- Il est urgent de muscler la protection de vos API
- microstrategy_logo
Facebook, Uber, T-Mobile… la liste des entreprises prestigieuses qui se sont fait voler des masses considérables de données via leurs API ne cesse de s’allonger. Rien d’étonnant à cela. La transformation digitale des entreprises est passée par là, avec un virage pris vers le Cloud public, les architectures ouvertes… et leur corollaire : l’ouverture d’API par milliers.
La dernière édition de l’étude « State of API Security » publiée par Salt Security Lab montre cette véritable explosion du risque d’attaque par API : « Plusieurs chiffres de cette étude sont réellement marquants. Le premier est sans nul doute celui de l’augmentation de 400% du nombre d’attaques sur les API » explique Nicolas Jeanselme, EMEA Sales Engineering Team Leader chez Salt Security : « Celles-ci étaient déjà une cible de choix pour les attaquants, mais on se rend compte de l’importance de cette dernière au fur et à mesure que les techniques de détection progressent. Un autre point-clé réside dans les moyens mis en œuvre par les attaquants. 78 % des attaques sont réalisées à partir de comptes d’utilisateurs authentifiés. »
Les acteurs bancaires, poussés par les réglementations, notamment d’Open Banking, ont été contraints d’ouvrir aux startups, agrégateurs et concurrents des API extrêmement critiques et ont dû muscler leur sécurité. Bon nombre d’entreprises restent encore très immatures vis-à-vis de cette problématique de sécurité très spécifique. Nicolas Jeanselme résume le rôle d’une solution de protection d’API : « Les trois piliers de la sécurité des API commencent par la connaissance de la surface d’attaque et donc le volet découverte des API. Il faut ensuite pouvoir analyser la mise en œuvre des bonnes pratiques de sécurité dès les phases de design des API, avant même que le code ne soit écrit. C’est ce que l’on appelle le Shift Left. On vérifie alors que les bonnes pratiques de l’OWASP (ndlr : Open Web Application Security Project, une communauté en ligne travaillant sur la sécurité des applications Web) sont bien appliquées comme par exemple qu’une authentification est bien exigée pour chaque fonctionnalité, qu’il n’y a pas de données sensibles transmises dans les URL, etc. Enfin, le troisième volet porte sur une protection au niveau runtime, c’est-à-dire lors du fonctionnement des API. La solution va détecter les tentatives d’attaque, les caractériser et les bloquer. Outre un filtrage par adresse IP blacklistée, la solution va exploiter un modèle de Machine Learning pour définir le comportement normal de l’utilisateur d’une API, puis repérer les attaquants qui s’éloignent de cette norme. » Salt Security compte Zoom parmi ses clients, ainsi que Telefonica.
Autre fournisseur à s’être positionné sur ce marché, F5, qui a puissamment investi dans ce domaine en réalisant l’acquisition de NGINX en mai 2019. F5 dispose aujourd’hui de deux solutions pour répondre à ce besoin avec une solution d’infrastructure déployable on-premise ou dans le Cloud, la solution NGINX, ainsi qu’une solution purement SaaS, au sein de l’offre F5 Distributed Cloud Services. La sécurité API cohabite avec l’offre WAF de l’américain et ses offres de protection contre les Bots et anti-DDoS. Arnaud Lemaire, Solutions Engineering Manage chez F5, explique le rôle de l’offre NGINX par rapport à cette offre Cloud : « NGINX est un composant logiciel que les entreprises peuvent intégrer en tant que conteneur dans leurs applications modernes notamment et donc être au plus proche des déploiements d’API et qui respecte les bonnes pratiques du CNCF (Cloud Native Computing Foundation) en termes d’automatisation. On a la capacité de faire suivre le composant dans les conteneurs qui nous intéressent, soit en mode Ingress Kubernetes, soit dans un container au plus proche de l’API. »
Face à ce risque accru, Gartner a créé un Magic Quadrant dédié pour une nouvelle catégorie de solutions baptisées WAAP, acronyme de Web Application and API Protection. Les analystes placent Akamai, Cloudflare et Imperva parmi les leaders de ce marché, mais de très nombreux acteurs s’y bousculent, dont certains issus de domaines satellites.
De l’API Management à l’API Security, il n’y a qu’un pas…
Les éditeurs de solution d’API Management ne comptent pas se faire tondre la laine sur le dos par les éditeurs venus de la cybersécurité. Axway, l’éditeur d’Amplify API Management Platform, se positionne désormais comme un expert de la sécurité. Lors d’un récent séminaire, Kasso Legouda, Principal Pre-Sales Architect chez Axway, a argumenté en faveur de son approche : « La mise en place d’une plateforme d’API Management permet une meilleure valorisation des API, une réduction des délais de commercialisation, une plus grande agilité et une meilleure productivité avec une réduction des coûts de mise en œuvre des API. Un troisième bénéfice est très important, c’est la sécurité. On va découvrir les API et sécuriser la manière dont on souscrit aux API. C’est un bénéfice certain en matière de sécurité. » L’éditeur qui se présente désormais comme un spécialiste de la sécurité a récemment décroché la certification Critère Commun EAL4+ pour sa plateforme. « Nous mettons en place des solutions d’API Management sécurisées. Dans le cadre d’un projet mené pour l’un de nos clients du secteur militaire, nous sommes entrés dans un cycle d’amélioration de nos standards de sécurité pour couvrir tout le spectre de nos clients et nous avons engagé cette certification EAL4+. C’est une certification rare chez un éditeur sur le marché de l’API Management. » L’informatique du ministère des Finances, l’AIFE, met en œuvre la solution Axway pour pas moins de 11 000 applications, soit 20 à 30 millions d’appels d’API par jour.
La gestion des identités
Une autre manière d’aborder la sécurité des API passe par celle de la gestion des identités. Ping Identity positionne son offre Ping Access sur ce marché. Alexandre Cogné, Senior Key Account Executive chez Ping Identity, détaille le rôle de la solution dans une architecture de sécurité des API : « Ping Access se place en mode inline, c’est-à-dire en point d’entrée unique vers les API. On contrôle alors le niveau de sécurité de chaque individu par rapport aux API via des règles statiques au moyen du jeton. La solution peut aussi fonctionner de concert avec l’API Gateway, en mode sideband, à ses côtés. L’API Gateway transmet le jeton de sécurité, la solution renvoie un acquittement et l’API Gateway donne accès à l’API. Au-dessus de cette architecture vient se plugger Ping Intelligence for API, qui est notre moteur de Machine Learning et qui analyse le comportement des API pour détecter les anomalies d’utilisation. » La solution permet de mettre en place des règles contre la diffusion de certaines données à des tiers non voulus, avec la capacité de filtrer les données structurées, mais aussi faire l’analyse de données non structurées pour détecter des usages inappropriés. Le logiciel peut alors masquer des données, les anonymiser ou même bloquer leur transfert.
La protection des API par les données, c’est le positionnement d’un spécialiste de ce domaine, Imperva. Gérald Delplace, AVP EMEA South chez Imperva, détaille cette autre approche : « Beaucoup de solutions font de la découverte d’API et nous ne faisons pas fondamentalement mieux. En revanche, en termes de mise en place de règles de sécurité, nous sommes les mieux placés sur le marché. Nos concurrents sont obligés de mettre en place des solutions tierces pour la partie remédiation et blocage alors que nous disposons déjà de cette brique dans notre portefeuille produits. Nous venons du monde de la sécurité applicative avec différentes briques, dont l’anti-DDoS, la détection et le blocage des bots. Disposer d’une solution complètement intégrée est le seul moyen d’arriver jusqu’à la base de données. C’est le moyen de savoir qui fait quoi et comment et cette visibilité permet de mettre en place de vraies règles de sécurité. »
Quelle que soit l’approche suivie, il ne faut plus se contenter de la protection offerte par les API Gateway. Les attaquants consacrent beaucoup de ressources à attaquer les API et il est désormais urgent de renforcer la cuirasse qui protège cette brique essentielle de l’entreprise connectée.
______________________________________
Nicolas Jeanselme,
EMEA Sales Engineering Team Leader chez Salt Security
La tâche se complique avec des milliers d’API amassées…
« Avec nos outils, l’inventaire des API peut être mené de manière immédiate. La détection et le blocage des attaquants vont apporter une valeur immédiate et accroître rapidement le niveau de sécurité du portefeuille d’API. Cela peut être mené en quelques heures seulement. Par contre, la partie Shift Left est un projet de longue haleine. Les grandes organisations ont amassé des milliers d’API au fil des ans, des dizaines de milliers parfois et améliorer la posture de sécurité de l’ensemble de ce parc va représenter des années de travail. »
______________________________________
Arnaud Lemaire,
Solutions Engineering Manage chez F5
Un usage massif des API par toutes les entreprises
« Les API sont le point d’entrée vers les données les plus importantes de toutes les entreprises. Les entreprises se servent des API pour exposer et échanger des données avec leurs clients finaux, leurs partenaires. Bien souvent, derrière ces API, il y a des données utilisateurs, les données vers des catalogues produits, donc les données qui sont assez sensibles.
Les API sont des technologies relativement anciennes, mais dont l’usage s’est récemment très largement généralisé. Même un simple site Web qui exploite un framework récent met en œuvre des API aujourd’hui. Les entreprises modernisent leur système d’information avec la mise en œuvre de conteneurs et ces conteneurs communiquent entre eux via des API. Il y a désormais un usage massif des API par toutes les entreprises. Or comme chaque fois qu’il y a une adoption massive d’une technologie, le contrôle n’est pas très fort, la rapidité va souvent à l’encontre de la sécurité et du contrôle. Les entreprises doivent comprendre que leurs API ne correspondent pas uniquement à de petites applications isolées, mais sont connectées à des applications majeures qu’il va falloir sécuriser de manière très spécifique. »