L’insécurité des API est responsable de 4,1 % à 7,5 % des incidents de cybersécurité, selon une nouvelle étude.

L’étude, menée par le Marsh McLennan Cyber ​​Risk Analytics Center et basée sur une analyse de près de 117 000 incidents de cybersécurité uniques, a révélé que les grandes organisations étaient statistiquement plus susceptibles d’avoir une plus grande prépondérance d’incidents liés aux API.

Les grandes entreprises étaient trois à quatre fois plus susceptibles d’être confrontées à l’insécurité des API que les petites ou moyennes entreprises.

L’accélération du rythme de la transformation numérique et du développement commercial expose davantage les grandes entreprises aux API exposées ou non protégées, selon Imperva, le fournisseur de cybersécurité qui parraine la recherche.

Les API (interfaces de programmation d’applications) sont une classe de technologie logicielle qui offre un pont permettant aux applications d’accéder aux données ou de se connecter à des composants logiciels externes, des systèmes d’exploitation ou des microservices.

De nombreuses API se connectent directement aux bases de données principales où les données sensibles sont stockées, une fonctionnalité à laquelle les attaquants se sont accrochés, ce qui a entraîné une augmentation des attaques ciblant ce qui est devenu la pierre angulaire des services en ligne modernes.

Les API permettent des attaques dommageables, des attaques DDoS mettant un service hors service aux attaques de manipulateur au milieu pour intercepter, voler et modifier ou rediriger les communications, en passant par l’injection de code malveillant, la prise de contrôle de services ou de comptes, ou simplement le vol du de vastes bases de données auxquelles de nombreuses API se connectent.

« Jusqu’à un cyberincident sur 13 peut être attribué à l’insécurité des API », selon Imperva. « Alors que le nombre d’API en production se multiplie, ce chiffre devrait augmenter dans les années à venir. »

Augmenter

Imperva a déclaré au Daily Swig que les grandes organisations sont particulièrement exposées au problème car elles ont « plus d’API et une visibilité limitée laisse un plus grand nombre d’API vulnérables ».

Lebin Cheng, vice-président de la sécurité des API chez Imperva, a commenté : « Les risques de sécurité croissants associés aux API sont en corrélation avec la prolifération des API, combinée au manque de visibilité des organisations sur ces écosystèmes. Dans le même temps, comme chaque API est unique, chaque incident aura un schéma d’attaque différent. Une approche traditionnelle de la sécurité où un simple correctif corrige toutes les vulnérabilités ne fonctionne pas avec les API. »

Cheng a ajouté : « La prolifération des API, combinée au manque de visibilité sur ces écosystèmes, crée des opportunités de fuites de données massives et coûteuses ».

Courir les chiffres

L’étude d’Imperva a révélé une grande disparité dans la mesure dans laquelle les différentes industries sont exposées aux problèmes liés à la sécurité des API.

Par exemple, dans le secteur des technologies de l’information, le pourcentage estimé d’incidents causés par l’insécurité des API se situait entre 18 % et 23 %.

Selon le même indicateur, les services professionnels étaient également fortement exposés aux problèmes liés aux API (10 % à 15 %) tandis que la fabrication, le transport et les services publics (tous 4 à 6 %) se situent tous dans la moyenne. Les secteurs tels que la santé comptent moins de 1 % des incidents de sécurité attribuables à des problèmes de sécurité liés aux API.

De nombreuses organisations ne parviennent pas à protéger leurs API car cela nécessite une participation égale des équipes de sécurité et de développement, qui ont toujours été quelque peu en désaccord.

Cheng a déclaré au Daily Swig : « Les développeurs évoluent rapidement et modifient constamment les API, ce qui rend presque impossible pour les équipes de sécurité de suivre le rythme. Cela signifie que beaucoup ont renoncé à s’appuyer sur des outils inefficaces parce qu’ils espèrent qu’une approche standardisée peut minimiser les menaces.

« Cependant, ces défenses ne sont pas équipées pour arrêter les attaques sophistiquées liées aux API ciblant les vulnérabilités de la logique métier. »

« Les API sont créées et gérées par l’équipe de développement, souvent en dehors de la compétence de l’équipe de sécurité. Pour compliquer les choses, chaque API est conçue pour les besoins d’une application spécifique », ont-ils conclu.

Le rapport commandé par Imperva, intitulé Quantifier le coût de l’insécurité des API, conclut avec des conseils pour maîtriser le problème. Cela inclut l’identification et la classification des données circulant dans chaque API, l’automatisation de la découverte des API et l’activation d’un modèle de gouvernance des API.