Selon un rapport d’Imperva, filiale de Thalès, les failles de sécurité des API et les bots seraient à l’origine de 11,8 % des incidents de sécurité dans le monde.
Les attaques liées aux bots étaient en hausse de 28 % en 2023 par rapport  à 2022. Quant aux API non sécurisées, elles ont entraîné jusqu’à 12 milliards de dollars
de pertes depuis 2021.

Deux des menaces les plus pénalisantes pour les organisations, bots et vulnérabilités d’API, ont été passées au crible par Imperva sous l’angle de leurs impacts financiers. Un coût qui pourrait atteindre jusqu’à 186 milliards de dollars par an.

Les entreprises les plus exposées sont celles dont le chiffre d’affaires dépasse 1 milliard de dollars. Elles seraient 2 à 3 fois plus exposées aux attaques automatisées d’API par des bots que les petites et moyennes entreprises. L’étude suggère que les grandes entreprises sont particulièrement vulnérables à ce type d’attaques en raison de la complexité et du nombre élevé d’API utilisées. Autant de portes d’entrée exposées ou mal sécurisées. Selon Imperva, en moyenne, une entreprise gérait en 2023, 613 points de terminaison d’API en production. Une forte augmentation due, notamment, à l’obligation de fournir des applications et services performants. Cette richesse de l’écosystème des API est une aubaine pour les pirates.

Le graphique ci-dessous montre la prévalence des attaques d'API en fonction des tranches de chiffre d'affaires par entreprise.

Source : Imperva

Du côté des organisations de taille moyenne (CA entre 500 millions et 100 milliards de dollars), les incidents liés à l'API représentent 8 à 12 % de tous les incidents. Un risque qui est plus faible pour les petites entreprises. Quant aux entreprises dont le chiffre d'affaires est inférieur à 500 millions de dollars, elles signalent moins d'incidents liés aux API, soit 4 à 5 % de l'ensemble des attaques. Cela s’explique par le fait qu’elles disposent d'un nombre moins important d'API ou/et que leurs données sont moins sensibles.

Les bots ont un fort pouvoir de nuisance pour les entreprises

Commercialisés sur le darknet comme n’importe quel autre service à l’usage de pirates peu qualifiés et croisés aujourd’hui avec l’IA Générative, les outils d’attaque sont de plus en plus sophistiqués. Imperva évalue à 116 milliards de dollars de pertes annuelles dues aux bots mais ce chiffre, qui représente le haut d’une fourchette, reste à confirmer
par d’autres études.

Au plan mondial, le Brésil paie le tribut le plus élevé pour les incidents liés à des API non sécurisées ou aux attaques de bots. Des menaces représentant jusqu’à 32 % de tous les incidents de sécurité observés. La France n’est pas épargnée avec 28% des menaces effectives dans ce domaine. Suivent de près, le Japon (28 %) et l’Inde (26 %).
Aux Etats-Unis, le débours financier annuel lié aux failles d’API aux États-Unis est estimé entre 9,3 et 23,5 milliards de dollars. Dans ce pays, les pertes liées aux bots sont plus élevées avec des pertes qu’Imperva évalue entre 18 et 31 milliards de dollars.

Face aux menaces des bots et celles, de plus en plus sophistiquées visant les API mal protégées, il est essentiel de mettre en place des mesures de sécurité préventives. Une course permanente entre attaquants et victimes potentielles.