La sécurité des API un enjeu 2023

L’utilisation croissante des API en entreprise a favorisé l’émergence de nouveaux modèles économiques et accéléré les échanges entre entreprises. Cependant, cette ouverture a également des conséquences importantes en termes de cybersécurité. Selon Nicolas Jeanselme, API Security Engineer chez Salt Security, il est essentiel de garantir la sécurité des API pour protéger les données sensibles des entreprises et éviter les violations de la vie privée. En outre, avec l’augmentation des transactions en ligne et de l’utilisation des API pour accéder à des applications et à des services en ligne, la sécurité des API est devenue cruciale pour les entreprises.

Une API ?

Une API (Application Programming Interface) est en informatique une interface de programmation qui permet à différents logiciels ou systèmes d’interagir et de partager des données entre eux. Une API est généralement composée de différentes fonctionnalités et méthodes qui peuvent être appelées par d’autres programmes pour accéder à des données ou pour effectuer des actions spécifiques. Les API sont souvent utilisées pour permettre à des applications tierces d’accéder aux données ou aux fonctionnalités d’un autre système. Par exemple, une application mobile peut utiliser une API pour accéder à des données stockées sur un serveur distant.

Selon Gartner, les API deviendront le premier vecteur d’attaque en 2023

De nombreuses entreprises ont longtemps sous-estimé le risque d’attaque sur leurs API, se croyant protégées par des firewalls, des pare-feux d’application Web et des API Gateway. Cependant, cette sécurité est en réalité une illusion, comme l’ont montré les attaques contre Experian et le vol des données de 700 millions de profils LinkedIn en 2021, ainsi que l’attaque récente contre l’opérateur australien Optus. Le rapport « State of API Security » de Salt Security pour le troisième trimestre 2022 révèle une augmentation de 117 % des attaques sur API au cours des 12 derniers mois. 54 % des entreprises interrogées ont dû reporter le déploiement d’une nouvelle application en raison de problèmes liés à la sécurité des API et 82 % estiment que les solutions classiques ne sont pas efficaces contre les attaques sur les API. Le Gartner, qui avait regroupé ces éléments de sécurité sous l’acronyme WAAP (Web Application and API Protection), a finalement ajouté une catégorie dédiée – « API Security » (API Discovery and Protection) – pour tenir compte des spécificités de la protection des API.

Les trois étapes pour sécuriser son portefeuille d’API

Selon ZDnet Informatique, la sécurisation des API doit commencer par une phase de découverte afin de répertorier toutes les API utilisées ou exposées par l’entreprise et de connaître leur technologie et les données sensibles qu’elles véhiculent. Une fois cet audit effectué, il est important de sécuriser tout le cycle de vie de l’API, en intégrant la sécurité dès les phases de conception et de développement. Le Secure By Design doit être appliqué pour s’assurer que les API sont conçues pour résister aux attaques. Des solutions de protection des API peuvent également être utilisées pour renforcer la sécurité au-delà des contrôles effectués par les API gateway et les WAF. L’IA et l’analyse comportementale peuvent être utilisées pour détecter les attaques sur la logique métier et identifier les comportements suspects. Il est important de mettre en place des mesures de contrôle et de protection en continu pour éviter que les API ne deviennent un point faible de la sécurité du système d’information.

Sécurisation d’une API

Il existe plusieurs façons de sécuriser une API pour protéger les données qu’elle manipule et empêcher les attaques malveillantes. Voici quelques bonnes pratiques pour sécuriser une API :

1. Effectuer un audit des API pour identifier les différentes API utilisées ou exposées par l’entreprise et connaître leur technologie et les données sensibles qu’elles véhiculent.
2. Sécuriser tout le cycle de vie de l’API, en intégrant la sécurité dès les phases de conception et de développement. Le concept de Secure By Design doit être appliqué pour s’assurer que les API sont conçues pour résister aux attaques.
3. Mettre en place des contrôles d’accès pour limiter l’accès aux API et aux données qu’elles manipulent en utilisant des mécanismes d’authentification et d’autorisation robustes.
4. Chiffrer les données sensibles lorsqu’elles sont transmises par l’API pour empêcher qu’elles ne soient lues en cas de fuite.
5. Utiliser des solutions de protection des API pour renforcer la sécurité au-delà des contrôles effectués par les API gateway et les WAF.
6. Appliquer des règles de filtrage des données d’entrée pour empêcher les attaques par injection de code malveillant.
7. Surveiller en permanence l’utilisation de l’API et détecter les comportements suspects ou les attaques en utilisant des modèles d’IA et l’analyse comportementale.
8. Mettre en place des mesures de contrôle et de protection en continu pour s’assurer que les API ne deviennent pas un point faible de la sécurité du système d’information.