API : la surface d'attaque qui nous relie tous

Internet est extrêmement résilient et capable de se réparer lui-même face à des perturbations aléatoires, mais il est sujet à l’erreur humaine.

Plus on s'approche de la couche applicative, et notamment de la couche humaine, plus on se demande comment cette chose a pu fonctionner. Les attaques informatiques de grande envergure, notamment celles par ransomware, sont devenues plus fréquentes et plus répandues ces dernières années. Cependant, vous ne devriez pas vous inquiéter à moins que vous ne dépendiez d'éléments ridicules comme le carburant, les steaks, les voyages en avion ou vos sauvegardes de données.

Cet article se concentre sur la sécurité des API, et si vous étudiez les API depuis un certain temps, vous savez que la sécurité est souvent une réflexion après coup.

L'API pour le développement de la sécurité (c'est-à-dire les personnes)

Lorsqu’on considère les API, qui permettent aux composants logiciels de communiquer entre eux, il faut également prendre en compte l’interface entre les équipes de sécurité et de développement.

La sécurité et le développement n'ont jamais vraiment partagé un langage commun, en partie en raison de leurs expériences, de leurs vocabulaires et de leurs objectifs distincts. Cependant, cette relation tendue devient de plus en plus cruciale, en particulier avec la pression inévitable pour offrir plus de fonctionnalités, publier plus rapidement et adopter la dernière tendance en matière d'ingénierie sous la bannière « DevOps ». Que faut-il modifier pour parvenir à une meilleure harmonisation ?

Et ensuite ?

Le Time to Value (ou Time To First Value, TTFV) est un terme utilisé dans la gestion de produits pour indiquer le temps nécessaire à un nouveau client ou prospect pour tirer profit du produit ou du service que vous lui avez vendu. L'objectif est évidemment « le plus rapidement possible ». Nous devons réduire le Time to Value d'un nouveau professionnel de la sécurité.

En référence à l’ampleur et aux effets actuels des violations, Jeremiah Grossman avance que ce n’est pas parce que les stratégies offensives se sont améliorées, mais plutôt parce que les ennemis se sont montrés plus aptes à recruter et à former des emplois de débutant que le secteur de la sécurité de l’information.

Protection des API

Communiquer avec le monde

Les API sont omniprésentes. Vous pouvez être sûr que chaque application ou service accessible sur Internet est soutenu d'une manière ou d'une autre par une API. Les API sous-tendent aujourd'hui les applications mobiles, l'Internet des objets (IoT), les services clients basés sur le cloud, les applications internes et les applications partenaires, entre autres.

Outre les problèmes de sécurité posés par les API, la vitesse doit également être prise en compte. À mesure que le trafic API est déchargé des serveurs d'origine vers les serveurs périphériques côté CDN, Akamai observe régulièrement les améliorations de performances des API. Cette disposition accélère l'accessibilité et garantit la disponibilité.

Cependant, un problème se pose de plus en plus. Les organisations qui protègent leurs API avec des solutions de sécurité réseau conventionnelles obtiennent, au mieux, des résultats médiocres, voire inexistants. En effet, les normes de sécurité réseau traditionnelles ne peuvent pas tout accomplir.

La majorité des dangers associés aux sites Web et aux applications en ligne s’appliquent également aux API, mais ils doivent être traités indépendamment.

Les API augmentent considérablement la surface de menace contre laquelle les entreprises doivent se défendre. Par conséquent, les organisations de défense et de développement doivent déployer davantage d'efforts pour résoudre ces problèmes.

D'ici 2021, 90 % des applications Web auront une surface d'attaque plus importante sous la forme d'API publiques plutôt que de l'interface utilisateur, contre 40 % en 2019.

La bonne nouvelle est que les dirigeants d’entreprise et les équipes de sécurité ont déjà adopté des mesures de sécurité des API plus robustes. Cependant, les possibilités d’expansion sont suffisantes et les criminels exploitent certainement les failles de sécurité des API.

Téléchargez le livre blanc d'Akamai pour en savoir plus sur API : la surface d'attaque qui nous relie tous, uniquement sur Whitepapers Online.