L’enquête SANS de 2023 sur la sécurité des API a révélé que moins de 50 % des personnes interrogées ont déjà mis en place des outils de test de sécurité destinés aux API. Les répondants sont encore moins nombreux à disposer d’outils de découverte d’API (29 %). De plus, le rapport constate que l’exploitation des contrôles de sécurité des API inclus dans les services DDoS et d’équilibrage de charge représente un « domaine sous-utilisé ». Seules 29 % des personnes interrogées ont déclaré utiliser ces fonctionnalités.

Dans le cadre de cette enquête, menée au premier trimestre 2023, Akamai s’est associé au SANS Institute afin de déterminer dans quelle mesure le monde de l’entreprise est sensibilisé et préparé aux risques de sécurité des API, et d’identifier les projets d’avenir des entreprises pour faire face à ces risques. Les 231 personnes interrogées dans le monde entier étaient principalement des professionnels de la sécurité des applications.

Les applications d’aujourd’hui utilisent de plus en plus les API pour examiner les processus métier et les décomposer en un certain nombre de communications nécessaires pour permettre aux partenaires commerciaux et aux clients de collaborer efficacement avec une organisation. Un récent rapport État des lieux d’Internet, par Akamai, Se faufiler à travers les failles de sécurité, a indiqué que 2022 a été une année record pour les attaques d’applications et d’API.

Les participants à l’enquête ont classé l’hameçonnage (38,3 %) et le manque de correctifs (24 %) comme les deux principaux problèmes de la sécurité des API. Viennent ensuite l’exploitation d’applications/API vulnérables (12 %) et la divulgation accidentelle d’informations sensibles (9,1 %).

Autres principales constatations de l’enquête :
• 62 % des personnes interrogées utilisent des pares-feux d’applications Web dans le cadre de l’atténuation des risques liés aux API.
• La plupart (57,1 %) des répondants ont déclaré que l’exactitude de leur inventaire des API se situait entre 25 % et 75 %.
• La plupart des personnes interrogées ont cité les listes Top 10 de sécurité des applications et des API de l’OWASP (Open Web Application Security Project) et le cadre MITRE ATT&CK comme la base de leur définition des risques liés aux applications et aux API.
• 76 % des personnes interrogées ont indiqué avoir formé le personnel de développement de leur société à la sécurité des applications.

« Cette nouvelle enquête permet de découvrir le point de vue du secteur sur un sujet qui reste l’un des principaux problèmes de sécurité en 2023 et qui continuera de l’être », déclare Rupesh Chokshi, Senior Vice President et General Manager, Application Security chez Akamai. « Les résultats montrent que les entreprises doivent se concentrer davantage sur l’emplacement et le nombre de leurs API en cours d’exécution, car les API vulnérables deviennent le point d’accès le plus courant pour les attaques contre les entreprises. »
« Le principal enseignement de cette enquête est que les contrôles de sécurité de base tels que l’authentification forte, l’inventaire des ressources, la gestion des failles de sécurité et le contrôle des modifications se doivent de résoudre les problèmes de sécurité des API », souligne John Pescatore, Directeur des tendances émergentes en matière de sécurité chez SANS. « La prévention et la détection doivent être mises à niveau pour faire face aux attaques axées sur les API, et les services d’infrastructure (tels que les réseaux de diffusion de contenu et le filtrage des dénis de service) doivent également être utilisés pleinement. »