Les applications d'aujourd'hui utilisent de plus en plus les API pour examiner les processus métier et les décomposer en un certain nombre de communications nécessaires pour permettre aux partenaires commerciaux et aux clients de collaborer efficacement avec une organisation.
En collaboration avec le SANS Institute, cette étude constate de fortes lacunes : moins de 50 % des 231 personnes interrogées ont déjà mis en place des outils de test de sécurité destinés aux API. Les répondants sont encore moins nombreux à disposer d'outils de découverte d'API (29 %).
Inventaire De plus, le rapport constate que l'exploitation des contrôles de sécurité des API inclus dans les services DDoS et d'équilibrage de charge représente un « domaine sous-utilisé ». Seuls 29 % des personnes interrogées ont déclaré utiliser ces fonctionnalités.
Autres principales constatations de l'enquête :
- 62 % des personnes interrogées utilisent des pare-feux d'applications Web dans le cadre de l'atténuation des risques liés aux API.
- La plupart (57,1 %) des répondants ont déclaré que l'exactitude de leur inventaire des API se situait entre 25 % et 75 %.
- La plupart des personnes interrogées ont cité les listes Top 10 de sécurité des applications et des API de l'OWASP (Open Web Application Security Project) et le cadre MITRE ATT&CK comme la base de leur définition des risques liés aux applications et aux API.
- 76 % des personnes interrogées ont indiqué avoir formé le personnel de développement de leur société à la sécurité des applications.
API vulnérables « Cette nouvelle enquête permet de découvrir le point de vue du secteur sur un sujet qui reste l'un des principaux problèmes de sécurité en 2023 et qui continuera de l'être », déclare Rupesh Chokshi, Senior Vice President et General Manager, Application Security chez Akamai.
« Les résultats montrent que les entreprises doivent se concentrer davantage sur l'emplacement et le nombre de leurs API en cours d'exécution, car les API vulnérables deviennent le point d'accès le plus courant pour les attaques contre les entreprises. »
En conclusion, la prévention et la détection doivent être mises à niveau pour faire face aux attaques axées sur les API. Par ailleurs, les services d'infrastructure (tels que les réseaux de diffusion de contenu et le filtrage des dénis de service) doivent également être utilisés pleinement.