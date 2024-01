Salt Security lance un moteur de gouvernance de posture de sécurité des API

janvier 2024 par Marc Jacob

D’après Gartner®, « Le recours aux API s’intensifie, mais la plupart des entreprises ignorent encore comment les sécuriser. Alors que les vulnérabilités des API sont toujours plus exploitées et que les répercussions des attaques ciblant les API montent en puissance, il est impératif que les RSSI et les responsables en développement logicielle sachent comment adresser la sécurisation des API ».[1] Une gouvernance adaptée contribue à contextualiser et à accorder davantage de valeur à la protection contre les menaces comportementales.

Avec ces tout derniers perfectionnements apportés à sa plateforme basée sur de l’IA, Salt propose à présent :

Le premier moteur de gouvernance de posture de sécurité des API sur le marché – Celui-ci aide les entreprises à diminuer le plus possible les risques inhérents à leur stratégie « API-first », de par sa capacité à définir des normes applicables à la posture des API et à évaluer la conformité à celles-ci, au même titre que le respect des bonnes pratiques sectorielles et des obligations réglementaires. À la différence des solutions classiques de sécurisation des API essentiellement axées sur la détection et la neutralisation des menaces, la plateforme Salt met en œuvre le premier moteur dédié à la gouvernance de posture des API. Cette nouvelle fonctionnalité contribue à faire en sorte que les parties prenantes au cycle de vie des API (architectes, développeurs, responsables produits API, équipes AppSec, équipes SecOps de sécurité et d’exploitation) œuvrent en parfaite synchronisation et que les normes de sécurité soient observées tout au long du cycle de vie d’une API.

De nouvelles fonctionnalités de filtrage et de recherche des API – Celles-ci assurent une découverte et une gestion contextualisées des ressources API, permettant aux entreprises de tirer davantage d’informations de ces dernières. Ces fonctions extraient ainsi des indications détaillées sur les API, comme leur finalité, leurs scénarios d’utilisation et les risques afférents. La capacité à créer des méthodes de gouvernance, directement à partir de ces informations, représente une avancée majeure offrant un degré inédit de consistance et de personnalisation.

Des outils de réponse optimisés face aux menaces comportementales – Ceux-ci donneront au équipe SecOps les moyens de prioriser, trier et analyser plus efficacement les événements de sécurité en lien avec les API, et de réduire considérablement le temps moyen nécessaire pour intervenir et résoudre ces incidents. La prolifération anarchique d’API ouvre davantage de possibilités aux attaquants ciblant les API. Cette tendance se poursuivra en 2024, comme le révèlent la dernière étude « State of API Security », 1er trimestre 2023 réalisée par Salt Security, qui met en évidence des attaquants uniques en progression de 400 % depuis un an, ainsi que son rapport « State of API Security for Financial Services and Insurance », dans lequel 92 % des professionnels interrogés admettent avoir rencontré un problème de sécurité significatif avec leurs API de production durant l’année écoulée, et près de un sur cinq reconnaît avoir été victime d’une faille de sécurité dans une API. Les nouveaux outils Salt de filtrage des attaques, de recherche et de chasse aux menaces mettent à profit les informations tirées de la plateforme de détection des menaces comportementales la plus mature et la plus évoluée qui soit, qu’elles associent une intelligence des ressources API en contexte. Cette détection évoluée des menaces intégrée à l’intelligence des ressources API dote les équipes de sécurité des outils leur permettant de s’atteler rapidement et efficacement aux événements de sécurité en lien avec les API.

De nouvelles fonctionnalités d’enrichissement de l’écosystème – Celles-ci partageront l’intelligence des API avec l’écosystème du cycle de vie dans sa globalité. Les intégrations renforcées de la plateforme Salt avec les plateformes de test de sécurité applicative, l’enrichissement des données via son API publique et les intégrations spécialisées externes (comme syslog et Splunk) ont pour objet de faire en sorte que la sécurisation des API ne relève pas d’une démarche isolée, mais fasse partie intégrante de l’infrastructure de sécurité au sens large. Cette approche globale de la sécurisation des API met l’accent à la fois sur la gestion des ressources internes et sur l’intégration avec l’écosystème externe. Tous ces perfectionnements aident les entreprises à partager et mettre plus facilement en œuvre les outils Salt dédiés à l’intelligence des ressources API et aux renseignements sur les menaces, de concert avec leurs propres investissements technologiques en matière de sécurité.

Des améliorations axées sur l’intégration et le passage au stade opérationnel – Celles-ci limitent très vite le risque inhérent aux API en diminuant le plus possible les frictions opérationnelles. Les toutes dernières mises à jour ont pour objet d’alléger cette tâche au travers d’autres perfectionnements apportés au contrôle d’accès à base de rôles, d’intégrations optimisées avec les systèmes d’identité d’entreprise, d’une gestion du bon fonctionnement des systèmes et de contrôles d’audit améliorés, ainsi que de mécanismes renforcés de collecte et de protection des données.

La prolifération anarchique d’API ouvre davantage de possibilités aux hackers ciblant les API, une tendance qui se poursuivra sans nul doute en 2024. D’après l’étude Salt Labs « State of API Security Report » du 1er trimestre 2023, 94 % des entreprises ont rencontré des problèmes de sécurité sur des API de production l’an dernier, et 59 % ont vu le déploiement de nouvelles applications freiné en raison de problématiques de sécurité concernant les API. Avec son moteur de gouvernance de posture, Salt facilite la collecte de données sur les API, simplifiant la manière dont les entreprises partagent la veille informationnelle sur les menaces les concernant et y donnent suite. Sa plateforme contient des modèles prédéfinis qui, tels un coup d’accélérateur, donnent aux entreprises les moyens d’ériger leurs propres règles de posture de sécurité, de les organiser et de les classer par catégorie, et de filtrer leurs API selon des critères très divers. À la différence des autres solutions de gouvernance des API, le moteur d’exécution optimisé par l’IA de Salt puise ses données auprès du plus grand data lake qui soit, se prêtant ainsi à un entraînement permanent. Salt est le seul spécialiste en sécurisation des API à s’appuyer, en la matière, sur l’IA et à garantir une découverte d’avant-garde et une analyse innovante des écarts de posture, indispensable pour exploiter les informations révélées par les API.