Aujourd’hui, le fournisseur de cybersécurité Radware a publié le rapport 2022 sur l’état de la sécurité des API, une étude qui rassemble les commentaires des leaders de la sécurité d’entreprises internationales à travers les États-Unis et le Canada, l’EMEA et l’APAC, qui a découvert que les entreprises ont un faux complaisance en ce qui concerne leur posture de sécurité API.
L’une des conclusions les plus déconcertantes de l’étude est qu’il existe un écart entre le niveau de paperasserie API et le niveau de sécurité que les organisations pensent avoir. Par exemple, alors que 92 % des personnes interrogées pensent disposer d’une sécurité adéquate pour leurs API, 62 % admettent qu’un tiers ou plus des API ne sont pas documentées.
Cela indique que la majorité des entreprises rejettent leur véritable posture de sécurité des API, choisissant de négliger le manque d’ouverture sur un nombre substantiel de API non documentées.
L’exigence de la sécurité des API
Avec plus d’entreprises opérant dans le cloud que jamais auparavant, la sécurité des API est désormais cruciale pour éviter les violations de données et tenir à distance les acteurs malveillants destructeurs. Cependant, de nombreuses organisations ne parviennent pas à apporter les modifications stratégiques nécessaires pour sécuriser leurs API.
Des entreprises de premier plan comme Parler, Peloton et même LinkedIn ont été victimes d’attaques très médiatisées basées sur des API commises par des cybercriminels qui comprennent que les API sont un point d’entrée souvent ignoré aux environnements d’entreprise.
Si l’on considère que le trafic d’API a augmenté de 321 % l’année dernière et que le trafic d’attaques d’API a augmenté de 681 %, les entreprises doivent être prêtes à réduire les menaces au niveau de l’API si elles souhaitent sécuriser leurs informations.
Se familiariser avec la sécurisation des API
L’essentiel pour résoudre ces dangers est que les groupes de sécurité documentent et trouvent complètement les API, car les ignorer peut fournir à un agresseur tout ce dont il a besoin pour obtenir dans l’environnement.
« Pour de nombreuses entreprises, il y a incontestablement une fausse complaisance à être efficacement protégées contre les cyberattaques. En vérité, elles ont des lacunes importantes dans la sécurité autour des API inconnues et non documentées », a déclaré le responsable des opérations principal et le responsable de la recherche et du développement chez Radware, Gabi Malka, dans l’annonce officielle.
« La sécurité des API n’est pas une « tendance » en passe de disparaître. Les API sont un élément fondamental de la majorité des innovations actuelles et la sécurité doit être une priorité absolue pour chaque organisation », a déclaré Malka.
Malka avertit que les organisations commettent généralement l’erreur de croire que leur posture de protection des API est bien meilleure qu’elle ne l’est en raison du fait qu’elles font de fausses hypothèses, comme penser que les passerelles API et les WAF standard sécurisent leur environnement, plutôt que de intégration d’options de protection d’API dédiées avec des capacités de sécurité des bots.
Jetez un coup d’œil au marché de la sécurité des API
Naturellement, de nombreuses entreprises reconnaissent la menace posée par les dangers liés aux API et développent activement leurs propres services pour faire face à ces nouveaux des menaces. L’un des acteurs cruciaux de ce marché est Salt Security, avec sa plateforme Salt API Protection qui trouve les API et les informations exposées, produisant un inventaire des API que les équipes de sécurité doivent surveiller.
Plus tôt cette année, Salt Security a annoncé qu’elle avait levé 140 millions de dollars de financement dans le cadre d’un cycle de financement de série D.
Une autre société de sécurité des API est Wallarm, qui fournit une plate-forme de sécurité des API créée pour protéger les API dans les environnements natifs du cloud, en les sécurisant par rapport au Top 10 des API OWASP, en utilisant l’atténuation des bots et le filtrage automatisé de la sécurité des API. Wallarm a révélé avoir levé 8 millions de dollars dans le cadre d’un cycle de financement de série A en 2018.
Alors que le marché de la sécurité des API se développe davantage, les entreprises auront la possibilité de comparer ces outils similaires aux outils traditionnels d’analyse des vulnérabilités, basés sur sur leur efficacité à analyser et à reconnaître les vulnérabilités des API exposées.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies commerciales transformatrices et d’effectuer des transactions. En savoir plus sur l’adhésion.
Toute l’actualité en temps réel, est sur L’Entrepreneur
