion du parc IT, la sécurisation des API ne fait pas exception à la règle. Afin d’écarter toute lacune dans la gestion du parc applicatif, les DSI doivent mettre en œuvre une stratégie de gouvernance robuste pour les API. Ils doivent dresser un inventaire complet et précis de la totalité d’entre elles au sein de leur infrastructure existante. Après tout, il est impossible de gérer l’invisible. Les programmes de gouvernance doivent s’attacher à évaluer en priorité cet inventaire API afin de disposer d’une liste actualisée en permanence de toutes les API en service sur l’infrastructure de l’entreprise. La plupart des entreprises disposent d’une proportion significative de ce qu’il est convenu d’appeler des « API fantômes », autrement dit des API qui n’étaient jusqu’alors ni connues, ni documentées et qui échappent souvent aux plateformes de gouvernance des API.
Deuxièmement, les DSI peuvent contribuer à ce que le personnel perçoive mieux les risques associés aux API. Ils doivent mettre en place des actions de formation afin de veiller à ce que les différentes équipes identifient les menaces de sécurité les plus courantes côté API, y compris celles répertoriées sur la liste de vulnérabilités API Security Top 10 de l’OWASP. De concert avec les équipes de sécurité, les DSI doivent adopter des programmes orientés API capables de surveiller en permanence l’infrastructure afin de détecter ces détournements d’API extrêmement fréquents. Les développeurs accélèrent comme jamais la création d’API et leur déploiement en production. Pour protéger ces API
(y compris celles dont elles ignorent peut-être l’existence), les entreprises ont besoin d’un filet de sécurité, en l’occurrence une protection à l’exécution.
Dernier point, les DSI peuvent accélérer leurs initiatives de sécurisation des API en sensibilisant davantage les effectifs aux risques et aux coûts que des incidents de sécurité les concernant peuvent potentiellement représenter pour l’entreprise. Le coût des piratages d’API se chiffre facilement en millions. À la suite de son récent piratage, l’opérateur Optus estime la facture à 140 millions de dollars. Les DSI jouent un rôle prépondérant, à la fois en aidant les équipes à prendre la mesure des risques encourus et en mettant en place un environnement collaboratif soucieux de la sécurité entre les pôles développement, IT et sécurité.
Conclusion
Pour se prémunir contre les tactiques et techniques mouvantes des acteurs malveillants, les DSI doivent appréhender le paysage des API. Celles-ci se sont imposées comme le premier outil facilitant les opérations des entreprises, mais aussi le premier vecteur d’attaque, et il est essentiel de les sécuriser. Pour limiter les risques encourus et soutenir la dynamique des entreprises en continuant à mettre le cap sur l’innovation, les DSI doivent proposer des stratégies et des contrôles orientés API. Ce qui comprend, entre autres, un inventaire API complet ainsi qu’une connaissance organisationnelle transverse des principales menaces susceptibles d’être véhiculées par les API et des risques qui en découlent pour les entreprises.Par Elimane Prud'homme, Directeur des ventes chez Salt Security