Imperva a publié une nouvelle étude qui révèle les coûts internationaux croissants des API sensibles ou non sécurisées. L’analyse de près de 117 000 événements spéciaux de cybersécurité estime que l’insécurité des API entraîne des pertes de 41 à 75 milliards de dollars par an.
L’étude, menée par le Marsh McLennan Cyber Threat Analytics Center, a révélé que les grandes organisations étaient statistiquement plus susceptibles d’avoir une plus grande proportion d’occurrences liées à l’API. Les entreprises réalisant des bénéfices d’au moins 100 milliards de dollars étaient 3 à 4 fois plus susceptibles de connaître une insécurité API que les petites ou moyennes entreprises. Les informations suggèrent que les grandes entreprises sont particulièrement sensibles aux risques de sécurité liés aux API exposées ou non protégées, car ces entreprises en pleine croissance accélèrent le changement numérique.
Une API est le tissu conjonctif invisible qui permet aux applications de partager des données afin d’améliorer les expériences et les résultats des utilisateurs finaux. Le volume d’API utilisées par les entreprises prolifère ; près de la moitié de toutes les entreprises ont publié entre 50 et 500, en interne ou publiquement, tandis que certaines ont plus d’un millier d’API actives.
De nombreuses API sont directement liées aux bases de données principales où sont conservées les informations sensibles. En conséquence, les pirates informatiques ciblent de plus en plus les API comme un chemin vers les installations sous-jacentes pour exfiltrer des informations délicates. Aujourd’hui, jusqu’à 1 cyber-occurrence sur 13 peut être attribuée à l’insécurité des API. Comme le nombre d’API en production se multiplie, ce chiffre devrait augmenter dans les années à venir.
L’étude a également révélé des variations importantes entre les industries. L’informatique, les services professionnels et la vente au détail sont plus que susceptibles de subir des événements de sécurité liés aux API :
« Sans une méthode pour assurer la sécurité des API, les entreprises du monde entier continueront à perdre des sommes incroyables chaque année », déclare Karl Triebes, vice-président principal de la gestion des produits ; Superviseur général, Sécurité des applications, Imperva. « Pour atténuer le volume croissant de risques de sécurité liés aux API, les entreprises doivent pouvoir découvrir toutes les API de leur environnement et comprendre quelles informations transitent par chaque API. »
Recommandations pour amélioration de la sécurité des API :
- Reconnaître et classer les informations circulant dans chaque API : la visibilité est essentielle pour comprendre le schéma complet de chaque API, ainsi que pour déterminer et catégoriser les données qui y transitent risquent donc d’être évaluées.
- Automatiser la découverte : les API sont produites rapidement et fréquemment personnalisées, ce qui en fait un angle mort pour de nombreuses organisations. Grâce à l’automatisation, les organisations peuvent supprimer les API malveillantes ou fantômes. De plus, en automatisant l’inventaire des API, le groupe de sécurité sera présent lorsque les concepteurs personnalisent les API en production.
- Activer la gouvernance des API : pour les organisations dans des secteurs hautement contrôlés, une gouvernance des API le modèle est important. Cela n’est possible qu’avec une exposition qui s’étend au-delà du point de terminaison de l’API et dans la charge utile sous-jacente afin que les informations délicates puissent être correctement sécurisées.
« A la racine de chaque incident de sécurité lié à l’API se trouve l’information », a ajouté Triebes. « La sécurisation des API nécessite un changement d’état d’esprit ; un état d’esprit qui se concentre sur la catégorisation des données et la compréhension de la façon dont les informations sont accessibles par chaque API en production. Cette approche nécessite que les équipes de sécurité et d’avancement interagissent pour intégrer la sécurité dans le cycle de vie du développement. Jusque-là, les cybercriminels continueront à utiliser des API vulnérables pour exfiltrer des informations sensibles dans des volumes plus importants. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
