Prédictions pour 2023 : La sécurité des API, nouveau champ de bataille de la cybersécurité

L'adoption des interfaces de programmation d'applications, plus connues sous le nom d'API, a augmenté de façon spectaculaire ces dernières années.

À bien des égards, les API constituent désormais l'épine dorsale de l'Internet.

La raison ? Les API sont un élément essentiel de la transformation numérique, permettant aux applications, aux conteneurs et aux micro-services d'échanger rapidement des données et des informations afin que les consommateurs bénéficient d'un plus grand confort sur leurs appareils numériques.

• Selon un rapport de Forrester Research, commandé par Imperva, 78 % des décideurs organisationnels pensent que l'adoption des API est importante pour que leur entreprise reste compétitive, notamment pour se connecter avec les clients (88 %) et améliorer la propriété et la gestion des données (83 %). La moitié (49 %) des organisations ont entre 25 et 250 API publiées en interne, et 60 % ont le même nombre d'API publiques. Ces chiffres devraient augmenter au cours de l'année prochaine.

Cependant, le volume croissant d'API va créer davantage d'opportunités pour les mauvais acteurs. Une API est une cible de choix pour les cybercriminels, car elle leur permet d'accéder à de grandes quantités de données sensibles, telles que des informations sur les clients ou des données critiques pour l'entreprise. En outre, les API servent de plan aux cybercriminels. Elles peuvent servir de carte vers des objets internes et même des structures de base de données internes que les mauvais acteurs peuvent exploiter.

Les vulnérabilités que les pirates peuvent utiliser pour exploiter les API sont également en augmentation. Les pratiques de développement non sécurisées en sont l'un des principaux facteurs. Trop souvent, les API sont mises en production plus rapidement qu'une équipe de sécurité ne peut les examiner et les cataloguer. Dans certains cas, l'équipe de sécurité n'a même pas une visibilité totale de toutes les API qui sont développées et publiées, ce qui rend impossible leur sécurisation.

Deux exemples de pratiques de développement non sécurisées :

● Les API sont publiées sans examen ni contrôle de sécurité. Cela peut créer des API fantômes qui sont invisibles pour l'équipe de sécurité et la passerelle API. Le problème des API fantômes est qu'elles ont accès aux mêmes informations sensibles que les API publiées et sécurisées, mais personne ne sait où elles existent, ni à quoi elles sont connectées.

● Les API ne sont pas correctement désactivées. Les API dépréciées ou "zombies" deviennent un terrain propice à l'activité cybercriminelle, généralement en dehors du champ d'action des développeurs et des opérations de sécurité. Ces API non surveillées sont comparables à une fenêtre non verrouillée. Des criminels motivés peuvent s'y faufiler pour accéder à des données ou exécuter des attaques plus sophistiquées, souvent à l'insu du développeur ou de l'équipe de sécurité. C'est le facteur de risque sous-jacent qui devient une attaque de la chaîne logistique logicielle.

Les "bad bots" constituent une autre menace, selon Lynn Marks, chef de produit senior chez Imperva.

" Les API deviendront la cible privilégiée des bad bots en 2023. À la poursuite de données sensibles, les cybercriminels mettront davantage l'accent sur les points d'extrémité d'API vulnérables qui se connectent directement à la base de données sous-jacente d'une organisation. Comme les défenses de sécurité des API négligent souvent les menaces automatisées, les bots deviendront un défi persistant l'année prochaine et généreront davantage d'attaques de grattage sur les API individuelles qui conduisent à des fuites de données."

Shifting Left

Pour faire face à la vague croissante de cybermenaces liées aux API, Lebin Cheng, responsable de la sécurité des API chez Imperva, affirme que les opérations de sécurité, les opérations de plateforme et les DevOps vont renforcer leur collaboration, grâce à la maturation des outils et des processus d'automatisation.

Les équipes SecOps doivent s'associer aux DevOps dans la création et l'exécution de leur stratégie de sécurité. Cela nécessite de nouvelles technologies et de nouveaux processus pour aider à combler le fossé entre ces deux équipes, afin d'établir une relation sans friction où les deux parties obtiennent ce dont elles ont besoin pour réussir. Les développeurs doivent être en mesure d'agir rapidement et d'innover, et la sécurité a besoin d'une visibilité totale sur le comportement des API afin de surveiller les activités suspectes et de réagir dès que quelque chose de néfaste se produit.

La première étape consiste à créer une boucle de rétroaction efficace entre les équipes DevOps et SecOps, conçue pour aider ces équipes à travailler de concert pour maîtriser les risques de sécurité des API. Cette boucle de rétroaction permet aux organisations de rationaliser les flux de publication des applications et de permettre aux développeurs de se concentrer sur la fourniture d'une expérience numérique optimale, tout en offrant à l'équipe SecOps une visibilité et un contrôle sur le runtime des applications.

L'automatisation est un facteur clé pour garantir le respect des normes et pratiques DevSecOps à toutes les étapes du cycle de vie du développement. L'automatisation garantit que la protection peut suivre le rythme des changements d'applications en permettant aux équipes DevSecOps d'assumer rapidement davantage de responsabilités en matière de sécurité, notamment l'analyse automatisée du code, la surveillance de la conformité et l'investigation des menaces.

L'intégration d'outils de test de sécurité automatisés est souvent la première étape - par exemple, les outils de test de sécurité des applications statiques (SAST) et dynamiques (DAST) peuvent être utilisés tout au long du processus de développement.

L'apprentissage automatique est également une composante essentielle, selon Lynn Marks.

"L'apprentissage automatique sera nécessaire pour différencier le comportement normal des API du trafic malveillant et pour comprendre quelles données doivent être transmises par l'API. Par conséquent, les organisations auront du mal à atténuer les attaques automatisées ciblant leurs bibliothèques d'API tant que la gestion des bots et la sécurité des API ne seront pas utilisées de concert."

Comme les équipes de développement et de sécurité adoptent un mode de travail plus agile et collaboratif, elles rechercheront des solutions et des services de sécurité équipés pour permettre à leurs activités de se développer et de s'étendre rapidement, déclare Karl Triebes, SVP et GM, Sécurité des applications, Imperva.

"Les chefs d'entreprise ne pourront plus ralentir l'innovation au nom de la mise en œuvre de contrôles et de politiques de sécurité. Au contraire, ils rechercheront et s'associeront à des fournisseurs qui prennent en charge le développement sécurisé et permettent la disponibilité des applications ou des services."

Le développement agile et l'utilisation des API sont là pour rester. En 2023, les équipes de sécurité devront apprendre à travailler aux côtés des développeurs, en adoptant le même état d'esprit agile pour protéger les applications modernes au rythme où elles sont créées et publiées. Tant que la sécurité ne sera pas intégrée au cycle de vie du développement, les cybercriminels continueront à exploiter les API vulnérables pour exfiltrer des données sensibles en plus grand nombre.