Un rapport de Salt Security met en évidence des vulnérabilités et des attaques significatives compromettant la sécurité des API au sein des établissements financiers et des compagnies d’assurance
juillet 2023 par Salt Security
Salt Security publie les conclusions de son premier rapport du même nom centré sur un secteur d’activité, en l’occurrence, celui des services financiers et de l’assurance. Intitulée State of API Security for Financial Services and Insurance, l’édition 2023 de ce rapport, qui réunit des données d’observation recueillies auprès de la clientèle Salt et des observations tirées de deux enquêtes distinctes, livre une analyse approfondie de l’incidence qu’exercent, dans ce secteur d’activité, les menaces et vulnérabilités compromettant la sécurité des API.
Les résultats de ce rapport établissent que les attaquants ciblant les API dans les services financiers et l’assurance ont considérablement intensifié leurs activités, pointant une progression de 244 % des attaques uniques entre les premier et second semestres l’an dernier. Par ailleurs, 92 % des participants du secteur services financier/assurance admettent avoir rencontré un problème de sécurité significatif avec leurs API de production durant l’année écoulée, et près d’un représentant sur cinq interrogé reconnaît avoir été victime d’une fuite de données consécutivement à une faille de sécurité dans une API. Les principales conclusions de ce rapport sont les suivantes :
● 69 % des participants du secteur services financiers/assurance indiquent avoir subi des retards de déploiement imputables à des problématiques de sécurité concernant leurs API, un taux supérieur de 11 % à la moyenne des réponses obtenues au total.
● 17 % des professionnels interrogés ont été victimes d’une fuite de données consécutive à une faille de sécurité dans une API.
● 84 % des attaques visant le secteur services financiers/assurance émanent d’utilisateurs « authentifiés », mais qui, sous des dehors légitimes, sont en réalité des pirates.
● 71 % des participants du secteur services financiers/assurance déplorent le relatif manque d’efficacité des outils en place dans la prévention des attaques ciblant les API.
● Plus de 25 % des professionnels interrogés avouent n’avoir actuellement aucune stratégie de sécurisation des API.
« Les API sont essentielles aux services numériques innovants aujourd’hui proposés par les établissements financiers et les compagnies d’assurance », affirme Roey Eliyahu, CEO et cofondateur de Salt Security. « Or les cybercriminels n’ignorent pas que ces API – qui véhiculent des informations clients et financières névralgiques –, détiennent en commun une mine de données susceptibles d’être exploitées à des fins de vol ou de fraude. Les conclusions de l’étude établissent que les acteurs de ce secteur font l’objet d’une hausse significative des attaques ainsi que d’autres problématiques de sécurité, accentuant leur vulnérabilité aux incidents en lien avec des API. »
La sécurisation des API permettant de protéger les nouveaux services numériques est une priorité parmi les acteurs de la filière.
Les établissements à l’origine de fuites de données imputables à des failles de sécurité dans leurs API s’exposent à des amendes, à perdre la confiance de leur clientèle et à voir leur réputation entachée. De même, les retards dans le déploiement des applications ou la restauration de versions antérieures sont onéreux. Compte tenu de l’importance des services numériques qui agissent en quelque sorte comme un levier de croissance dans ce secteur d’activité, la sécurisation des API est devenue un enjeu décisif, comme en attestent les observations ci-après :
● 56 % des participants du secteur services financiers/assurance indiquent que la sécurisation des API fait aujourd’hui l’objet d’une réflexion dans les hautes sphères de leurs établissements (un taux supérieur de 8 % à la moyenne des réponses obtenues au total) ;
● 79 % des RSSI du secteur services financiers/assurance jugent la sécurisation des API plus prioritaire qu’il y a deux ans ;
● 76 % des RSSI du secteur services financiers/assurance précisent que leurs établissements ont prévu d’ériger en priorité la sécurisation des API au cours des deux prochaines années, 13 % indiquant qu’il s’agira d’une priorité absolue.
« Compte tenu de l’importance croissante du rôle joué par les API ces dernières années pour dynamiser les entreprises modernes, il est surprenant que leur sécurisation ne soit devenue un axe de prédilection que récemment », observe Jeff Farinich, senior vice-président chargé des technologies et RSSI chez American Funding. « La lenteur de l’évolution des cadres et des réglementations de sécurité en est partiellement responsable, mais une lueur d’espoir se profile à l’horizon. Il n’a fallu qu’un an au FFIEC (Federal Financial Institutions Examination Council), qui met habituellement plusieurs années avant d’instituer de nouvelles obligations, pour explicitement désigner les API comme une surface d’attaque distincte, et imposer aux établissements financiers de recenser les connexions API, de remédier aux éventuels manquements et de les sécuriser. »
Malgré l’essor des attaques, le secteur des services financier et assurance ne dispose pas d’une protection adéquate pour ses API.
Les professionnels interrogés du secteur services financier et assurance affirment ne pas être préparés ni ne prendre les mesures adéquates pour protéger les API des menaces :
● 28 % des participants, bien que disposant tous d’API de production, avouent n’avoir actuellement aucune stratégie de sécurisation des API ;
● 42 % des participants ont peu confiance en la capacité de leurs outils à repérer les API qui exposent des informations nominatives ;
● Ils ne sont que 13 % à juger comme étant élaborés leurs programmes de sécurisation des API ;
● 25 % des participants affirment que leur actuelle stratégie de sécurisation des API ne consacre pas suffisamment de temps à la documentation de ces dernières ;
● Seuls 42 % des participants repèrent les failles de sécurité dans leurs API durant la production/l’exécution, autrement dit aux moments où se produisent effectivement les attaques.
Les participants du secteur services financier et assurance ont également cité, à 48 %, les API obsolètes/zombies en tête de leurs préoccupations s’agissant des risques menaçant la sécurité des API, soit un écart de près de 35 % avec leur seconde crainte : les piratages de comptes (attaques ATO).
Autres observations intéressantes du rapport State of API Security for Financial Services and Insurance :pas besoin de guillemets pour les noms d’études qui de plus se distinguent par leur titre avec des majuscules en anglais
● 9 % des attaques orientées API contre des établissements financiers/compagnies d’assurance ciblent des API internes, soit une progression de 613 % entre les premier et second semestres de l’an dernier ;
● 61 % des professionnels du secteur services financier et assurance gèrent plus d’une centaine d’API, et ils sont 36 % à en gérer plus de 500 ;
● 27 % affirment avoir plus que doublé le nombre de leurs API au cours de l’année écoulée ;
● Parmi les fonctionnalités les plus prisées d’une plateforme de sécurisation des API, les professionnels citent en premier lieu la possibilité de mettre obstacle aux attaques (49 %), talonnée par le respect des obligations de conformité ou réglementaires (48 %) ;
● Si 36 % des professionnels interrogés actualisent leurs API au moins une fois par semaine, ils ne sont que 10 % à adopter le même rythme pour leur documentation.
Méthodologie
Le rapport State of API Security for Financial Services and Insurance a été constitué à partir des données tirées du rapport Q1 2023 State of API Security, des données d’observation recueillies via le lac de données en mode cloud adossé à la plateforme Salt Security de protection des API, de l’enquête indépendante Le point sur la situation du RSSI en 2023, et des recherches sur les vulnérabilités effectuées par Salt Labs, le pôle études/recherches de Salt Security. L’intégralité de ce rapport peut être téléchargée ici.