Actu
Stéphane Benfredj, Noname Security : la sécurisation des API est un « must » !
juin 2022 par Marc Jacob
Noname Security vient de s’implanter en Europe il y a quelques mois et sera présent au FIC afin de présenter sa plateforme de protection des APIs et ses nouvelles fonctionnalités de Testing Actif. Elle se déploie en mode "out-of-band", sans aucun agent ni changement de configuration réseau. Pour Stéphane Benfredj, Directeur, Solution Architecture de Noname Security la sécurisation des API est un « must » !
Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2022 ?
Stéphane Benfredj : Nous avons démarré les activités de Noname Security en Europe en fin d’année dernière et sommes ravis de participer pour la première fois à cet évènement incontournable de la cybersécurité en France que représente le FIC.
8 Nous présenterons notre plateforme de protection des APIs et nos nouvelles fonctionnalités de Testing Actif.
Global Security Mag : Quels sont les points forts des solutions que vous allez présenter à cette occasion ?
Stéphane Benfredj : La plateforme de Noname Security->https://nonamesecurity.com/hubfs/noname-api-security-platform-product-brief-at.pdf] se distingue par une nouvelle approche et une technologie unique pour adresser les problématiques de sécurisation des APIs de nos clients, chez qui nous observons deux grandes tendances :
● Besoin d’identification et d’évaluation de la surface d’attaque au niveau des APIs et ce avant même d’adresser les problématiques de sécurité "run-time"
Combien ai-je d’APIs dans mon organisation ? Comment sont-elles exposées (authentification, gateways) ? Quelles sont celles qui exposent des données considérées comme sensibles ?
Sont-elles correctement documentées ?
Nos clients évoquent une "zone grise" existante sur ce périmètre et donc un risque associé.
● Démarche "shift-left" au niveau des équipes DevOps/DevSecOps et objectif d’automatisation des process de sécurisation des APIs durant leur cycle de développement logiciel - en s’insérant dans la chaîne d’intégration continue
Chez les clients concernés, cette démarche va dans le même sens que celle déjà en place pour la validation des images des containers par exemple.
La plateforme de Noname Security->https://nonamesecurity.com/hubfs/noname-api-security-platform-product-brief-at.pdf] se déploie en mode "out-of-band", sans aucun agent ni changement de configuration réseau :
Son déploiement prend quelques minutes et permet d’obtenir une visibilité complète en quelques jours.
À ce jour, Noname Security a permis de découvrir et de fixer des APIs mal configurées qui auraient pu entraîner l’exfiltration de millions d’enregistrements sensibles.
Nos plateformes identifient et bloquent de façon active plus de 1 000 attaques par jour chez nos clients.
Global Security Mag : Depuis le début de l’année, avez-vous remarqué la montée de nouvelles cyber-menaces ?
Stéphane Benfredj : Nous pourrions plutôt parler d’évolution dans les vecteurs d’attaques, dans la lignée de ce qu’avait annoncé Gartner il y a quelques années en prévoyant que les APIs deviendraient le principal vecteur d’attaque en 2022 pour exfiltrer des données.
L’an dernier, de nombreuses organisations ont été victimes d’incidents et d’exfiltrations de données liées à des APIs présentant des vulnérabilités ou des mauvaises configurations : Peloton, Brewdog, John Deere pour n’en citer que quelques-unes et cela se poursuit en 2022.
Global Security Mag : Comment les technologies doivent-elles évoluer pour contrer ces menaces ?
Stéphane Benfredj : Les risques spécifiques associés aux APIs sont différents de ceux associés aux applications web traditionnels, notamment par rapport aux types d’attaques.
Les composants « in-line » tels que les firewalls applicatifs ou les passerelles APIs amènent des fonctions de sécurité nécessaires (authentification, contrôle de trafic), mais sont limitées dans leur capacité d’analyse, surtout quand il est nécessaire de comprendre le contexte et la logique des transactions pour identifier une attaque, comme c’est le cas au niveau des APIs.
Comme dans d’autres domaines autour de la cybersécurité, le recours à du machine learning devient essentiel pour identifier ces nouvelles attaques.
Global Security Mag : Selon-vous, quelle place l’humain peut-il avoir pour renforcer la stratégie de défense à déployer ?
Stéphane Benfredj : L’expertise et la compétence des équipes est au cœur d’une bonne stratégie de gestion et de réponse aux incidents
Cela nécessite d’une part de se former en permanence (sur les nouvelles menaces et les technologies associées) et d’autre part d’avoir des solutions fournissant de l’information directement « consommable » à travers les plateformes et les « workflow » déjà en place dans l’écosystème (solutions SIEM, solutions de gestion de tickets d’incidents, outils de collaboration)
On constate chez nos clients qu’il est difficilement concevable de rajouter une solution dans leur environnement qui ne répondrait pas à ce prérequis : les ressources sont forcément en nombre limité et cette automatisation est critique.
Global Security Mag : On note depuis des années une pénurie de talents, quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?
Stéphane Benfredj : Une priorité est certainement de mieux communiquer sur la diversité des métiers dans le domaine, notamment auprès des étudiants.
On peut citer notamment l’initiative de l’ANSSI à travers le Panorama des métiers de la cybersécurité
Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?
Stéphane Benfredj : Les API sont au cœur des initiatives de transformation digitale et de modernisation applicative.
L’augmentation des APIs qui en a résulté a considérablement élargi la surface d’attaque des applications.
Sans surprise, les API sont désormais le vecteur de cyberattaque le plus populaire.
Si elles ne sont pas correctement sécurisées, les API vulnérables peuvent être exploitées, entraînant une interruption des activités, une exposition accidentelle des données, un vol, une fraude et/ou des violations de la réglementation. L’image de marque de l’entreprise peut directement être impactée par un tel incident.
Partant de ces constats et de cette criticité, il est légitime pour les RSSI de se poser la question de la proportionnalité des moyens mis en œuvre pour leur sécurisation.
Pour en savoir plus :
– Product Brief - The Noname API Security Platform
https://nonamesecurity.com/hubfs/noname-api-security-platform-product-brief-at.pdf
– Noname Security blog
https://nonamesecurity.com/blog
– The API Security Newsletter
https://www.getrevue.co/profile/apisecurity
Articles connexes:
- Jérôme Chapolard Orca Security : les équipes sécurité doivent utiliser des solutions à base IA pour la gestion des tâches routinières
- Giuseppe BRIZIO, QUALYS : l’approche de la cybersécurité doit être basée sur l’analyse des risques et les impacts en cas de cyberattaques réussies
- Vladimir Kolla, Founder de Patrowl : La moitié des piratages des entreprises se font par des actifs exposés sur internet donc pensez à prendre en compte votre surface d’attaque externe
- Maxime Alay-Eddine, Cyberwatch : Notre solution vous permet de moderniser les analyses de risques
- Rui Manuel COSTA, QUERY Informatique : Les bonnes solutions de cybersécurité doivent être faciles et simples à déployer !
- Frédéric Le Landais, Synetis : En matière de cybersécurité, il faut prévoir en intégrant à l’ensemble des sujets la sécurité by design et en anticipant la gestion d’une crise cyber
- Thierry Velasquez, Symantec by Broadcom Software : Les RSSI peuvent livrer le meilleur d’eux-mêmes lorsqu’ils ont de la flexibilité
- Eric Heddeland, Barracuda Networks : les entreprises ne peuvent plus se passer d’une solution WAF
- Boris Gorin, Canonic Security : Nous redéfinitssons la sécurité des applications d’entreprise en offrant une visibilité continue sur l’interconnectivité
- Blandine Delaporte, SentinelOne : Notre plateforme Singularity XDR peut vous aider de manière drastique à améliorer votre posture de sécurité
- Emmanuel Barrier, Kyndryl : Transformez votre entreprise en championne de la Cyber-Résilience !
- Michel Gérard, Président de Conscio Technologies : L’humain est essentiel à la mise en œuvre d’une stratégie cybersécurité
- Roland Atoui, et Olga Ghattas, RED ALERT LABS : Notre mission est de redonner confiance aux entreprises dans l’IoT tout en assurant que la cybersécurité est prise en compte
- Jean-Noël De Galzain, Président d’HEXATRUST : RSSI, travaillons ensemble afin de construire un numérique de confiance au service du plus grand
- Yves Wattel, Delinea : RSSI, ne négligez pas la gestion des comptes à privilèges, ils sont la clé du Royaume !
- Nicolas Arpagian, Trend Micro Europe : Trend Micro One permet de comprendre et maîtriser les risques de cybersécurité au sein de leur organisation
- Jonathan Gruber, Snyk : Nous aidons les développeurs détecter et corriger les vulnérabilités de sécurité de leur code
- Guillaume Massé, Rapid7 : La collaboration est le seul moyen d’obtenir des changements à long terme
- Faure-Muntian, Women4Cyber France : Nous souhaitons mettre l’accent sur les rôles modèles féminins
- Laurent Tombois, Bitdefender : les solutions de cybersécurité doivent désormais fournir une visibilité complète sur l’ensemble de l’infrastructure
- Frédéric Saulet, Vulcan Cyber : Vulcan Cyber pourrait être qualifié de chainon manquant entre l’identification du risque et sa remédiation
- Loïc Guézo, Proofpoint : L’humain est le dernier rempart et non le maillon faible de l’entreprise
- Renaud Ghia, Président de TIXEO : Nous avons à cœur de construire une nouvelle approche collaborative du travail en équipe à distance
- Vincent Dély, Nozomi : Nos solutions protègent les environnements OT et IoT
- Albéric Merveille, CIV France SAS : Si les enjeux liés à la cybersécurité sont essentielles, il ne faut pas oublier pour autant la sécurité physique
- Jean-Michel Henrard, Dust Mobile : Notre solution est efficace et simple à déployer, et n’a aucun impact sur les usages, les utilisateurs et la gouvernance
- Axelle Saim, SANS Institute, EMEA : Mieux vaut des mesures préventives que de devoir restaurer votre organisation à la suite d’une cyberattaque
- Hervé Schauer, HS2 : Ce ne sont pas les technologies qui font la différence mais les hommes
- David Grout, Mandiant : Les RSSI doivent continuer à promouvoir l’intégration de la sécurité au niveau des directions
- Boris Lecoeur, Cloudflare France : Notre mission est d’aider à construire un Internet meilleur plus performant, plus fiable et plus sécurisé
- Laurent Szpirglas, Ping Identity : les méthodes d’authentification sont devenues un véritable enjeu d’adoption avec des retombées économiques importantes
- Les gagnants du Prix du Livre FIC 2022 !
- Matthieu Trivier, Semperis : Préparez-vous à l’impensable et tester votre résilience et l’efficacité des processus déjà mis en place
- Fabrice Berose, Ilex International : Sécuriser ses accès au SI et améliorer la traçabilité reste un must-have
- Gérôme Billois, Wavestone : L’enjeu clé dans les mois et années à venir sera celui des ressources humaines
- Jean- François Rousseau, ACCEDIAN : Notre solution NDR Skylight Interceptor vous permet de couvrir les angles morts des cyberattaques
- Elimane Prud-hom, Salt Security : les RSSI ont besoin de solutions offrant une visibilité sur les activités API
- Grégory Gatineau, Aruba : La mobilité, l’IoT et le travail hybride complexifient la sécurité du réseau
- Romain Basset, Vade : L’heure est au décloisonnement et au partage d’informations entre les différentes solutions pour améliorer le niveau global de sécurité
- Florian Malecki, Arcserve : Les solutions de sauvegarde, de restauration et de stockage immuable doivent devenir la pierre angulaire des stratégies de cybersécurité !
- Grégoire Germain, CEO d’HarfangLab : Notre EDR reste l’alternative européenne
- Frédéric Grelot, GLIMPS : Les RSSI doivent boostez l’intelligence de leurs lignes de défense !
- Cyril Guillet, AugmentedCISO : Nous souhaitons délester les RSSI des tâches chronophages, fastidieuses et répétitives, tout en bannissant l’Excel !
- Fabien Pereira-Vaz, Paessler AG : Seule une solution de surveillance centrale peut sécuriser les processus interservices et inter-équipes dans la planification et la production
- Eric Fries, ALLENTIS : Seule des analyses comportementales très pointues des flux permettent de déjouer certaines tentatives d’attaque
- Guillaume Kauffmann, TRACIP : Les événements auxquels les RSSI sont confrontés doivent être traités de manière transversale pour espérer une résilience durable
- Joep Gommers CEO d’EclecticIQ BV : En cybersécurité les renseignements doivent vous servir à construire de bonnes « practices ».
- L’ANSSI poursuit sa stratégie de long terme
- FIC Talks 2022 de Valérie Caudroy DOCAPOSTE : La confiance numérique passera par la simplification des usages
- Sharon Caro Salvador Technologies : Notre mission, permettre la continuité opérationnelle
- David Clarys, Ignition France : Nous souhaitons démocratiser les solutions de cybersécurité de l’ETI au grand groupe du CAC40
- Frédéric Duflot, Examin : En cyber aussi il faut « Penser global, agir local »
- Nadav Elkiess, Pentera : Notre plateforme prouve l’impact potentiel de l’exploitation de chaque faille de sécurité
- Luc d’Urso, PDG d’Atempo : En matière de souveraineté numérique, il reste encore du chemin à parcourir
- Jean-Michel Tavernier, Armis : Nous vous offrons une vue en temps réel de tous vos assets connectés
- Sébastien Bernard, llumio : Notre approche de la segmentation Zero Trust aide les organisations à adopter la transformation numérique sans sacrifier la sécurité
- Soufyane Sassi, Recorded Future : face aux menaces, il est temps de passer de l’information au renseignement directement exploitable
- Lila Valat, Bubo Initiative : Nous facilitons l’accès à la sécurité en abordant de manière accessible les fondamentaux de la sécurité
- Julian Gouez, HelpSystems : Pour une approche de la protection intelligente des données
- Joël Mollo, Cybereason : Dans la lutte contre les menaces l’usage de l’IA est devenu clé
- Stéphane de Saint Albin, UBIKA : Notre approche de la sécurité intégrée au cœur de toutes les applications est notre marque de fabrique
- Guy Becker, Sasa Software : le CDR aide là où la détection échoue !
