Selon Elimane Prud’hom de Salt Security, les RSSI doivent prendre les devants en matière de processus de sécurité pour faire avancer le chantier de la transformation numérique et satisfaire aux critères des organismes de réglementation pour échapper à d’onéreuses amendes. Pour ce faire, ils se doivent d’adresser le sujet de la sécurisation des API.
Puisque la cadence de développement s’est accélérée, les RSSI se doivent d’évaluer très vite les risques tout en prenant soin de mettre à l’abri l’activité de l’entreprise. Il leur appartient de déterminer l’intérêt d’une initiative donnée, le risque qu’elle représente et, en fonction de ces calculs, hiérarchiser leurs priorités concernant les investissements à réaliser dans la sécurité.
Les initiatives actuelles en transformation numérique illustrent à merveille l’exercice d’équilibriste auquel se livre le RSSI. La transformation numérique procure des avantages concurrentiels, accroît les gains d’efficacité et offre de nouvelles perspectives de croissance. Pour autant, les API qui la sous-tendent créent une nouvelle surface d’attaque stratégique et un haut risque d’exposition des données.
Les RSSI doivent prendre les devants en matière de processus de sécurité pour faire avancer le chantier de la transformation numérique et satisfaire aux critères des organismes de réglementation pour échapper à d’onéreuses amendes. Pour ce faire, ils se doivent d’adresser le sujet de la sécurisation des API.
Pourquoi les API représentent-elles un risque majeur pour les RSSI
Les API sont spécifiquement conçues pour des services partageant des données sensibles avec vos clients, partenaires et collaborateurs. Les entreprises jonglent à présent avec des API par milliers, qui changent régulièrement. Dans l’édition 2021 de son rapport State of the API, Postman établit que plus de la moitié des développeurs déploient de nouvelles API en production une fois par jour, une fois par semaine ou une fois par mois.
En outre, ces API sont utilisées à la fois sur les canaux des partenaires externes et des clients, ouvrant la voie à des services mobiles et en ligne nouveaux et innovants. Mais, ce faisant, elles facilitent également l’utilisation de données ultraconfidentielles, telles que les informations personnelles, les données financières et les données de santé. Puisqu’elles donnent accès à une mine de données, les API sont devenues une cible de choix pour les assaillants.
Nombre de grandes entreprises, telles que Parler, Experian, Facebook et Peloton, ont été victimes d’attaques API. Les attaques ciblant les API peuvent impacter la confiance des clients, causer un manque à gagner et entacher irrémédiablement la réputation d’une entreprise. Dans le cas de Coinbase, la plateforme d’échange de cryptomonnaies, la non-détection de la vulnérabilité de l’une de ses API aurait pu causer sa faillite.
Malgré les risques encourus, les API demeurent mal protégées à l’heure actuelle. D’après la dernière étude Salt Labs, plus du tiers des entreprises n’ont mis en place aucune stratégie de sécurisation de leurs API.
Alors que les attaques API s’opèrent à partir d’une chaîne d’événements liés, les solutions traditionnelles, telles que les pare-feu applicatifs web, analysent les transactions une par une. Elles sont de surcroît conçues pour des attaques « connues », tandis que les attaques API d’aujourd’hui ciblent des failles propres à vos développements qui sont donc uniques. Pour repérer ces menaces et y faire obstacle, les responsables de la sécurité doivent avoir une visibilité sur la totalité du trafic et une analyse comportementale de sa nature.
Par ailleurs, même si les API sont correctement utilisées, leur exploitation et leur détournement ne sont pas exclus. Une exposition excessive des données, telle que décrite dans le Top 10 des vulnérabilités API de l’OWASP, peut involontairement créer un accès à davantage d’informations que ne l’exige une requête. Dans les exemples d’Experian et de Peloton précités, leurs API ont été ciblées pour l’exfiltration de données, simplement en les utilisant sans modification de design ni injection de code, autrement dit en réponse à des requêtes API légitimes.
Les trois axes de la sécurité des API
Du fait de la rapidité de la cadence de développement, la surface d’attaque des API ne cesse de s’étendre. Pour protéger efficacement ce paysage en pleine mutation, les RSSI ont besoin d’une solution API dotée des trois caractéristiques suivantes :
- Visibilité automatique sur la totalité du trafic API
- Analyse continue du trafic
- Eléments de correction pour sécurité proactive
Totale visibilité sur le trafic des API
Les systèmes, applications et API, au même titre que les données avec lesquelles ils interagissent, couvrent de multiples environnements. En l’absence de visibilité sur la totalité de vos API, celles-ci ne peuvent être protégées. Vous devez également cerner les API susceptibles d’exposer des données sensibles.
Avec un inventaire de référence précis de leurs API actualisé instantanément de manière dynamique, les RSSI éliminent les angles morts. Sans lui, ces professionnels sont incapables de cerner la véritable exposition de leur entreprise, ni de prioriser la gestion des risques.
Analyse continue et dynamique du trafic API
Les API n’étant pas simplement du code dont il convient de rechercher les failles de programmation lors des phases de développement et de test, il est impératif d’observer vos API et les utilisateurs en action pour repérer les failles en question. L’analyse comportementale des utilisateurs en temps réel offre aux entreprises un maximum de contexte pour isoler les activités malveillantes dans une optique de sécurisation des API.
Eléments de correction pour sécurité proactive
Le bilan des éléments de correction, y compris ceux appris du trafic de production, permet d’associer les conclusions tirées de la sécurité des API à la formation des développeurs et à leurs activités de développement afin de leur livrer un éclairage optimal pour renforcer leurs API. Grâce à ce bilan détaillé des actions correctrices, vous vous ralliez à des pratiques « shift left » pour pérenniser la valeur de vos API, ce qui vous permet d’identifier les risques avant que des acteurs malveillants ne les exploitent. Ces informations aident vos développeurs à optimiser la programmation de leurs API, même s’ils continuent à en créer de nouvelles.
Tirer parti de l’automatisation, du big data et de l’intelligence Artificielle
Face à la croissance exponentielle des API, les RSSI ont également besoin de solutions susceptibles d’être intégrées aux workflows DevOps et SecOps en place. La découverte des API, la détection des anomalies et le bilan des actions correctrices doivent être automatiquement associés aux systèmes CI/CD et de réponse aux incidents.
Pour bénéficier du contexte nécessaire à l’identification précise des attaques API, les solutions de sécurité API doivent exploiter le big data , l’IA et le ML à l’échelle du Cloud et les appliquer à la problématique à résoudre. Les attaques API se déroulent sur plusieurs jours, semaines ou mois, les acteurs malveillants étudiant minutieusement le mode de fonctionnement de vos API pour déceler les failles dans la logique applicative. Les solutions de sécurisation des API doivent être capables de traiter de gros volumes de données dans la durée afin de disposer du contexte permettant de distinguer un trafic d’attaques d’un trafic normal. Il est impossible de parvenir à une telle richesse contextuelle avec des solutions sur site, basées sur des machines virtuelles : seules les mégadonnées à l’échelle du Cloud, couplées à l’intelligence artificielle et au machine learning, permettent d’assurer le suivi de plusieurs millions d’utilisateurs en parallèle sur quelques jours, semaines ou mois.
Ne laissez pas les failles dans la sécurité des API freiner l’innovation de votre entreprise
À une époque où la cybersécurité est devenue une problématique cruciale, les API sont devenues le maillon faible des systèmes IT. En l’absence de sécurisation des API, les RSSI ne peuvent maximiser le potentiel des initiatives de modernisation numérique et informatique. Pire : les vulnérabilités des API hypothèquent les éventuels profits de l’entreprise. Les RSSI doivent être sensibilisés aux menaces, en phase avec les objectifs de l’entreprise, et prendre les devants. En mettant en œuvre un programme dédié de sécurisation des API, les RSSI peuvent aider l’entreprise à accélérer l’innovation numérique, à instaurer une culture davantage orientée sécurité et à générer de la croissance.