Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Apr 28, 2023
Le rapport FireTail révèle que les failles de sécurité de l'API sont peu nombreuses mais mortelles
Accueil » Security Boulevard (Original) » Le rapport FireTail trouve la sécurité des API
Accueil » Security Boulevard (Original) » Le rapport FireTail révèle que les failles de sécurité de l'API sont peu nombreuses mais mortelles
Une analyse des failles de cybersécurité en 2022 menée par FireTail, un fournisseur d'une plate-forme de sécurisation des interfaces de programmation d'applications (API), n'a trouvé que 12 violations enregistrées publiquement impliquant des API, et six autres ont été divulguées à ce jour en 2023.
Cependant, la taille moyenne moyenne de l'exposition aux violations de données API est supérieure à 10 millions d'enregistrements par incident. Le coût total d'un seul enregistrement violé étant de 180 dollars, le coût total des failles de sécurité des API peut facilement atteindre 85 milliards de dollars, selon le rapport.
Les deux principales catégories de violations de données impliquant la sécurité des API sont l'autorisation à 135 millions d'enregistrements, soit 28 % de tous les enregistrements violés, et l'authentification, à 105 millions d'enregistrements, soit 22 % de tous les enregistrements violés.
Le PDG de FireTail, Jeremy Snyder, a déclaré qu'avec plus de 85 % du trafic Internet passant par les API, ce n'est plus qu'une question de temps avant que le nombre de failles de sécurité des API et le coût total n'augmentent. Malheureusement, le niveau d'attention porté à la sécurité des API n'est pas proportionné au risque potentiel pour l'entreprise, a-t-il ajouté.
De plus, le niveau d'expertise disponible en matière de sécurité des API reste limité. Par exemple, une considération souvent négligée dans le processus d'authentification est la nécessité de valider les informations d'authentification à plusieurs reprises et de lier les informations d'identification à une session active. Les informations d'identification de longue durée, comme les clés d'API statiques, sont sujettes à la prolifération des secrets. Certains mécanismes d'authentification courants peuvent même introduire des vulnérabilités dans les API.
En tant que tel, il est important que les API soient conçues pour forcer l'authentification de manière régulière plutôt que de vérifier uniquement si un jeton est conforme au format attendu.
Il n'est pas toujours clair qui est responsable de la sécurité des API. Mais comme les cybercriminels apprécient la quantité de données pouvant être extraites via une API, il est clairement nécessaire de renforcer la collaboration entre les équipes de cybersécurité chargées de protéger ces API et les développeurs qui les créent.
Plus difficile encore, le nombre d'API déployées dans les environnements de production a considérablement augmenté, principalement grâce à l'essor des applications basées sur les microservices qui en font un usage intensif. Il n'est pas rare non plus que les développeurs aient déployé une soi-disant API zombie qui n'est plus prise en charge mais qui peut toujours être consultée et manipulée par des acteurs externes de la menace. De plus, il existe souvent des API escrocs qui ont été configurées sans que personne en informatique ne les sache. Le plus gros problème que les équipes de cybersécurité rencontreront avec les API est qu'il n'est pas possible de protéger ce qu'elles ne connaissent pas, a noté Snyder.
En théorie, au moins, les équipes de développement d'applications qui adoptent les pratiques DevSecOps pour créer et déployer des applications assumeront plus de responsabilités dans la sécurisation des API, mais ce sera toujours l'équipe de cybersécurité qui sera tenue responsable de toute violation. Cependant, historiquement, les équipes de cybersécurité se sont davantage concentrées sur la sécurisation des périmètres et des terminaux, de sorte que la plupart des dollars budgétaires alloués à la cybersécurité ne sont pas appliqués aux API.
Cela pourrait changer dans les mois à venir à mesure que les violations d'API deviendront plus courantes. En attendant, les équipes de cybersécurité devraient, à tout le moins, créer un inventaire des API qu'elles connaissent et sont chargées de protéger, quel que soit leur créateur.