La prolifération des API est un problème répandu dans les entreprises modernes, car les API sont développées et déployées à un rythme sans précédent. Comme le souligne Postman’s Rapport 2022 sur l’état de l’API, « 89 % des personnes interrogées ont déclaré que l’investissement en temps et en ressources des organisations dans les API augmentera ou restera le même au cours des 12 prochains mois », soulignant la confiance dans la croissance du développement et du déploiement des API .
En raison de cette croissance rapide, les entreprises risquent de perdre la trace de leurs API, ce qui conduit à la création d’API fantômes que les attaquants peuvent exploiter et contribue à des dépenses de maintenance élevées. Pour illustrer le potentiel des conséquences réelles d’une prolifération d’API sans surveillance, voici trois exemples concrets de violations résultant de points de terminaison d’API inconnus ou obsolètes :
Uber (2016)
En 2016, Uber a été victime d’une fuite massive de données qui a touché 57 millions de clients et de chauffeurs. Les attaquants ont exploité un référentiel GitHub privé utilisé par les développeurs d’Uber et découvert les informations d’identification AWS, qui ont été utilisées pour accéder à un compartiment S3 contenant des informations sensibles. L’incident a conduit à un règlement de 148 millions de dollars et a gravement affecté la réputation de l’entreprise. Source.
Facebook (2018)
En 2018, Facebook a subi une violation qui a exposé les informations personnelles de près de 50 millions d’utilisateurs. Les attaquants ont exploité une vulnérabilité dans la fonctionnalité « Afficher en tant que », qui leur a permis d’obtenir des jetons d’accès et de se faire passer pour d’autres utilisateurs. La violation a été attribuée à un point de terminaison d’API qui n’était pas correctement sécurisé. Facebook a dû réinitialiser les jetons d’accès de près de 90 millions d’utilisateurs pour résoudre le problème et a fait face à un examen réglementaire important et à des réactions négatives des utilisateurs. Source.
Pain Panera (2018)
En 2018, Panera Bread, une chaîne de boulangeries-cafés aux États-Unis, a subi une violation de données qui a exposé des millions d’informations personnelles de clients. La cause de la violation était un point de terminaison d’API non sécurisé qui permettait un accès non autorisé aux données des clients, y compris les noms, les adresses e-mail, les numéros de téléphone et les quatre derniers chiffres des numéros de carte de crédit. La société a été critiquée pour sa lenteur à répondre au rapport de vulnérabilité et son incapacité à sécuriser correctement le terminal. Source.
Augmentation des coûts des violations de données liées aux API
Selon le Cost of a Data Breach Report publié par IBM Security, les coûts des violations de données ont augmenté régulièrement de 2018 à 2021. Plus précisément, le rapport de 2021 a révélé que le coût total moyen d’une violation de données était de 4,24 millions de dollars, soit le coût le plus élevé signalé au cours des quatre dernières années. De plus, le coût par dossier perdu ou volé a également augmenté, passant de 148 $ en 2018 à 164 $ en 2021.
Le rapport d’enquête sur les violations de données de Verizon (DBIR) à partir de 2019, 2020 et 2021 ont tous révélé que les attaques d’API sont de plus en plus courantes. En 2021, les API ont été identifiées comme la principale variété d’actions de menace dans les violations, représentant 13 % de toutes les violations. Dans le rapport 2020, les API étaient impliquées dans 16 % des violations, et dans le rapport 2019, les API étaient impliquées dans 7 % des violations.
On peut supposer que les coûts des attaques d’API augmentent à un rythme similaire aux coûts globaux des violations de données. Comme les API sont de plus en plus utilisées dans les applications modernes pour faciliter l’échange de données entre différents systèmes logiciels, elles sont devenues une cible de choix pour les cybercriminels. Cette tendance souligne la nécessité pour les entreprises de prioriser les mesures de cybersécurité et de prendre des mesures proactives pour protéger leurs API afin d’éviter des violations de données coûteuses.
Combler le fossé : des défis API aux solutions
Il existe différentes solutions que les organisations peuvent mettre en œuvre pour faire face aux risques associés à la prolifération des API, en particulier les API non sécurisées et les API fantômes. Une approche qui peut aider à l’évaluation et à la surveillance des risques API est l’utilisation de SBOM (Software Bill of Materials), qui peut permettre aux organisations d’identifier les vulnérabilités et les dépendances au sein de leur infrastructure API.
Une nomenclature logicielle (SBOM) est un inventaire complet de tous les composants logiciels et dépendances d’un produit. Les SBOM jouent un rôle essentiel rôle dans l’évaluation et la surveillance des risques de l’API en offrant une visibilité sur les composants sous-jacents de l’API, ce qui facilite l’identification des vulnérabilités potentielles et la gestion des risques associés aux dépendances tierces.
En plus des SBOM, une gouvernance efficace des API dans les environnements cloud, la promotion d’une culture de la sécurité au sein de l’organisation et la formation continue peuvent également aider à atténuer les risques posés par les API non sécurisées. Toutes ces solutions aideront les entreprises à évoluer vers un écosystème numérique plus sécurisé et résilient.
Aller au-delà des WAF et des API Gateways
En 2019, Capital One a fait face à une violation de données affectant plus de 100 millions de clients. L’acteur malveillant a exploité un WAF mal configuré et une vulnérabilité SSRF dans la passerelle API pour accéder à des données sensibles.
Bien que les pare-feu d’applications Web (WAF) et les passerelles d’API soient largement adoptés pour la protection des API, ils peuvent être insuffisants en eux-mêmes. Par exemple, les WAF peuvent bloquer les menaces connues mais ne pas détecter les attaques sophistiquées, et les passerelles API peuvent ne pas répondre aux risques de sécurité complexes. Pour sécuriser efficacement les API, il est recommandé d’adopter une approche à plusieurs niveaux, comprenant une surveillance continue, la gouvernance des API et l’évaluation des risques.
« S’appuyer uniquement sur les WAF et les passerelles d’API est insuffisant pour la sécurité des API. Comme on l’a vu dans la violation de Capital One, des attaques sophistiquées peuvent exploiter des vulnérabilités. Les organisations doivent adopter une observabilité immédiate, une surveillance continue, une gouvernance des API et une évaluation des risques pour protéger efficacement leurs actifs numériques. – Chaim Peer, PDG de BLST Security
Comprendre la gouvernance des API dans les environnements cloud : ce que les équipes de sécurité doivent savoir
La gouvernance des API est considérée comme cruciale pour la gestion et la sécurité des API dans les environnements cloud. L’établissement et l’application de politiques, de normes et de processus pour la gestion du cycle de vie des API sont impliqués dans ce processus, qui comprend :
- API conçues pour respecter les bonnes pratiques de sécurité et les exigences réglementaires
- API développées pour être sécurisées, fiables et performantes
- API déployées de manière contrôlée pour répondre aux exigences de conformité
- API surveillées pour garantir une conformité et des performances continues
En raison de la nature dynamique des environnements cloud, il est important d’automatiser autant que possible le processus de gouvernance. Les avantages de la mise en œuvre d’une gouvernance API efficace incluent :
- Les bonnes pratiques de sécurité sont suivies et les exigences réglementaires sont respectées par les API
- Les API offrent des performances et une fiabilité constantes
- L’exposition de l’organisation aux risques et aux vulnérabilités est réduite
- Les équipes de sécurité peuvent suivre le rythme des changements dans les environnements cloud
Par conséquent, les équipes de sécurité considèrent que les solutions de gouvernance automatisées sont essentielles pour surveiller en permanence la conformité des API avec les bonnes pratiques de sécurité et les exigences réglementaires. Ces solutions de gouvernance automatisées sont également utilisées pour mettre en œuvre rapidement les modifications nécessaires.
Promouvoir une culture de la sécurité
Un forte culture de sécurité influence directement le développement et la mise en œuvre d’API sécurisées. Les employés qui connaissent bien les meilleures pratiques de sécurité seront plus enclins à adhérer à des protocoles de sécurité API robustes, garantissant que les données sensibles sont correctement protégées et que l’accès est strictement contrôlé. Cette approche proactive de la sécurité aide à prévenir les vulnérabilités potentielles et réduit la probabilité d’accès non autorisés ou de violations de données.
Bien que le développement d’une culture centrée sur la sécurité soit souvent considéré comme l’une des responsabilités les plus difficiles pour un RSSI, il s’agit également de l’une des activités les plus stimulantes et gratifiantes, avec des avantages considérables qui imprègnent tous les aspects de l’entreprise. Dans le contexte de la sécurité des API, un état d’esprit axé sur la sécurité favorise la vigilance, l’adaptabilité et la résilience, qui sont tous des éléments cruciaux pour protéger les précieux actifs numériques d’une organisation.
Importance de la formation et de l’apprentissage continus
Afin de gérer et de sécuriser efficacement les API dans un paysage numérique en constante évolution, il est essentiel que les organisations et les équipes de sécurité se forment en permanence et se tiennent au courant des meilleures pratiques et des tendances émergentes en matière de sécurité des API. Le prochain Webinaire sur les angles morts de l’API : Révéler et atténuer les Risques des API Shadow.
Ce webinaire mettra en vedette un panel de professionnels de la sécurité réputés qui relèveront des défis critiques tout en se concentrant sur les API de terminaux inconnues, obsolètes et non découvertes qui peuvent rendre les organisations vulnérables à des attaques potentielles. En participant à de tels événements et en mettant constamment à jour leur base de connaissances, les équipes de sécurité peuvent mieux comprendre les facteurs qui contribuent à perdre la trace des API, renforçant ainsi la posture de sécurité de leur organisation et réduisant le risque de violations de données coûteuses.
En conclusion
La prévalence croissante de la prolifération des API et les risques associés aux API sans surveillance ont mis en évidence la nécessité pour les organisations d’adopter des mesures de sécurité et des pratiques de gouvernance solides. Comme nous l’avons vu à partir d’exemples concrets et des coûts croissants des violations de données liées aux API, les enjeux sont plus importants que jamais.
Pour surmonter les défis posés par les points de terminaison non sécurisés, les API fantômes et le déploiement rapide des API, les entreprises doivent aller au-delà des mesures de sécurité traditionnelles, telles que les WAF et les passerelles API, et adopter des approches de sécurité complètes à plusieurs niveaux.
Cela inclut la mise en œuvre de SBOM pour l’évaluation et la surveillance des risques d’API, une gouvernance d’API efficace et automatisée dans les environnements cloud, et la promotion d’une culture de sécurité et d’apprentissage continu. En adoptant une approche proactive de la sécurité des API, les entreprises peuvent mieux protéger leurs ressources numériques, maintenir la confiance des clients et atténuer les risques potentiels associés aux API sans surveillance.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
