Les entreprises adoptent rapidement les API pour améliorer la connectivité et permettre la numérisation fluide de leurs services internes et ceux destinés à leurs clients et fournisseurs, mais elles sont confrontées à un défi de plus en plus grand pour gérer de manière sécurisée la prolifération des API.
Les défis liés à la sécurité des API sont devenus une préoccupation majeure pour la plupart des responsables de la sécurité, des DSI et des développeurs/ingénieurs applicatifs. Au cours des années écoulées, les entreprises sont passées d’un modèle basé sur les applications web au profit d’infrastructures basées sur les API, pour assurer une connectivité fluide et performante de leurs applications les plus critiques. Toutefois, les API non gérées et non sécurisées créent des vulnérabilités qui pourraient coûter des millions. Les chiffres du dernier rapport API Security Trends publié par Salt Security, le spécialiste de la sécurité des API, montrent que le nombre d’attaques sur les API a connu une augmentation spectaculaire.
Les données de la plateforme SaaS de Salt montrent que le trafic global généré par les API s’est accru de 321 %, mais qu’en même temps, le trafic malveillant a augmenté de 681 % entre 2020 et 2021. Les appels malveillants aux API ont fait un bond d’une moyenne mensuelle par client de 2,73 millions en décembre 2020 à 21,32 millions en décembre 2021. « Étant donné que tous nos clients disposent de WAF (Web application firewall [NDLR]) et que presque tous ont des passerelles API, ces attaques API passent outre ces contrôles de sécurité. L’année 2021 a prouvé que les API sont le vecteur d’attaque dominant des applications », affirme l’éditeur. Et la situation ne risque pas de s’améliorer de sitôt. D’après Gartner, d’ici 2025, moins de 50 % des API d’entreprise seront gérées, car la croissance explosive des API dépasse les capacités des outils de gestion des API.
BP Launchpad, un cas typique
Parmi les clients de Salt, BP Launchpad, l’accélérateur de startups de BP, est un cas d’école. L’entreprise est spécialisée dans l’accompagnement de jeunes pousses. Elle finance par du capital-développement un portefeuille de startups orientées énergies propres et met à leur disposition un certain nombre d’outils ainsi qu’une infrastructure technologique et des données pour les aider vers la maturation et favoriser leur croissance.
« La majorité des sociétés en portefeuille utilisent nos API à diverses fins : mieux cerner la performance des actifs énergétiques, collecter des données et construire leurs plateformes logicielles, affirme Tom Salmon, responsable de la cybersécurité, en charge de la responsabilité de la sécurité IT de Launchpad et de son portefeuille d’entreprises. Nous sommes parfaitement conscients de la menace croissante que représentent les erreurs de logique métier, les erreurs applicatives et les failles de type BOLA (Broken Object Level Authorization) ».
En effet, le domaine énergétique dans lequel interviennent les startups du portefeuille de Launchpad est critique pour le fonctionnement de l’économie. Il l’est encore plus depuis que les ressources se sont raréfiées, suite au conflit en Ukraine. Si un assaillant exploite une faille BOLA pour manipuler les requêtes des API et envoyer un signal non autorisé à un actif énergétique, l’impact humain et matériel peut être dévastateur.
Crée un référentiel des postures légitimes grâce à l’IA et le ML
Décidé à protéger ses actifs numériques, Launchpad s’est rapproché de Salt Security dont la plateforme exploite le big data, l’IA et le ML dans le cloud pour créer automatiquement un référentiel des comportements légitimes. Sur cette base, Salt Security est capable de repérer les usages « anormaux »essayant de manipuler un appel d’API, d’énumérer des comptes ou d’accéder frauduleusement aux données d’un autre compte. La solution est à même de repérer les comportements anormaux tels que le credential stuffing, les attaques par force brute ou les tentatives de scrapi.
Les technologies cognitives sont en outre utilisées pour disposer du contexte nécessaire à la découverte automatique de l’ensemble des API, et repérer celles qui exposent des données sensibles, détecter les attaques API élaborées en temps réel et fournir un bilan détaillé des actions correctrices dont s’inspireront les développeurs pour renforcer les API.
Une approche de gouvernance adaptative
La plateforme Salt peut ainsi débusquer les tactiques de reconnaissance utilisées par les pirates pour détailler les actions correctrices exploitables par les développeurs, et permettre de combler les failles de sécurité. Des informations qui participent à la formation des développeurs, en leur donnant les moyens d’améliorer en continu la sécurité des API créées et à venir. En effet, Salt Security assure l’analyse des API en préproduction afin de fournir des informations sur les actions correctrices que les sociétés en portefeuille de Launchpad peuvent partager avec les équipes de développement, et ainsi renforcer la sécurité de leurs API avant leur mise en production.
Ainsi, comme le soulignait Gartner dans son rapport Predict 2022 sur les API, les entreprises doivent améliorer leur posture de sécurité des API en développant une stratégie de sécurité pour la protection contre les menaces, les tests de sécurité des API et le contrôle d’accès, qui tire parti des nouvelles approches basées sur l’algorithmie cognitive et des solutions des fournisseurs. Il s’agit de gérer et gouverner toutes les API en investissant dans la découverte, le classement et la validation automatique, et en utilisant une approche de gouvernance adaptative, pour gérer un large éventail de cas d’utilisation et de types d’API. Le cabinet de conseil préconise une gestion active de l’utilisation des API, internes et celles de fournisseurs tiers, pour améliorer la résilience de l’infrastructure applicative.