Les API (Application Programming Interfaces) seraient-elles le point faible de la cybersécurité ? C’est probable si l’on en croit les résultats d’une étude publiée par Salt Security : 94 % des entreprises ont dû gérer des incidents de sécurité sur leurs API de production au cours de l’année écoulée. Parmi eux, 20 % déclarent avoir détecté une fuite de données résultant d’une faille de sécurité de leur API. Rappelons qu’une API est un ensemble de fonctions et de procédures qui permettent la création d’applications accédant aux données et fonctionnalités d’autres applications, services ou systèmes d’exploitation
Le rapport indique en outre que le trafic des attaques API a doublé au cours des douze derniers mois. Un exemple : les données de 11,2 millions de clients l’opérateur de télécoms australien Optus ont été piratées en profitant d’un défaut d’authentification dans des API.
« Il est essentiel de disposer d’une visibilité complète des surfaces d’attaques, en particulier ce que font les API et quelles données elles gèrent. Hélas, le plus souvent, les entreprises ne savent pas combien d’API elles gèrent », recommande Elimane Prud’Hom, directeur commercial de Salt Security. Sans oublier les « API zombies », c’est-à-dire obsolètes. C’est la première crainte des entreprises, devant l’usurpation de compte, l’exposition accidentelle d’informations sensible et les API « Shadow », qui sont inconnues.
Pour Alessandro Chimera, directeur de la stratégie de numérisation chez Tibco, « en 2022, les API sont devenues la cible principale des pirates informatiques qui cherchent à perturber les chaînes d’approvisionnement et à voler des données ou à obtenir des rançons. L’absence de stratégie en matière d’API en est une des principales raisons. En 2023, les entreprises devront s’attaquer à ces problèmes en se dotant d’équipes dédiées aux API, non seulement à des fins de sécurité, mais aussi parce que les API sont devenues des éléments clés au sein des logiciels, permettant aux développeurs de se débarrasser de tâches sans intérêt comme l’installation et la mise à jour d’applications, ou de créer de nouvelles façons pour les entreprises de monétiser leurs données. »
Les métiers adorent les API
C’est d’autant plus important que les métiers sont très proactifs, par exemple pour accélérer leur transformation digitale et le « Time to Market », ce qui conduit à créer de nombreuses API qu’il faut maîtriser et sécuriser, avec une vue à 360°. « Chaque API a une logique métier, mais cela reste une boîte noire », ajoute Elimane Prud’Hom, qui rappelle que 80 % du trafic Web mondial est généré par des API. Le fait que les API sont souvent spécifiques aux entreprises qui les développent contribue à complexifier la sécurisation.
Et il ne faut jamais oublier les cinq postulats de la cybersécurité :
– Tout système automatisé comporte au moins une faille.
– Chaque faille est susceptible d’être découverte.
– Si une faille est susceptible d’être découverte, elle le sera.
– Quiconque accès à cette faille sera tenté de l’utiliser à son profit.
– Si les risques sont faibles, cette faille sera exploitée.
« A l’heure où six entreprises sur dix gèrent plus de 100 API et où des informations personnelles ou des données sensibles sont exposées dans 91 % des API, la mise au point d’une stratégie de sécurité probante est indispensable, d’autant plus que de nombreuses initiatives clés sont étroitement liées à l’exploitation des API, ce qui laisse aux entreprises peu de marge pour les retards de déploiement ou le rollback », précise Elimane Prud’Hom.
Les trois temps d’une stratégie de sécurisation des API
Une stratégie de sécurisation des API peut reposer sur trois principes. D’abord, à court terme, il faut cartographier et identifier les dépendances. C’est souvent lors de cette étape que les managers sont surpris du nombre d’API dans leurs organisation, de leurs dépendances croisées, internes et externes. Certes, les RSSI sont sensibilisés à ces aspects mais c’est plus rarement le cas pour les métiers et les directions générales.
Ensuite, à moyen terme, il convient de sécuriser (combler toutes les failles) et de maîtriser la prolifération des API. En soi, cette multiplication ne pose pas de problème car elles correspondent souvent à des besoins métiers qui ne peuvent être satisfaits rapidement qu’avec des API. C’est la perte de maîtrise qui pose problème…
Enfin, à plus long terme, il faut privilégier l’amélioration continue et la gouvernance des API. Cela suppose que soir définie une vraie stratégie dans ce domaine, pas seulement au niveau des RSSI, mais de toutes les parties prenantes. Et il reste du chemin à parcourir : selon l’étude Salt Security, seulement 9 % des entreprises ont mis en œuvre une stratégie avancée de sécurisation du développement de leurs API.
Pour en savoir plus :
Comment sécuriser les API : https://digitalonomics.fr/comment-securiser-les-api/
Quelle stratégie de gestion des API : https://digitalonomics.fr/quelle-strategie-de-gestion-des-api/
Des API pour nourrir l’innovation : https://digitalonomics.fr/des-api-pour-nourrir-linnovation/
Sur l’affaire Optus : https://securityboulevard.com/2022/10/optus-data-breach-why-vulnerable-apis-are-to-blame/