Une étude de 2024 de Cloudflare, acteur américain majeur des réseaux sur Internet, dresse un tableau clair du paysage des menaces sur les applications. Un défaut de protection de ces dernières ouvre le SI des entreprises à des attaques susceptibles d’entraîner des pertes financières conséquentes et la paralysie temporaire d'infrastructures critiques. Le secteur d’activité le plus menacé par les bots malveillants reste l'industrie manufacturière avec 68,5 % de l'ensemble du trafic sur les sites web provenant de bots.
Les attaques déni de service distribué (DDoS) contre les applications web sont en tête de liste des moyens utilisés par les groupes de pirates. Selon Cloudflare, elles représentent 37,1 % de l'ensemble du trafic de la couche applicative opéré par Cloudflare. Un tiers
(31,2 %) de l'ensemble du trafic Internet provient de bots, dont la majorité (93 %) ne sont pas vérifiés et restent potentiellement malveillants.
Comme indiqué ci-dessous, les principales industries victimes d'attaques DDoS de la couche application du modèle OSI en pourcentage de l'ensemble du trafic Internet, sont le jeu et les paris en tous genres, suivis par l’IT et le reste des services Internet.
L’étude de Cloudflare alerte sur la rapidité de la tentative d'exploitation d'une nouvelle vulnérabilité zero-day publiée. Ainsi, une CVE a été visée seulement 22 minutes après sa publication, ce qui situe le niveau élevé de risques dans ce domaine.
Les codes tiers, source de risques
La trop grande confiance dans les codes tiers auxquels les développeurs font appel est également une cause potentielle de risque. Les entreprises utilisent en moyenne47,1 scripts tiers en moyenne - et leurs applications web génèrent en moyenne
49,6 connexions sortantes vers des ressources tierces.
Selon la Linux Foundation, les logiciels libres constituent 70 à 90 % des solutions logicielles actuelles. Une étude de Lineaje montre qu’une application typique utilise environ 70 % d’open source, le reste étant du code propriétaire. Certaines applications s’appuient quasi exclusivement sur de l’open source provenant des sociétés de sous-traitance logicielle.
Il importe donc de vérifier les vulnérabilités potentielles de ce type de code.
Cloudflare signale que les règles par défaut des pare-feu applicatifs web (WAF) sont le plus souvent utilisées pour protéger le trafic des API. Une telle approche ne suffit pas d’évidence à protéger le SI contre les menaces liées aux API.
Les risques liés au consentement aux cookies ne sont pas négligeables. Les sites web des entreprises utilisent en moyenne de 11,5 cookies http et une médiane de 5 cookies. Ces cookies http peuvent exposer les utilisateurs finaux à des risques d'atteinte à la vie privée, à la sécurité et à la conformité réglementaire. La dépendance aux scripts et aux cookies tiers expose aussi à des attaques de la chaîne d'approvisionnement logicielle.
