Au cours de l’année 2023, le paysage numérique a connu une transformation significative, marquée par une augmentation substantielle du trafic API, lequel a dépassé de loin le trafic web traditionnel. D’après l’étude réalisée par Imperva, la filiale de Thales, le trafic généré par les API représente plus de 71 % de l’ensemble du trafic web. Cette montée en puissance des API souligne un changement fondamental dans la manière dont les applications communiquent entre elles, échangent des données et interagissent avec les bases de données ainsi que d’autres systèmes.
« Cette évolution n’est pas sans risques, prévient le rapport, elle expose en effet divers secteurs à de nouvelles vulnérabilités sécuritaires, étant donné que les API sont devenues les canaux dominants de cette communication numérique ».
La principale préoccupation réside dans les vecteurs d’attaque ciblant spécifiquement les API, qui ont été clairement identifiés en 2023. En tête de liste, l’abus de logique métier, représentant plus de 27 % de toutes les violations d’API atténuées. Une tendance qui met en évidence la sophistication croissante des cyberattaques. Ces abus ciblent directement la logique et les flux de travail des API, « ce qui pose un défi considérable pour les outils de sécurité traditionnels en termes de détection et de mitigation », affirme le rapport.
Suivent les attaques automatisées, orchestrées par des bots malveillants, qui comptent pour 19 % de l’ensemble des attaques sur les API. Ces attaques automatisées, par leur nature rapide et efficace, mettent à rude épreuve la capacité des organisations à les détecter et à s’en défendre.
La banque/finance en ligne de mire des attaquants
Les attaques par exécution de code à distance (RCE) et inclusion de fichiers distants (RFI) sont également préoccupantes, en raison de leurs conséquences graves, notamment l’exécution de code arbitraire et l’exploitation de vulnérabilités côté serveur. Ces attaques peuvent contourner les mécanismes d’authentification et d’autorisation, ouvrant un accès non autorisé à des informations sensibles au sein de l’API. La fuite de données, quant à elle, demeure un vecteur d’attaque privilégié par les cybercriminels visant les API, permettant l’accès, l’exfiltration et la monétisation potentielle de données confidentielles.Les industries les plus vulnérables aux attaques d’API en 2023 ont été clairement identifiées. Le secteur bancaire et financier, représentant 32,5 % du trafic API, a été le plus ciblé, soulignant l’importance critique des mesures de sécurité API au sein de cette industrie. Le secteur des affaires, englobant diverses industries et comptant pour 16,9 % du trafic API, ainsi que le secteur du voyage, incluant les compagnies aériennes, les hôtels et les agences de voyages et représentant 11,2 % de toutes les attaques API, figurent également parmi les industries les plus exposées. Ces données soulignent l’urgence d’améliorer les mesures de sécurité API au sein de ces secteurs vulnérables afin de protéger les données sensibles, prévenir les accès non autorisés et atténuer les risques liés aux vulnérabilités des API.
La montée en puissance du trafic API en 2023 est un indicateur clair de la transformation numérique en cours, mais elle met également en évidence la nécessité d’une vigilance accrue et de mesures de sécurité robustes pour protéger contre les activités malveillantes. « Les vecteurs d’attaque identifiés et les industries vulnérables exposées dans ce contexte servent de rappel impératif pour les organisations de toutes tailles à prioriser la sécurité des API dans leur stratégie de cybersécurité », conseillent les rédacteurs de l’étude.