Le rapport State of API Security du T3 2022 a été synthétisé à partir des réponses au sondage et de données empiriques recueillies par la plateforme cloud de Salt Security. Avec une augmentation de 117 % des attaques d’API, contre 168 % du trafic normal des API, ce rapport issu des données client de Salt met en évidence la vulnérabilité continue des API utilisées en entreprise. Alors que le trafic malveillant parasite 2,1 % du trafic total des API, les attaques orchestrées contre ces dernières sont passées de 12,22 M d’appels malveillants mensuels à 26,46 M en moyenne au cours du mois de juin. Parmi les clients de Salt, 44 % sont visés par 11 à 100 attaques par mois et 34 % par plus de 100 attaques. Chez 8 % d’entre eux, ce chiffre s’élève à plus de 1 000 attaques par mois.

« Socle de notre économie moderne, la numérisation accroît progressivement la dépendance des entreprises aux API afin de proposer de nouveaux services et de se montrer plus compétitive. En privilégiant l’innovation numérique, ces dernières s’exposent toutefois aux menaces, comme le démontre clairement cette étude », explique Roey Eliyahu, cofondateur et PDG de Salt Security. « Face à l’accélération permanente des attaques API, il n’est pas surprenant que les réponses à ce sondage désignent la sécurité comme l’inquiétude principale en matière de gestion des API. Une inquiétude également justifiée par les résultats du rapport, qui pointent du doigt le développement, mais surtout le runtime, afin de mieux protéger une surface d’attaque qui ne cesse de s’étendre, ainsi que les données les plus sensibles de l’entreprise.

À l’heure où 61 % des sondés gèrent plus de 100 API, la mise au point d’une stratégie de sécurité probante est indispensable, d’autant plus que de nombreuses initiatives clés sont étroitement liées à l’exploitation des API, ce qui laisse aux entreprises peu de marge pour les retards de déploiement ou le rollback. Malgré tout, plus de la moitié des sondés déclarent avoir retardé le déploiement d’une nouvelle application en raison de problèmes de sécurité liés aux API.

Classement des fonctionnalités de sécurité : la capacité à neutraliser les attaques en production arrive au sommet de la liste, l’approche shift-left tout en bas
À la question de savoir lequel des six attributs des plateformes de sécurité API est « très important », 41 % des sondés citent d’abord la capacité à intercepter des attaques. Jugée comme « très importante » par 40 % des sondés, la capacité à identifier les API exposant des informations personnellement identifiables (PII) ou des données sensibles arrivent en deuxième place. À la troisième place, 39 % des sondés répondent par le respect de la conformité et des exigences réglementaires. Enfin, à la dernière place de la liste, seuls 22 % des sondés considèrent comme « très importante » la mise en place de pratiques shift-left.

« Shift-left » : les entreprises trop dépendantes à une solution peu fiable
Loin de se suffire à elles-mêmes, les pratiques shift-left n’assurent pas une protection efficace des entreprises et de leurs API. Parmi les approches privilégiées, 53 % des sondés choisissent la résolution des problèmes au cours du développement, tandis que 59 % recherchent les incidents API en phase de test. Pour autant, 94 % d’entre eux rencontrent toujours des incidents, preuve que le trafic de production a besoin d’une protection renforcée. Autre chiffre de ce rapport : seuls 30 % des sondés affirment identifier et corriger les failles de sécurité des API en production ; un pourcentage bien faible compte tenu de l’importance de la protection des API déjà déployées au sein de l’environnement.

Les inquiétudes liées à la sécurité retardent le déploiement de nouvelles applications chez la majorité des sondés

Parmi les participants au sondage, 54 % d’entre eux, soit plus de la moitié, déclarent avoir dû ralentir le déploiement d’une nouvelle application en raison de problèmes de sécurité liés aux API. En cause, une conception hasardeuse ou de mauvaises pratiques de sécurité, qui engendrent inévitablement des fuites de données personnelles sensibles. Les réponses à cette enquête soulignent d’ailleurs l’ampleur du défi à relever, puisque les sondés sont près d’un tiers à reconnaître avoir identifié une fuite de données sensibles ou un incident de confidentialité au sein de leur production API au cours de l’année écoulée. Et en comparaison des 19 % observés l’année passée, cette nette augmentation a de quoi interroger. Au sein de la base de clients de Salt, l’exposition d’informations personnelles ou de données sensibles est constatée
sur 91 % des API. Dès lors, la connaissance des API et des fonctions exposant ces données sensibles est impérative afin de protéger au mieux les API.

Sécurité et API « zombies » : une inquiétude majeure

En matière de stratégie de sécurité des API, les sondés sont préoccupés en premier lieu par le manque d’investissement dans la sécurité en pré-production (20 %) et les failles de sécurité du runtime (18 %). Interrogés sur les risques de sécurité les plus urgents, 42 % des participants ont mis en cause les API « zombies », c’est-à-dire obsolètes. Une réponse attendue, car les API « zombies » arrivent à la première place des inquiétudes dans les quatre dernières enquêtes conduites par Salt, probablement en raison du développement effréné mis en œuvre par des entreprises cherchant à maximiser la rentabilité de leurs API. L’usurpation de compte et l’exposition accidentelle d’informations sensibles arrivent à égalité à la deuxième place (15 % pour les deux), suivies par les API inconnues, également appelées API « shadow », dont le nombre est passé de 5 à 11 % en l’espace de six mois.

Les WAF et API Gateways continuent de laisser passer les attaques
Comme dans les sondages précédents, les participants ont déclaré s’appuyer principalement sur des outils traditionnels pour gérer leurs API et se prémunir des attaques visant les applications. Ainsi la plupart des sondés comptent-ils sur les passerelles d’API (54 %) et les WAF (44 %) pour identifier les attaques. Malgré ce choix, les sondés ne semblent pas pour autant se bercer d’illusions : 82 % d’entre eux considèrent que les outils dont ils disposent actuellement ne suffisent pas à éviter les attaques, et 94 % ont déjà connu un incident de sécurité API.

Efficacité des stratégies de sécurité des API : des obstacles nombreux, mais pas insurmontables

Un pourcentage important des sondés (61 %) reconnaît ne pas disposer d’une stratégie de sécurité satisfaisante, ce qui pose problème au vu de leur forte dépendance aux API afin de produire des résultats essentiels à leur activité commerciale. Si tous les sondés comptent des API exécutées en production, un très faible pourcentage d’entre eux (9 %) déclare toutefois avoir mis en place une stratégie avancée incluant des fonctionnalités de test et de protection.

Pour expliquer l’absence de mesures robustes, les principales raisons évoquées sont les contraintes budgétaires (24 %), le manque d’expertise (20 %) et de ressources (19 %) ainsi que le temps (11 %).

Autres conclusions du rapport State of API Security :

● Des informations personnelles ou des données sensibles sont exposées dans 91 % des API exécutées au sein de la base clients de Salt

● Les changements API progressent, avec 11 % des sondés mettant à jour leur API quotidiennement, 31 % toutes les semaines et 24 % moins d’une fois par mois

● Chez à peine plus de la moitié des sondés (55 %), les équipes de sécurité tiennent comptent du top 10 des menaces mises en avant par le projet OWASP API dans leur programme de sécurité, contre 61 % il y a six mois. Un relâchement pour le moins alarmant lorsqu’on sait que 62 % des tentatives d’attaques visant des clients de Salt exploitent au moins une des méthodes de la liste.

● 86 % des sondés n’ont pas confiance dans l’intégrité de leur inventaire API, et 14 % répondent ne pas savoir quelles API sont concernées par l’exposition d’informations personnelles

● 64 % des sondés déclarent que la sécurité API a favorisé la collaboration des équipes de sécurité et des DevOps, voire leur fusion

Ce que cela implique pour la sécurité des API

Les résultats du rapport State of API Security, T3 2022 parlent d’eux mêmes. Dans leurs réponses, les participants ont très majoritairement fait état d’une dépendance croissante aux API, dont dépend toujours plus la réussite de leur entreprise. En parallèle, les outils de sécurité dont ils disposent actuellement et les processus mis en place sont à la traîne derrière les nouveaux protocoles et schémas d’attaque visant les API. Ces observations sont d’ailleurs confirmées par le trafic d’API et les tendances d’usage que nous observons au sein de la base clients de Salt. Une seule solution pour les entreprises : délaisser les pratiques traditionnelles et les outils vieillissants au profit d’une stratégie moderne qui répond aux impératifs de sécurité à chaque étape du cycle de vie de l’API, tout en fournissant un large éventail de protections qui viendront favoriser la collaboration entre les équipes.

Le rapport State of API Security, T3 2022 a été élaboré par des chercheurs de Salt Labs, le département de recherche de Salt Security, à partir des réponses fournies par plus de 350 sondés occupant différents postes dans des secteurs variés et des entreprises de toutes les tailles. Parmi eux, ils sont 49 % à travailler dans la sécurité, 19 % étant des cadres ou des leaders, et 21 % étant affectés à la plateforme, aux DevOps ou aux équipes produits. Les entreprises spécialisées dans la technologie et les services financiers, majoritaires dans l’utilisation des API, représentent 47 % des participants. Des entreprises de toutes les tailles ont répondu à cette enquête, dont les résultats sont complétés par des données empiriques anonymisées et agrégées recueillies auprès des clients Salt Security sur Salt Security API Protection Platform.