Gouvernance des API : la clé pour contrer les menaces d'initiés

Depuis 2020, la recrudescence des cyberattaques inquiète fortement les entreprises, toutes tailles et tous secteurs confondus.

Pourtant, en matière de sécurité informatique, le risque est loin de se limiter aux actes malveillants des hackers. Très souvent, le danger vient de l’intérieur même des organisations, lié à l’inadvertance d’un employé ou d’un partenaire ayant eu accès au système informatique. C’est ce que l’on appelle les menaces d’initiés. Et, si elles sont rarement le fruit de mauvaises intentions, leurs conséquences, elles, peuvent être dramatiques. 

Des cybermenaces très souvent liées à des négligences humaines

Vous souvenez-vous de Dennis Nedrey, le programmateur informatique dans le premier opus de Jurassic Park ? En échange d’un pot-de-vin, celui-ci accepte de désactiver les systèmes de sécurité et de voler les précieux embryons de dinosaures, en les cachant dans une boîte. À l’évocation du terme « menace d’initiés », c’est souvent ce type de scénario, mettant en scène des protagonistes animés par l’appât du gain, qui vient en tête. Or, il s’agit, la plupart du temps, d’un pur fantasme. Dans la réalité, la majorité des menaces d’initiés découle d’une erreur humaine. En 2022, 82 % des violations de sécurité constatées impliquaient ainsi un élément de cette nature.

Très souvent, les employés ne se rendent même pas compte de la menace induite par leur négligence. Celle-ci peut pourtant coûter cher à leur entreprise, en conduisant à une exposition inappropriée du système d’information. Avec les API (Application Programming Interface), cet impact humain est encore renforcé. Ces solutions informatiques, qui permettent à des applications de communiquer entre elles et de s’échanger des données, se développent en effet de manière exponentielle, offrant une véritable clé d’entrée vers les informations critiques de l’organisation. C’est ainsi que l’on constate une multiplication des menaces d’initiés dans ce domaine.

Absence de contrôle, erreurs d’utilisation et lacunes dans la gouvernance

Trois raisons expliquent ce phénomène. La première est le manque, voire l’absence de contrôle de sécurité relatif aux API. Plébiscitées par les entreprises, ces dernières sont souvent installées à la hâte, sans que soit pris le temps de procéder à un audit de sécurité en bonne et due forme. Une précipitation dont les conséquences peuvent être extrêmement dommageables. Si un développeur omet, par exemple, d’appliquer les autorisations adéquates, une API peut, en effet, favoriser une exposition excessive au risque, ou même donner à un tiers, accès à des données non autorisées. Il s’agit là des deux principales vulnérabilités parmi les 10 failles majeures de sécurité pointées par l'Open Web Application Security Project.

Le deuxième élément d’explication est lié à l’utilisation en externe d’API internes, dont les contrôles sont généralement moins stricts. L’opérateur de télécommunications australien Optus en a récemment fait les frais. Un de ses environnements de test a ainsi été accidentellement exposé à l’Internet public, car l’API utilisée ne comportait aucun contrôle d’authentification. Un accident qui a rendu accessible, à tous, plus de 10 millions d’enregistrements clients ! 

Toutefois, la principale raison de la recrudescence des menaces d’initiés est l’absence d’une gouvernance adaptée. Face à la prolifération des API, assurer leur sécurité nécessite, pourtant, de bien les connaître.  Les entreprises doivent ainsi disposer d’un inventaire complet et actualisé de l’intégralité de ces ressources au sein de leur infrastructure, qu’elles soient internes, externes ou tierces. Ce qui est, aujourd’hui, rarement le cas.

Connaître ses API pour limiter les risques 

Contrôles de sécurité inadéquats, mauvaise utilisation et lacunes dans le pilotage des API sont autant de failles de sécurité pouvant entraîner l’exfiltration de données, la prise de contrôle de comptes ou l’interruption d’un système d’information. 

Pour éviter ces risques graves, les entreprises ont besoin de programmes formels de lutte contre les menaces d’initiés, mais aussi de mettre en place une vraie gouvernance des API, afin de tirer pleinement partie de cette formidable technologie. En détectant mieux les mauvaises pratiques dans ce domaine, les entreprises pourront protéger efficacement leurs joyaux, non pas des embryons comme dans Jurassic Park, mais leurs données et, surtout, celles de leurs clients !