Un nouveau rapport Cloudflare montre que les entreprises ont du mal à identifier et à gérer les risques liés à la cybersécurité de leurs API
Un nouveau rapport Cloudflare montre que les entreprises ont du mal à identifier et à gérer les risques liés à la cybersécurité de leurs API
Les statistiques révèlent que si les API sont à l'origine de la majorité du trafic Internet, ces dernières demeurent en grande partie non sécurisées
Les statistiques révèlent que si les API sont à l'origine de la majorité du trafic Internet, ces dernières demeurent en grande partie non sécurisées
Paris, 9 janvier 2024 — Cloudflare, Inc. (NYSE : NET), le leader dans le domaine de la connectivité cloud, publie son premier rapport consacré à la gestion et à la sécurité des API. Les conclusions de ce dernier démontrent que les entreprises tirent plus que jamais parti des API, une technologie qui sous-tend l'ensemble des applications et des sites les plus utilisés aujourd'hui. Or, cette surexploitation ouvre la porte à un nombre toujours plus important de menaces en ligne. Le rapport souligne l'écart entre l'utilisation des API par les entreprises et la capacité de celles-ci à sécuriser les données auxquelles les API accèdent.
Les API sont au cœur de l'univers numérique. Téléphones, montres connectées, systèmes bancaires et sites d'achat, toutes ces applications se reposent sur les API pour communiquer. Ces dernières peuvent aider les sites d'e-commerce à accepter les paiements, permettre aux systèmes médicaux de partager les données de leurs patients de manière sécurisée, voire permettre aux taxis et aux services de transport en commun d'accéder en temps réel aux données de circulation. Toutes les entreprises d'aujourd'hui ou presque s'en servent pour développer des sites, des applications et des services de meilleure qualité et mieux les proposer à leurs clients. Malheureusement, les API non gérées ou non sécurisées représentent une mine d'or pour les acteurs malveillants à la recherche d'informations potentiellement sensibles.
« Les API occupent une position centrale dans la manière dont les applications et les sites web fonctionnent. Elles constituent donc une cible privilégiée et relativement récente pour les pirates », explique Matthew Prince, CEO et cofondateur de Cloudflare. « Il est essentiel que les entreprises identifient et protègent l'ensemble de leurs API afin d'empêcher les violations de données et de sécuriser leur activité. »
Quelques conclusions essentielles du rapport Cloudflare 2024 consacré à la gestion et à la sécurité des API :
- Même les secteurs les plus improbables connaissent des pics élevés de trafic lié aux API : l'intégration fluide proposée par ces dernières a poussé les entreprises de tous les secteurs à en tirer davantage parti, certaines plus rapidement que d'autres. Les secteurs de l'IdO, des trains, bus et taxis, des services juridiques, des jeux et du multimédia, ainsi que ceux de la logistique et de l'approvisionnement, détiennent la plus grande part de trafic lié aux API en 2023.
- Le trafic lié aux API est à l'origine de la majorité du trafic Internet : les API dominent le trafic Internet dynamique autour du monde (57 %) et chaque région protégée par Cloudflare a observé une augmentation de leur utilisation au cours de l'année dernière. L'Afrique et l'Asie sont toutefois les premières régions à avoir massivement adopté les API et à constater la part de trafic la plus élevée en 2023.
- Les API font face à un large éventail de menaces fréquentes et en augmentation constante : comme pour n'importe quelle fonction stratégique populaire hébergeant des données sensibles, les acteurs malveillants tentent d'exploiter tous les moyens nécessaires pour accéder à ces dernières. L'essor des API en termes de popularité a également entraîné une hausse du volume des attaques, les attaques par anomalie HTTP, par injection et par inclusion de fichiers étant les trois types d'attaques les plus couramment utilisés et atténués par Cloudflare.
- Les API « fantômes » constituent un moyen d'accès non sécurisé pour les acteurs malveillants : les entreprises ont du mal à protéger ce qu'elles ne peuvent pas voir. Près de 31 % de points de terminaison d'API REST (l'endroit où une API se connecte aux logiciels) supplémentaires ont été identifiés grâce au Machine Learning (apprentissage automatique) plutôt que par l'intermédiaire d'identifiants fournis par les clients. En résumé, les entreprises ne disposent pas d'un inventaire complet de leurs API à l'heure actuelle.
- Les solutions d'atténuation des attaques DDoS sont l'un des outils les plus efficaces pour protéger les API : que les entreprises disposent d'une visibilité totale sur l'ensemble de leurs API ou non, les solutions d'atténuation des attaques DDoS peuvent les aider à bloquer les menaces potentielles. Un tiers (33 %) des mesures d'atténuation des menaces liées aux API ont été appliquées par des services de protection contre les attaques DDoS déjà en place.
« Les API sont des outils puissants permettant aux développeurs de créer des applications complexes et complètes afin de servir leurs clients, leurs partenaires et leurs collaborateurs, mais chaque API constitue une surface d'attaque potentielle devant être sécurisée », précise Melinda Marks, Practice Director, Cybersecurity chez Enterprise Strategy Group. « Comme le montre ce nouveau rapport, les entreprises ont besoin d'outils plus efficaces pour traiter la sécurité des API, comme une meilleure visibilité sur les API, des ressources permettant d'assurer l'authentification et l'autorisation entre les connexions, ainsi que de meilleurs moyens de protéger leurs applications contre les attaques. »
Méthodologie du rapport : les conclusions de ce rapport, notamment les statistiques mentionnées ci-dessus, se basent sur les schémas de trafic observés par le réseau mondial de Cloudflare (notamment les services de pare-feu d'applications web, de protection contre les attaques DDoS, de gestion des bots et de passerelle d'API proposés par Cloudflare) entre le 1er octobre 2022 et le 31 août 2023. Pour le trimestre qui a pris fin le 30 septembre 2023, Cloudflare a traité plus de 50 millions de requêtes HTTP par seconde en moyenne et bloqué quotidiennement 170 milliards de cybermenaces (là encore en moyenne).
Pour en savoir plus, n'hésitez pas à consulter les ressources suivantes :
- Rapport 2024 consacré à la gestion et à la sécurité des API
- Blog : Découvrez le rapport Cloudflare 2024 consacré à la gestion et à la sécurité des API
- Cloudflare API Security
- Qu'est-ce que la sécurité des API ?
À propos de Cloudflare
Cloudflare, Inc. (NYSE : NET) est le leader dans le domaine de la connectivité cloud. Elle permet à ses clients de rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. La solution de connectivité cloud de Cloudflare propose la plateforme unifiée la plus complète en matière de produits et d'outils de développement cloud-native, permettant à toutes les entreprises d'accéder au contrôle dont elles ont besoin pour travailler, développer et accélérer leur activité.
Reposant sur l'un des réseaux les plus vastes et les plus interconnectés du monde, Cloudflare bloque chaque jour des milliards de menaces en ligne pour le compte de ses clients. Des millions d'entreprises et d'organisations nous font confiance, des plus grandes marques aux entrepreneurs individuels et aux PME, en passant par les organismes à but non lucratif, les groupes d'assistance humanitaire et les administrations du monde entier.
Pour en apprendre davantage sur la solution de connectivité cloud de Cloudflare, rendez-vous sur cloudflare.com/connectivity-cloud. Pour découvrir les nouvelles tendances et informations concernant Internet, rendez-vous sur https://radar.cloudflare.com.
Suivez-nous sur : Notre blog | X | LinkedIn | Facebook | Instagram
Déclarations prospectives
Le présent communiqué de presse contient des déclarations prospectives au sens de la section 27A de la loi Securities Act de 1933, dans sa version modifiée, et de la section 21E de la loi Securities Exchange Act de 1934, dans sa version modifiée, lesquelles déclarations comportent des incertitudes et risques substantiels. Dans certains cas, les déclarations prospectives peuvent être identifiées par la présence de mots tels que « peut », « sera », « devrait », « s'attend à », « étudie », « planifie », « prévoit », « pourrait », « a l'intention de », « vise », « projette », « envisage », « considère », « estime », « prédit », « potentiel » ou « continue » ou de la forme négative de ces mots ou d'autres termes ou expressions similaires concernant les attentes, la stratégie, les plans ou les intentions de Cloudflare. Toutes les déclarations prospectives ne contiennent cependant pas les termes identificateurs suscités. Les déclarations prospectives exprimées ou sous-entendues dans le présent communiqué de presse comprennent, sans s'y limiter, les déclarations à l'égard des produits et des technologies de Cloudflare, le développement technologique, les opérations, la croissance, les initiatives ou les stratégies futures de Cloudflare, les futures tendances du marché, de même que les commentaires formulés par le CEO de Cloudflare. Les résultats réels peuvent différer sensiblement des résultats énoncés ou sous-entendus dans les déclarations prospectives en raison d'un certain nombre de facteurs, notamment, sans s'y limiter, les risques détaillés dans les documents déposés par Cloudflare auprès de la Securities and Exchange Commission (SEC), comme notre rapport annuel sur formulaire 10-Q déposé le 2 novembre 2023, ainsi que d'autres documents susceptibles d'être déposés ponctuellement par Cloudflare auprès de la SEC.
Les déclarations prospectives effectuées dans le présent communiqué de presse concernent uniquement les événements survenus à la date à laquelle sont effectuées lesdites déclarations. Cloudflare ne s'engage aucunement à mettre à jour les déclarations prospectives contenues dans le présent communiqué de presse afin de refléter des événements ou des circonstances postérieurs à la date du présent communiqué de presse ou de refléter de nouvelles informations ou la survenue d'événements imprévus, sauf dans les cas prévus par la loi. Cloudflare peut ne pas parvenir à concrétiser réellement les plans, intentions ou attentes divulgués dans ses déclarations prospectives et le lecteur ne devrait donc pas se fier indûment à ces déclarations.
© 2024 Cloudflare, Inc. Tous droits réservés. Cloudflare, le logo Cloudflare et les autres marques Cloudflare sont des marques commerciales et/ou des marques déposées de Cloudflare, Inc. aux États-Unis et dans d'autres juridictions. Tous les autres noms et marques mentionnés dans le présent document peuvent être des marques commerciales de leurs propriétaires respectifs.