Les API sont devenues un élément essentiel du développement de logiciels modernes, permettant de créer des écosystèmes applicatifs, d’intégrer des services tiers et de rationaliser leurs opérations. Pourtant, les équipes de cybersécurité s’appuient encore sur des défenses insuffisantes.

Les API sont devenues de véritables piliers de l’infrastructure applicative des entreprises modernes, formant un réseau d’échanges qui reproduisent les flux d’information et les échanges transactionnels du monde tel qu’il fonctionne au 21ème siècle. La plateformisation de l’économie des biens et des services et aussi de l’information basée sur la donnée, l’émergence des Superapps, ces applications portails de services, les besoins d’intégration en écosystèmes pour répondre aux usages en évolution, ont contribué à la généralisation des API. Il s’agit de pouvoir interagir avec d’autres systèmes et logiciels, d’échanger des données ou de fournir des services aux clients.

De même, l’essor des architectures microservices a entraîné la prolifération des API, chaque microservice exposant sa propre API. Cette tendance a conduit au développement de passerelles API et de plateformes de gestion qui aident les entreprises à les gérer et à garantir leur sécurité et leurs performances. Les API sont en outre devenues un des éléments de l’agilité des entreprises, qui mettent en œuvre des stratégies pour gérer leurs API afin de répondre rapidement à l’évolution des besoins des clients. C’est le principal facteur qui devrait stimuler la croissance du marché mondial de la gestion des API, selon AlliedMarket Research.  

De nouvelles approches pour surprendre les défenseurs

D’après le cabinet d’étude, le marché mondial de la gestion des API, qui était évalué à 2,2 milliards de dollars en 2021, devrait atteindre 41,5 milliards de dollars d’ici 2031, avec un taux de croissance annuel moyen de 34,5 % entre 2022 et 2031.Seulement, avec la complexité grandissante et du fait que l’enchevêtrement des API forme un réseau mondial, leur sécurité est devenue cruciale pour les entreprises. Celles-ci peuvent être vulnérables aux menaces telles que les violations de données, les attaques par déni de service ou les accès non autorisés.

La cinquième édition de l’étude de Salt Security portant sur le T1 2023 rapporte que les cyberattaquants ont flairé le potentiel : les chercheurs ont noté une augmentation de
400 % de cybercriminels uniques par rapport à la même période il y a six mois. Et ils ne sont pas à court d’idées pour trouver de nouvelles approches pour surprendre les défenseurs. Ils comptent pour cela sur les idées reçues, car, dans bien des entreprises, les équipes de sécurité pensent que l’authentification pour interagir avec une API est suffisamment dissuasive. Toutefois, les données de Salt Labs montrent que 78 % des attaques proviennent d’utilisateurs en apparence légitimes, mais qui se révèlent être des cybercriminels étant parvenus à s’authentifier de manière malveillante. L’étude note en outre que, bien qu’étant censées être protégées efficacement, les API internes sont la cible de 8 % des attaques répertoriées.  

La sécurité des API est désormais abordée au niveau de la direction

C’est pour ces raisons que la sécurisation des API est devenue un enjeu décisif pour les répondants, comme le laissent supposer les retards dans le déploiement des applications, la sensibilisation accrue aux failles de sécurité des API et le manque de confiance dans les stratégies de sécurisation des API en place. Une majorité d’entre eux (59 %) indique avoir subi des retards dans le déploiement d’applications en raison de problèmes de sécurité identifiés au niveau des API. Les problèmes de déploiement des applications entraînent inévitablement des perturbations dans les activités, ce qui déclenche des alarmes à tous les niveaux.

Il n’est donc pas surprenant que 48 % des personnes interrogées déclarent que la sécurité des API est désormais un aspect abordé au niveau de la direction. Les répondants ont indiqué par ailleurs que les vulnérabilités constituaient l’un des principaux problèmes de sécurité rencontrés avec les API de production. Alors que 41 % d’entre eux ont déclaré avoir été confrontés à de telles vulnérabilités des API, l’étude de Salt Labs suggère que ce chiffre est grandement sous-estimé. Dans 90 % des enquêtes, Salt Labs identifie des vulnérabilités en matière de sécurité des API, dont 50 % sont considérées comme critiques.  

Les défenseurs s’appuient sur des approches traditionnelles

Malgré les défis posés par les API, les chercheurs de Salt Security ont noté que les pratiques en matière de sécurité des API évoluent très lentement. Les répondants s’appuient largement sur des approches traditionnelles de la sécurité des API, telles que les WAF (Web Application Firewall), les passerelles API et l’analyse des fichiers journaux. Pourtant, seulement 23 % d’entre eux estiment que ces méthodes sont efficaces pour arrêter les assaillants. Résultat, seulement 12 % des répondants estiment que leurs programmes de sécurité des API sont avancés, tandis que 30 % déclarent qu’ils sont inexistants ou en cours de planification.

Outre les difficultés pour répertorier et gérer les API, l’absence ou l’insuffisance de mesures de sécurité appropriées et de bonnes pratiques rend les API vulnérables aux cyberattaques. Les entreprises devraient mettre en œuvre des mesures de sécurité multicouches telles que l’authentification et l’autorisation, la validation des entrées, le chiffrement, la limitation du débit, la journalisation et l’observabilité afin de protéger leurs API contre les menaces.