Avec une augmentation de 117 % des attaques d’API, contre 168 % du trafic normal des API, le rapport de Salt Security met en évidence la vulnérabilité continue des API utilisées en entreprise. Principale conséquence : des informations personnelles ou des données sensibles sont exposées dans 91 % des API exécutées au sein de sa base clients…

L’édition biannuelle du « State of API Security, T3 2022 » constate que le trafic des attaques API a doublé au cours des 12 derniers mois. Dans le même temps, 94 % des professionnels interrogés par ce spécialiste de la sécurité des API ont dû gérer des incidents de sécurité sur leurs interfaces de production au cours de l’année écoulée.

Pire, mal conçues, les API ne créent pas de valeur.

Parmi eux, 20 % déclarent avoir détecté une fuite de données résultant d’une faille de sécurité de leur API. Alors que le trafic malveillant parasite 2,1 % du trafic total des API, les attaques orchestrées contre ces dernières sont passées de 12,22 M d’appels malveillants mensuels à 26,46 M en moyenne au cours du mois de juin.

Parmi les clients de Salt, 44 % sont visés par 11 à 100 attaques par mois et 34 % par plus de 100 attaques. Chez 8 % d’entre eux, ce chiffre s’élève à plus de 1 000 attaques par mois.

Absence de stratégie de sécurité

Reposant également sur des données empiriques recueillies par la plateforme cloud de Salt Security, ce rapport souligne l’échec des solutions actuelles et des tactiques « shift-left » à protéger efficacement les API.

À l’heure où 61 % des sondés gèrent plus de 100 API, la mise au point d’une stratégie de sécurité probante est indispensable, d’autant plus que de nombreuses initiatives clés sont étroitement liées à l’exploitation des API, ce qui laisse aux entreprises peu de marge pour les retards de déploiement ou le rollback.

Malgré tout, plus de la moitié des sondés déclarent avoir retardé le déploiement d’une nouvelle application en raison de problèmes de sécurité liés aux API.

À la question de savoir lequel des six attributs des plateformes de sécurité API est « très important », 41 % des sondés citent d’abord la capacité à intercepter des attaques.

Jugée comme « très importante » par 40 % des sondés, la capacité à identifier les API exposant des informations personnellement identifiables (PII) ou des données sensibles arrivent en deuxième place.

À la troisième place, 39 % des sondés répondent par le respect de la conformité et des exigences réglementaires. Enfin, à la dernière place de la liste, seuls 22 % des sondés considèrent comme « très importante » la mise en place de pratiques shift-left.

Multiplication des incidents

Selon Salt, les pratiques shift-left n’assurent pas une protection efficace des entreprises et de leurs API. Parmi les approches privilégiées, 53 % des sondés choisissent la résolution des problèmes au cours du développement, tandis que 59 % recherchent les incidents API en phase de test.

Pour autant, 94 % d’entre eux rencontrent toujours des incidents, preuve que le trafic de production a besoin d’une protection renforcée. Autre chiffre de ce rapport : seuls 30 % des sondés affirment identifier et corriger les failles de sécurité des API en production ; un pourcentage bien faible compte tenu de l’importance de la protection des API déjà déployées au sein de l’environnement.

Parmi les participants a cette étude, la moitié a déclaré avoir dû ralentir le déploiement d’une nouvelle application en raison de problèmes de sécurité liés aux API.

En cause, une conception hasardeuse ou de mauvaises pratiques de sécurité, qui engendrent inévitablement des fuites de données personnelles sensibles. Les réponses à cette enquête soulignent d’ailleurs l’ampleur du défi à relever, puisque les sondés sont près d’un tiers à reconnaître avoir identifié une fuite de données sensibles ou un incident de confidentialité au sein de leur production API au cours de l’année écoulée.

API « zombies »

En matière de stratégie de sécurité des API, les sondés sont préoccupés en premier lieu par le manque d’investissement dans la sécurité en pré-production (20 %) et les failles de sécurité du runtime (18 %). Interrogés sur les risques de sécurité les plus urgents, 42 % des participants ont mis en cause les API « zombies », c’est-à-dire obsolètes.

L’usurpation de compte et l’exposition accidentelle d’informations sensibles arrivent à égalité à la deuxième place (15 % pour les deux), suivies par les API inconnues, également appelées API « shadow », dont le nombre est passé de 5 à 11 % en l’espace de six mois.

Comme dans les sondages précédents, les participants ont déclaré s’appuyer principalement sur des outils traditionnels pour gérer leurs API et se prémunir des attaques visant les applications.

Pour expliquer l’absence de mesures robustes, les principales raisons évoquées sont les contraintes budgétaires (24 %), le manque d’expertise (20 %) et de ressources (19 %) ainsi que le temps (11 %).

Mais une gouvernance adaptative permet aussi de gérer un large éventail de cas d’utilisation et de types d’API.