En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 

En ligne :

Rechercher

 

 

 

Dossiers

Les API sont à l’origine de la majorité du trafic Internet, mais sont mal sécurisées

Publication: 11 janvier

Partagez sur
 
Un nouveau rapport Cloudflare montre que les entreprises ont du mal à identifier et à gérer les risques liés à la cybersécurité de leurs API. Les statistiques révèlent que si les API sont à l’origine de la majorité du trafic Internet, ces dernières demeurent en grande partie non sécurisées...
 

Cloudflare, le leader dans le domaine de la connectivité cloud, publie son premier rapport consacré à la gestion et à la sécurité des API. Les conclusions de ce dernier démontrent que les entreprises tirent plus que jamais parti des API, une technologie qui sous-tend l’ensemble des applications et des sites les plus utilisés aujourd’hui. Or, cette surexploitation ouvre la porte à un nombre toujours plus important de menaces en ligne. Le rapport souligne l’écart entre l’utilisation des API par les entreprises et la capacité de celles-ci à sécuriser les données auxquelles les API accèdent.

Les API sont au cœur de l’univers numérique. Téléphones, montres connectées, systèmes bancaires et sites d’achat, toutes ces applications se reposent sur les API pour communiquer. Ces dernières peuvent aider les sites d’e-commerce à accepter les paiements, permettre aux systèmes médicaux de partager les données de leurs patients de manière sécurisée, voire permettre aux taxis et aux services de transport en commun d’accéder en temps réel aux données de circulation. Toutes les entreprises d’aujourd’hui ou presque s’en servent pour développer des sites, des applications et des services de meilleure qualité et mieux les proposer à leurs clients. Malheureusement, les API non gérées ou non sécurisées représentent une mine d’or pour les acteurs malveillants à la recherche d’informations potentiellement sensibles.

« Les API occupent une position centrale dans la manière dont les applications et les sites web fonctionnent. Elles constituent donc une cible privilégiée et relativement récente pour les pirates », explique Matthew Prince, CEO et cofondateur de Cloudflare. « Il est essentiel que les entreprises identifient et protègent l’ensemble de leurs API afin d’empêcher les violations de données et de sécuriser leur activité. »

Quelques conclusions essentielles du rapport Cloudflare 2024 consacré à la gestion et à la sécurité des API :

- Même les secteurs les plus improbables connaissent des pics élevés de trafic lié aux API : l’intégration fluide proposée par ces dernières a poussé les entreprises de tous les secteurs à en tirer davantage parti, certaines plus rapidement que d’autres. Les secteurs de l’IdO, des trains, bus et taxis, des services juridiques, des jeux et du multimédia, ainsi que ceux de la logistique et de l’approvisionnement, détiennent la plus grande part de trafic lié aux API en 2023.

- Le trafic lié aux API est à l’origine de la majorité du trafic Internet : les API dominent le trafic Internet dynamique autour du monde (57 %) et chaque région protégée par Cloudflare a observé une augmentation de leur utilisation au cours de l’année dernière. L’Afrique et l’Asie sont toutefois les premières régions à avoir massivement adopté les API et à constater la part de trafic la plus élevée en 2023.

- Les API font face à un large éventail de menaces fréquentes et en augmentation constante : comme pour n’importe quelle fonction stratégique populaire hébergeant des données sensibles, les acteurs malveillants tentent d’exploiter tous les moyens nécessaires pour accéder à ces dernières. L’essor des API en termes de popularité a également entraîné une hausse du volume des attaques, les attaques par anomalie HTTP, par injection et par inclusion de fichiers étant les trois types d’attaques les plus couramment utilisés et atténués par Cloudflare.

- Les API « fantômes » constituent un moyen d’accès non sécurisé pour les acteurs malveillants : les entreprises ont du mal à protéger ce qu’elles ne peuvent pas voir. Près de 31 % de points de terminaison d’API REST (l’endroit où une API se connecte aux logiciels) supplémentaires ont été identifiés grâce au Machine Learning (apprentissage automatique) plutôt que par l’intermédiaire d’identifiants fournis par les clients. En résumé, les entreprises ne disposent pas d’un inventaire complet de leurs API à l’heure actuelle.

- Les solutions d’atténuation des attaques DDoS sont l’un des outils les plus efficaces pour protéger les API : que les entreprises disposent d’une visibilité totale sur l’ensemble de leurs API ou non, les solutions d’atténuation des attaques DDoS peuvent les aider à bloquer les menaces potentielles. Un tiers (33 %) des mesures d’atténuation des menaces liées aux API ont été appliquées par des services de protection contre les attaques DDoS déjà en place.

« Les API sont des outils puissants permettant aux développeurs de créer des applications complexes et complètes afin de servir leurs clients, leurs partenaires et leurs collaborateurs, mais chaque API constitue une surface d’attaque potentielle devant être sécurisée », précise Melinda Marks, Practice Director, Cybersecurity chez Enterprise Strategy Group. « Comme le montre ce nouveau rapport, les entreprises ont besoin d’outils plus efficaces pour traiter la sécurité des API, comme une meilleure visibilité sur les API, des ressources permettant d’assurer l’authentification et l’autorisation entre les connexions, ainsi que de meilleurs moyens de protéger leurs applications contre les attaques. »

https://www.cloudflare.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: