L’insécurité des API est responsable de 4,1 à 7,5 % des cyber-événements et des pertes au niveau mondial
Les API vulnérables coûtent aux entreprises jusqu'à 75 milliards de dollars par an. Les API sont le système nerveux central des applications modernes, transportant des informations et des données critiques d'une partie de l'application à une autre application.
À mesure que les entreprises évoluent vers des architectures d’applications modernes, ils réalisent rapidement que les interfaces de programmation d’applications (API) sont l’épine dorsale des intégrations de données d’entreprise et la base du cycle de vie du développement. À première vue, les API sont un aspect hautement technique de l’infrastructure informatique sous-jacente d’une entreprise. Mais ils s’avèrent essentiels pour accélérer le retour sur investissement de l’entreprise en améliorant l’expérience des développeurs. Lorsque les organisations créent une culture de développement logiciel qui optimise l’expérience des développeurs, les équipes peuvent consacrer moins de temps aux processus internes et plus de temps à créer quelque chose de significatif pour leurs clients.
API-first
Les développeurs passent plus de temps que jamais avec les API. En fait, le rapport State of the API 2021 de Postman a révélé que 49 % des personnes interrogées ont déclaré que plus de la moitié des efforts de développement de l’organisation étaient consacrés aux API, contre un peu plus de 40 % l’année dernière. C’est pourquoi il est plus important que jamais d’établir une stratégie d’API interne qui aide les équipes à fonctionner plus efficacement et à répondre rapidement aux besoins de l’entreprise. API-first est un modèle de développement logiciel dans lequel les applications sont conceptualisées et construites comme une interconnexion de services internes et externes via des API. Les développeurs d’applications ne veulent pas être freinés lors de l’intégration de nouvelles API. Il est donc impératif de disposer d’un modèle de découverte et d’autorisation en libre-service. La plupart des développeurs savent qu’il est important de créer des logiciels sécurisés, mais ne savent pas toujours quelles sont les meilleures pratiques à suivre ou les outils à utiliser. En fin de compte, ils veulent expédier des logiciels rapidement et facilement.
Une stratégie axée sur l’API peut aider à fournir une connectivité et une collaboration plus implicites. En outre, la mise en œuvre de cette stratégie permet aux développeurs d’accéder en « libre-service » aux actifs technologiques qui les aident à créer et à déployer du code plus rapidement, et à offrir des expériences innovantes aux utilisateurs finaux.
Cybersecurité
Imperva publie « Quantifying the Cost of API Insecurity« , une nouvelle étude qui révèle les coûts mondiaux croissants des API vulnérables ou non sécurisées. L’analyse de près de 117 000 incidents de cybersécurité uniques estime que l’insécurité des API entraîne des pertes de 41 à 75 milliards USD par an. Elle révéle que les grandes entreprises étaient statistiquement plus susceptibles de connaître un pourcentage plus élevé d’incidents liés aux API. Ces entreprises dont le chiffre d’affaires s’élève à au moins 100 milliards USD sont 3 à 4 fois plus susceptibles d’être confrontées à l’insécurité des API que les petites et moyennes entreprises car elles sont plus matures et accélèrent leur transformation numérique.
Une API est le tissu conjonctif invisible qui permet aux applications de partager des données pour améliorer les expériences et les résultats des utilisateurs finaux. Le volume d’API utilisées par les entreprises augmente rapidement ; près de la moitié des entreprises ont entre 50 et 500 API déployées, en interne ou publiquement, tandis que certaines ont plus de mille API actives. De nombreuses API se connectent directement à des bases de données dorsales où sont stockées des données sensibles. Par conséquent, les pirates ciblent de plus en plus les API comme voie d’accès à l’infrastructure sous-jacente afin d’exfiltrer des informations sensibles. Aujourd’hui, pas moins d’un cyber incident sur 13 peut être attribué à l’insécurité des API. Comme le nombre d’API en production se multiplie, ce chiffre devrait augmenter dans les années à venir.
L’augmentation des coûts associés à l’insécurité des API est en corrélation avec la réalité : de nombreuses organisations n’ont tout simplement pas les bons outils en place pour surveiller et protéger leurs écosystèmes d’API et même si les organisations pensent avoir mis en place les bonnes défenses, elles ne protègent pas les données sous-jacentes qui sont en définitive la cible des cybercriminels. Relever les défis de la sécurité des API nécessite une approche qui va au-delà du point d’extrémité et se concentre sur la découverte de chaque API et la classification des données qui y transitent. Tous ces facteurs peuvent accroître à la fois le volume des API utilisées et la quantité de données qui y transitent, ce qui augmente les risques d’un événement lié aux API. Cette approche nécessite une relation de travail mutuelle entre les opérations de sécurité et les développeurs, en utilisant des outils faciles à utiliser et pouvant être intégrés dans le cycle de vie du développement.
La France présente un taux d’incidents relativement élevé, avec entre 11,3 et 11.97 % des événements de cyber-sécurité liés à l’insécurité des API. Cela s’explique probablement par le fait que les entreprises de France sont généralement plus innovantes et plus matures sur le plan numérique, avec des chaînes d’approvisionnement logicielles complexes.
L’étude a également révélé des disparités importantes entre les secteurs d’activité. L’informatique, les services professionnels et le commerce de détail sont les plus susceptibles de subir des incidents de sécurité liés aux API :
Recommandations pour améliorer la sécurité des API :
- Identifier et classer les données qui transitent par chaque API : La visibilité est cruciale pour comprendre le schéma complet de chaque API, identifier et classer les données qui y transitent et enfin évaluer les risques.
- Automatiser la découverte : Les API sont produites rapidement et souvent modifiées, ce qui en fait un angle mort pour de nombreuses organisations. Grâce à l’automatisation, les organisations peuvent éliminer les API malveillantes ou fantômes. De plus, en automatisant l’inventaire des API, l’équipe de sécurité aura une visibilité sur le moment où les développeurs modifient les API en production.
- Activez la gouvernance des API : Pour les organisations des secteurs hautement réglementés, un modèle de gouvernance des API est crucial. Cela n’est possible qu’avec une visibilité qui s’étend au-delà du point d’extrémité de l’API et dans la charge utile sous-jacente, afin que les données sensibles puissent être protégées de manière adéquate.