AVIS D’EXPERT – Dans le monde dynamique des technologies de l’information, les interfaces de programmation d’applications (API) sont devenues indispensables pour un échange de données transparent et la fonctionnalité des logiciels modernes. Les cybercriminels les ciblent de plus en plus les API. Salt Security, un spécialiste en matière de sécurité des API, fait cinq prévisions pour 2024.
1 La stratégie de sécurité des API devient plus cruciale
En 2024, ce sera l’année où les stratégies de sécurité des API seront déployées, et pas seulement les outils de sécurité des API. En 2023, la sécurité des API est devenue une priorité pour de nombreuses organisations, mais elle était considérée comme une case à cocher. Les équipes de sécurité ont tenté de compléter leurs outils de sécurité d’applications Web existants, mais malheureusement, les défis de sécurité des API ne peuvent pas être facilement résolus en adaptant les outils de test existants aux technologies prétendant assurer la « sécurité des API ». Avec une explosion continue des API dans tous les secteurs et les défis associés en termes de postures de sécurité, de configurations risquées et de vulnérabilités basées sur la logique qui continuent d’assaillir les équipes de sécurité, les organisations sont confrontées non seulement à un défi en matière d’outils, mais également à un défi stratégique. Une stratégie de sécurité API efficace commence par un programme bien pensé qui s’étend de la conception à la mise en œuvre.
2 Augmentation des API grâce à l’intelligence artificielle (IA)
En 2024, la production et l’utilisation d’API continueront d’augmenter, d’autant plus que de plus en plus d’organisations adopteront des processus et des solutions basés sur l’IA. L’IA a besoin de données, et les API traduisent et transmettent ces données. Une grande partie de ces données seront critiques ou sensibles pour l’entreprise, ce qui rend l’expansion des API potentiellement risquée dans certains scénarios. De plus, de nombreuses organisations utiliseront l’IA générative pour développer des API. Cependant, cela ne peut être réalisé que si les organisations établissent des normes, indiquant clairement à tous les membres de l’organisation ce qu’est une « bonne » API du point de vue de la sécurité. D’un autre côté, les cybercriminels s’appuieront également de plus en plus sur l’IA pour exécuter des attaques avancées sur les API.
3 Implémentation de la directive NIS2
La nouvelle directive de sécurité NIS2 entrera bientôt en vigueur. Cette nouvelle directive européenne renforce les exigences en matière de cybersécurité pour les moyennes et grandes organisations européennes dans des secteurs vitaux. Avec la directive NIS2, nous entrons dans une nouvelle ère de sécurité proactive. Il est clair que la directive NIS2 constitue une avancée significative dans le renforcement de nos infrastructures vitales. Les organisations, telles que les sociétés énergétiques, sont encouragées par la directive à mieux se préparer aux cyberattaques, à mener des évaluations complètes des risques, à sensibiliser leurs employés aux cybermenaces et à mettre en œuvre des solutions robustes. La sécurité des API joue un rôle essentiel à cet égard. Il est donc crucial que les organisations prennent cette directive au sérieux et se préparent minutieusement.
4 Les applications zombies posent toujours un problème majeur
En 2024, les applications zombies restent un problème en raison des risques potentiels pour la sécurité des API. Ces applications peuvent ne pas recevoir les mises à jour de sécurité nécessaires, ce qui les rend vulnérables aux exploits et aux fuites de sécurité, y compris celles liées à la communication API. De plus, les applications obsolètes peuvent contenir des implémentations d’API non sécurisées, exposant les données sensibles à un accès non autorisé. Il est crucial non seulement de résoudre les problèmes généraux posés par les applications Zombie, mais également de se concentrer sur des aspects spécifiques de la sécurité des API afin de garantir l’intégrité et la sécurité des données. La mise à jour et la suppression régulières des applications inutilisées, y compris la surveillance de la sécurité de leurs API associées, sont essentielles pour maintenir la sécurité globale des écosystèmes mobiles.
5 Les RSSI sont confrontés à encore plus de défis en matière de sécurité
En 2024, les RSSI seront confrontés à un éventail plus large de défis en matière de sécurité des API découlant de la numérisation. Le goulot d’étranglement le plus important est la pénurie de talents en matière de sécurité. La numérisation entraîne de nouvelles formes de cyberattaques qui nécessitent des compétences et des connaissances spécifiques, ce qui rend le bassin de talents déjà limité un obstacle encore plus grand. De plus, les RSSI sont confrontés à un nombre croissant de problèmes juridiques liés aux violations, ainsi qu’à une augmentation des risques et des responsabilités personnelles.
Au milieu de la croissance explosive des API, il devient de plus en plus clair qu’une protection efficace ne dépend pas seulement des outils mais nécessite une approche stratégique. Un programme bien pensé pour une sécurité robuste des API, de la conception à la mise en œuvre, est essentiel pour armer les organisations contre les défis en constante évolution des menaces API en 2024.