Blog

Jul 13, 2023

Google : avec le cloud, les API et les problèmes de sécurité

Robert Lemos | 27 décembre 2022 Les interfaces de programmation d'applications Web (API) sont

Robert Lemos | 27 décembre 2022

Les interfaces de programmation d'applications (API) Web sont le ciment qui maintient les applications et l'infrastructure cloud, mais ces terminaux sont de plus en plus attaqués, la moitié des entreprises ayant reconnu un incident de sécurité lié aux API au cours des 12 derniers mois.

Selon une enquête menée par Google Cloud, les problèmes de sécurité les plus gênants affectant l'utilisation des API par les entreprises sont les mauvaises configurations de sécurité, les API et composants obsolètes, ainsi que les spams ou les robots abusifs - 40 % des entreprises subissant un incident dû à une mauvaise configuration et un tiers faisant face avec ces deux derniers problèmes.

Les deux tiers des entreprises (67 %) ont découvert des problèmes de sécurité et des vulnérabilités liés à l'API pendant la phase de test, mais la plupart des entreprises (plus de 60 %) ont découvert des problèmes pendant le processus de développement logiciel, pendant le déploiement de l'application et en utilisant la surveillance en temps réel. , selon l'enquête menée auprès de plus de 500 leaders technologiques.

Malgré ces problèmes, plus des trois quarts (77 %) sont convaincus qu'ils résoudront les problèmes, affirmant qu'ils disposent des outils et des solutions d'API nécessaires, déclare Vikas Anand, responsable produit pour les plates-formes d'applications professionnelles chez Google Cloud.

"Il y a une perception de confiance avec l'outillage existant qui n'est pas accompagnée de preuves", déclare Anand. "Le paysage de la sécurité a changé - avec la croissance spectaculaire du volume des API, les API sont le nouveau champ de bataille pour la sécurité des applications."

L'intérêt pour les API Web survient alors que les entreprises ont accéléré leurs transformations numériques au cours des deux dernières années suite aux perturbations commerciales causées par la pandémie de coronavirus. La quasi-totalité (93 %) des entreprises interrogées par Google dans une deuxième étude portant sur 770 leaders technologiques ont caractérisé leurs opérations comme étant basées sur "principalement le cloud", contre 83 % il y a deux ans.

En revanche, les décideurs d'entreprise qualifiant leurs opérations de "principalement sur site" ont chuté de moitié à 7 %, contre 16 %, au cours de la même période.

Selon une estimation, les incidents de sécurité liés aux API ont causé des pertes de 12 à 23 milliards de dollars depuis 2020. Et la surface d'attaque s'agrandit : la grande entreprise moyenne possède trois fois plus d'API (15 600) qu'il y a un an.

Alors que 46 % des organisations interrogées réservaient leur utilisation des API uniquement au sein de leur propre organisation, plus de la moitié (54 %) autorisent les partenaires, les clients et d'autres développeurs externes à utiliser les API comme moyen de stimuler le développement par des tiers, a constaté Google.

"Les API sont essentielles à la modernisation des applications et à la transformation numérique car, avec les microservices, elles permettent de fournir rapidement de nouvelles expériences aux clients, tout en réduisant les coûts de développement et de maintenance", a déclaré Google Cloud dans son rapport "The Digital Crunch Time : 2022 State of rapport "API et applications".

Parce que les API sont essentielles à leur transformation numérique, les entreprises ont judicieusement priorisé les investissements dans la sécurité des API, 60 % visant à améliorer leur capacité à identifier de manière proactive les menaces de sécurité, et 57 % adoptant davantage d'automatisation et d'orchestration de la sécurité, selon le deuxième rapport de Google Cloud, "API Sécurité : dernières informations et tendances clés."

Environ la moitié des entreprises ont également l'intention d'étendre leur surveillance en temps réel des serveurs d'API et d'utiliser des systèmes d'intelligence artificielle et d'apprentissage automatique (AI/ML) pour mieux découvrir les failles et détecter les attaques.

"Alors que les organisations passent d'une attitude réactionnaire à une réponse proactive à ces menaces, nous verrons les modèles d'IA/ML devenir plus largement adoptés dans les outils de sécurité", déclare Anand. "Les règles basées sur ML sont l'évolution naturelle de cela - pas seulement automatiser, mais apprendre en permanence de ces expériences."

Sans surprise, les entreprises qui ont plus d'expérience avec les API ont également connu plus de succès dans leur transition vers des opérations plus natives du cloud.

Environ un tiers des entreprises (34 %) se sont classées comme ayant une approche mature des API, poussant une stratégie axée sur les API dans toutes les organisations et utilisant une plate-forme de gestion des API. Ces entreprises ont également eu plus de succès en augmentant l'efficacité, une meilleure collaboration et une agilité améliorée, par rapport aux organisations avec une maturité API plus faible.

Google Cloud a défini les organisations à faible maturité comme celles avec des API cloisonnées, sans gestion centralisée des API et peut-être une passerelle API pour la sécurité.

"Notre étude montre que les organisations API matures sont considérablement en avance dans leurs efforts de transformation numérique par rapport aux organisations API peu matures", selon le fournisseur. "Les leaders technologiques comprennent déjà la valeur apportée par les API."

Pour les entreprises qui passent à une infrastructure d'applications basée sur des API, la sécurité des API est considérée comme le composant le plus important d'un programme d'API, 66 % des entreprises la considérant comme importante, selon le rapport de Google. Parmi les autres principales préoccupations, citons l'analyse des performances des API et la gouvernance des API.

"La sécurité des API doit finalement faire partie de la stratégie globale de sécurité de bout en bout", déclare Anand. "Des intégrations transparentes entre tous les produits de sécurité facilitent l'amélioration de la valeur globale de la sécurité de votre portefeuille."

Lisez l'histoire complète sur notre site sœur Dark Reading.

Plus d'informations sur les formats de texte