Les API sont au cœur de l’univers numérique. Téléphones, montres connectées, systèmes bancaires et sites d’achat, toutes ces applications se reposent sur les API pour communiquer. Ces dernières peuvent aider les sites d’e-commerce à accepter les paiements, permettre aux systèmes médicaux de partager les données de leurs patients de manière sécurisée, voire permettre aux taxis et aux services de transport en commun d’accéder en temps réel aux données de circulation. Toutes les entreprises d’aujourd’hui ou presque s’en servent pour développer des sites, des applications et des services de meilleure qualité et mieux les proposer à leurs clients. Malheureusement, les API non gérées ou non sécurisées représentent une mine d’or pour les acteurs malveillants à la recherche d’informations potentiellement sensibles.

« Les API occupent une position centrale dans la manière dont les applications et les sites web fonctionnent. Elles constituent donc une cible privilégiée et relativement récente pour les pirates », explique Matthew Prince, CEO et cofondateur de Cloudflare. « Il est essentiel que les entreprises identifient et protègent l’ensemble de leurs API afin d’empêcher les violations de données et de sécuriser leur activité. »

Quelques conclusions essentielles du rapport Cloudflare 2024 consacré à la gestion et à la sécurité des API :

● Même les secteurs les plus improbables connaissent des pics élevés de trafic lié aux API : l’intégration fluide proposée par ces dernières a poussé les entreprises de tous les secteurs à en tirer davantage parti, certaines plus rapidement que d’autres. Les secteurs de l’IdO, des trains, bus et taxis, des services juridiques, des jeux et du multimédia, ainsi que ceux de la logistique et de l’approvisionnement, détiennent la plus grande part de trafic lié aux API en 2023.

● Le trafic lié aux API est à l’origine de la majorité du trafic Internet : les API dominent le trafic Internet dynamique autour du monde (57 %) et chaque région protégée par Cloudflare a observé une augmentation de leur utilisation au cours de l’année dernière. L’Afrique et l’Asie sont toutefois les premières régions à avoir massivement adopté les API et à constater la part de trafic la plus élevée en 2023.

● Les API font face à un large éventail de menaces fréquentes et en augmentation constante : comme pour n’importe quelle fonction stratégique populaire hébergeant des données sensibles, les acteurs malveillants tentent d’exploiter tous les moyens nécessaires pour accéder à ces dernières. L’essor des API en termes de popularité a également entraîné une hausse du volume des attaques, les attaques par anomalie HTTP, par injection et par inclusion de fichiers étant les trois types d’attaques les plus couramment utilisés et atténués par Cloudflare.

● Les API « fantômes » constituent un moyen d’accès non sécurisé pour les acteurs malveillants : les entreprises ont du mal à protéger ce qu’elles ne peuvent pas voir. Près de 31 % de points de terminaison d’API REST (l’endroit où une API se connecte aux logiciels) supplémentaires ont été identifiés grâce au Machine Learning (apprentissage automatique) plutôt que par l’intermédiaire d’identifiants fournis par les clients. En résumé, les entreprises ne disposent pas d’un inventaire complet de leurs API à l’heure actuelle.

● Les solutions d’atténuation des attaques DDoS sont l’un des outils les plus efficaces pour protéger les API : que les entreprises disposent d’une visibilité totale sur l’ensemble de leurs API ou non, les solutions d’atténuation des attaques DDoS peuvent les aider à bloquer les menaces potentielles. Un tiers (33 %) des mesures d’atténuation des menaces liées aux API ont été appliquées par des services de protection contre les attaques DDoS déjà en place.

« Les API sont des outils puissants permettant aux développeurs de créer des applications complexes et complètes afin de servir leurs clients, leurs partenaires et leurs collaborateurs, mais chaque API constitue une surface d’attaque potentielle devant être sécurisée », précise Melinda Marks, Practice Director, Cybersecurity chez Enterprise Strategy Group. « Comme le montre ce nouveau rapport, les entreprises ont besoin d’outils plus efficaces pour traiter la sécurité des API, comme une meilleure visibilité sur les API, des ressources permettant d’assurer l’authentification et l’autorisation entre les connexions, ainsi que de meilleurs moyens de protéger leurs applications contre les attaques. »

-----------------------
Méthodologie du rapport : les conclusions de ce rapport, notamment les statistiques mentionnées ci-dessus, se basent sur les schémas de trafic observés par le réseau mondial de Cloudflare (notamment les services de pare-feu d’applications web, de protection contre les attaques DDoS, de gestion des bots et de passerelle d’API proposés par Cloudflare) entre le 1er octobre 2022 et le 31 août 2023. Pour le trimestre qui a pris fin le 30 septembre 2023, Cloudflare a traité plus de 50 millions de requêtes HTTP par seconde en moyenne et bloqué quotidiennement 170 milliards de cybermenaces (là encore en moyenne).