La croissance des API coïncide avec celle des attaques
Combler les manques laissés par la sécurité traditionnelle
Les API modernes : simples à utiliser, difficiles à sécuriser
Les API (Application Programming Interface, interface de programmation d'applications) sont des composantes essentielles de nombreuses applications web modernes. Plus précisément, elles connectent les serveurs, les points de terminaison et les logiciels d'une manière permettant l'exécution de n'importe quel nombre de fonctions en quelques millisecondes, de la synchronisation des données mobiles avec le cloud au développement d'applications sans code.
Comme pour tous les équipements connectés à Internet, plus les API voient leur utilisation se généraliser, plus elles deviennent des cibles séduisantes pour les acteurs malveillants. Les attaques sur les API semblent d'ailleurs avoir atteint un niveau record. Une récente étude a constaté que 53 % des personnes interrogées avaient été confrontées à une violation de données due �à des jetons d'API compromis.
Cette prolifération met en valeur les lacunes critiques résidant dans les pratiques et les solutions de sécurité traditionnelles. À mesure qu'elles passent à des déploiements de sécurité plus modernes, les entreprises doivent relever trois défis essentiels en matière de protection de leurs API :
Les services d'API sont difficiles à sécuriser sur plusieurs environnements cloud.
Le développement et la sécurité des API ne vont pas de pair.
Les services de sécurité traditionnels n'ont pas été conçus dans une optique de protection des API.
Pour résoudre ces manques, les solutions de sécurité des API modernes doivent assurer une défense automatisée et évolutive permettant aux équipes de sécurité et d'ingénierie de garder une longueur d'avance sur les exploitations de vulnérabilités zero-day et les attaques taillées sur mesure. C'est là que la protection des API et des applications web (Web Application and API Protection, WAAP) entre en jeu : une plateforme de services de sécurité spécifiquement conçus pour gérer et protéger les API contre toute une gamme de menaces complexes et émergentes.
Le coût d'une attaque sur les API
Tout comme pour les API elles-mêmes, les attaques sur les API connaissent une augmentation rapide de leur taille et de leur sophistication, de même que de leur coût de résolution.
Dans un rapport produit par la commission chargée de la réglementation et du contrôle des titres et des marchés financiers des États-Unis (United States Securities and Exchange Commission, SEC), T-Mobile a révélé une importante violation de données causée par une API exposée. Sur une période de deux mois, l'acteur malveillant a pu accéder aux données personnelles de 37 millions de comptes client, notamment les informations de facturation, les adresses e-mail et les numéros de téléphone.
À une échelle encore plus grande, Twitter est devenu une cible en raison d'une vulnérabilité d'API non corrigée qui permettait aux utilisateurs d'accéder aux adresses e-mail et aux numéros de téléphone associés. Le bug n'a pas été détecté pendant sept mois, période pendant laquelle les acteurs malveillants ont pu divulguer des informations appartenant à 235 millions d'utilisateurs.
Les vulnérabilités des API peuvent ouvrir la voie à des attaques dévastatrices, même pour les PME qui proposent leurs services à une plus petite base d'utilisateurs que ces énormes entreprises. L'exfiltration des données sensibles d'un utilisateur peut porter irrévocablement atteinte à la réputation d'une marque et à la confiance de ses clients, mais aussi permettre les mouvements latéraux ou entraîner de fortes pertes financières et des implications juridiques de longue durée.
Combien ces attaques coûtent-elles exactement aux entreprises ? Une estimation place le coût de l'insécurité des API (violations dues à des erreurs ou des exploitations de vulnérabilité des API) entre 41 et 75 milliards de dollars de pertes annuelles.
Trois défis de la sécurisation des API
Les entreprises font face à trois défis principaux dans leur course visant à sécuriser les API avant que les attaques ne surviennent :
Les services d'API sont difficiles à sécuriser sur les environnements hybrides et multicloud. La grande entreprise typique dispose de centaines d'API connues, souvent soutenues par plusieurs environnements cloud ou hybrides. Ce type de déploiement incohérent rend le processus de sécurisation et de supervision des API exponentiellement plus complexe, tout en consommant les précieuses ressources internes nécessaires à l'évolution. Dans un rapport, 78 % des personnes interrogées ont déclaré gérer plus de 250 jetons, clés et certificats liés aux API sur l'ensemble de leurs réseaux. De même, à mesure que l'utilisation des API s'amplifie, le fardeau lié à l'entretien de processus de sécurité manuels sur plusieurs environnements peut conduire à des négligences accidentelles.
Le développement et la sécurité des API ne vont pas de pair. Les ingénieurs et les développeurs créent et publient constamment des API, mais ne communiquent pas souvent leur travail à l'équipe de sécurité pour les protéger. Face à l'augmentation rapide du développement d'API, il devient quasiment impossible de détecter et de corriger chaque vulnérabilité avant le lancement et l'équipe de sécurité se voit donc contrainte de rattraper son retard.
Les services de sécurité traditionnels n'ont pas été conçus dans une optique de protection des API. Les attaques sur les API (de l'exfiltration de données aux exploitations de vulnérabilités en matière d'autorisation et d'authentification) dépendent souvent d'une compréhension profonde et contextuelle des fonctions et des vulnérabilités potentielles d'une API spécifique. Les ensembles d'outils existants (dont les pare-feu d'applications web, les solutions de gestion des bots et d'atténuation des attaques DDoS, parmi bien d'autres) ont continué à étendre leurs fonctions afin de protéger les API contre les attaques courantes, mais ils n'ont pas été conçus pour la nature spécialisée des menaces visant les API, pas plus qu'ils ne proposent les mesures de contrôle précises nécessaires à la documentation, à l'analyse et à la défense des API à grande échelle.
Relever ces défis grâce à la WAAP
Face à des acteurs malveillants qui adaptent leurs tactiques aux vulnérabilités d'API spécifiques, les entreprises ont besoin de personnaliser leurs défenses contre les menaces, en intégrant notamment une compréhension profonde des comportements des API et des risques, tout en permettant aux équipes chargées de l'ingénierie et de la sécurité de rationaliser les opérations.
Les solutions de sécurité des API modernes entrent de plus en plus dans la catégorie de la pile de sécurité basée sur le cloud que Gartner appelle la « protection des API et des applications web (Web Application and API Protection, WAAP) ». Les solutions WAAP courantes intègrent les fonctionnalités fondamentales suivantes :
Un pare-feu d'applications web de nouvelle génération (Next-Generation Web Application Firewall, NGFW) pour filtrer le trafic indésirable, prévenir les exploitations de vulnérabilités zero-day et appliquer des politiques de sécurité réseau.
Une protection contre les attaques par déni de service distribué (DDoS, Distributed denial-of-service) afin d'atténuer à la fois les attaques volumétriques et les attaques de longue durée.
Un service de gestion des bots pour bloquer le comportement malveillant des bots à l'aide d'une combinaison d'analyse des empreintes numériques, d'instruments heuristiques et d'apprentissage automatique.
Une solution de protection des API pour analyser, catégoriser et personnaliser les mesures de contrôle sur le trafic lié aux API, tout en assurant une solide protection côté client contre les exploitations JavaScript.
L'un des avantages principaux d'une solution WAAP réside dans le fait qu'elle confère aux entreprises une meilleure visibilité et un plus grand contrôle sur leurs API. Les fonctionnalités d'identification des API permettent à l'équipe de sécurité d'identifier, de cataloguer et de surveiller les points de terminaison d'API, tandis que le circuit de détection des abus d'API fait appel à une fonction avancée de détection des anomalies afin de suivre et d'analyser les schémas de trafic malveillants, mais aussi d'arrêter les attaques volumétriques.
En plus de renforcer les défenses des API contre les attaques complexes et persistantes, la WAAP permet également de sécuriser les API sur plusieurs environnements cloud. Un catalogue central d'API contribue à établir une base de référence d'API organisationnelles, à partir de laquelle l'équipe de sécurité peut appliquer une politique uniforme, sans perdre de visibilité.
Un « Leader » de la WAAP
Lors de la récente évaluation des fournisseurs WAAP de Gartner, Cloudflare a été nommée « Leader » dans la catégorie de la sécurité des applications web et des API.
Grâce à son réseau mondial couvrant plus de 320 emplacements (et traitant plus de 45 millions de requêtes HTTP par seconde en moyenne), Cloudflare dispose d'un point de vue unique sur les tendances du réseau, les vecteurs d'attaque et le trafic lié aux API. Cette visibilité permet d'étendre et de renforcer une suite de services de sécurité intégrés, comprenant notamment des fonctionnalités d'identification des API, des services de gestion et d'analyse des API, ainsi que des mesures superposées de défense des API qui surveillent le trafic à la recherche de comportements anormaux et atténuent les attaques DDoS volumétriques, l'activité des bots malveillants et plus encore.
Le catalogue WAAP de Cloudflare allège le fardeau lié aux processus manuels de configuration et d'entretien pour l'équipe de sécurité. Le Centre de sécurité Cloudflare constitue un guichet unique pour les entreprises cherchant à enquêter sur les menaces, mais aussi à les suivre et les atténuer, sur l'ensemble de leur parc d'API, sans déploiements supplémentaires ni préoccupations concernant l'évolutivité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Téléchargez le rapport Gartner® Magic Quadrant™ consacré à la protection des API et des applications web (Web Application and API Protection, WAAP) afin de découvrir pourquoi Cloudflare a été classée en tant que Leader !
Points clés
Cet article vous permettra de comprendre les points suivants :
Les raisons pour lesquelles les API demeurent une cible de choix pour les acteurs malveillants
La manière dont 53 % des entreprises ont fait les frais d'une violation de données en raison de jetons d'API compromis
Les trois défis liés à la sécurité des API
La manière dont l'approche WAAP permet de répondre à ces problématiques