Rapport Salt Lab : Etat de la sécurité des API au T1 2023
jeu, 13/07/2023 - 13:28
Salt Security publie l’étude réalisée par Salt Labs, « State of API Security », 1er trimestre 2023. La cinquième édition de ce rapport établit que les pirates ont intensifié leurs activités, les données clients de Salt mettant en évidence des attaquants uniques en progression de 400 % ces six derniers mois. En outre, environ 80 % des attaques concernent des API authentifiées. Comme il fallait s’y attendre, près de la moitié (48 %) des professionnels interrogés précisent que la sécurisation des API fait désormais l’objet d’une réflexion en haut lieu dans leurs entreprises. Ce rapport révèle également que 94 % des participants à l’enquête ont rencontré des problèmes de sécurité sur des API deproduction l’an dernier, 17 % mentionnant une fuite de données dont leurs entreprises ont été victimes consécutivement à des failles de sécurité dans des API. Les données recueillies par Salt Labs mettent en évidence les raisons pour lesquelles 2023 est rebaptisée « Année de la sécurisation des API ».
Le rapport « State of API Security » s’appuie sur les réponses apportées à une enquête et les données d’observation recueillies auprès de clients Salt. L’édition de cette année offre un éclairage inédit, notamment à l’aune des recherches réalisées par Salt Labs sur les vulnérabilités des API s’agissant de la manière dont se vérifient, concrètement, les principales craintes pour la sécurité deces dernières.
« L’essor des attaques, conjugué aux données fournies par les participants à notre enquête, marque une prise de conscience toujours plus forte par les équipes dirigeantes de l’importance d’une sécurisation pointue des API pour réduire les risques encourus par les entreprises », indique Roey Eliyahu, cofondateur et CEO de Salt Security. « Pilotée par des API, la transformation numérique en cours continue à ouvrir de nouvelles opportunités commerciales aux entreprises et à leur procurer des avantages compétitifs. Pour autant, le coût des failles des API, comme celles dont ont récemment été victimes T-Mobile, Toyota et Optus, met en danger aussi bien les nouveaux services que la réputation des marques, sans compter leurs opérations commerciales. Face à des acteurs malveillants qui ne cessent d’user de techniques nouvelles et imprévisibles pour s’attaquer aux API, les entreprises doivent se pencher sérieusement sur la sécurisation de ces ressources essentielles. »
La sécurisation des API est devenue un enjeu décisif pour l’entreprise, et pas simplement un problème de sécurité.
La sécurisation des API est devenue un enjeu décisif pour les entreprises dont les représentants ont participé à l’enquête, comme le laissent supposer les retards dans le déploiement des applications, la sensibilisation accrue aux failles de sécurité des API et le manque de confiance dans les stratégies de sécurisation des API en place. En l’occurrence :
- Plus de la moitié des professionnels interrogés (59 %) indiquent avoir dû freiner le déploiement de nouvelles applications en raison de problématiques de sécurité concernant les API.
- Seulement 23 % jugent leurs actuelles stratégies de sécurisation très efficaces dans la prévention des attaques ciblant les API.
- 48 % des participants à l’enquête précisent que la sécurisation des API fait l’objet d’une réflexion en haut lieu dans leurs entreprises depuis l’an dernier. Cette proportion est même encore supérieure au sein de secteurs très réglementés, comme les technologies (59 %), les services financiers (56 %) et l’énergie/les services d’utilité publique (55 %).
Les deux fonctionnalités de sécurisation des API les plus prisées sont celles qui consistent à mettre obstacle aux attaques et à repérer l’exposition d’informations nominatives. La possible mise en œuvre de pratiques « shift-left » est perçue comme la moins utile.
Les participants à l’enquête jugent « extrêmement importantes » certaines fonctionnalités de sécurisation des API, reprises ci-après :
- 44 % citent la possibilité de mettre obstacle aux attaques.
- 44 % citent l’aptitude à repérer les API qui exposent des informations nominatives ou des données stratégiques.
- 38 % citent le respect des obligations de conformité ou réglementaires.
- 22 % citent la possible mise en œuvre de pratiques « shift-left » en matière de sécurisation des API.
Les pirates sont plus acharnés que jamais.
Les données clients Salt mettent en évidence une hausse des attaques visant les API et des pirates ciblant des API internes et authentifiées. Les données du cloud Salt révèlent ce qui suit :
- 78 % des attaques émanent d’utilisateurs en apparence légitimes, mais qui sont en réalité des pirates parvenus à s’authentifier correctement en usant de méthodes malveillantes.
- 8 % des tentatives d’attaques sont perpétrées à l’encontre d’API internes, généralement laissées sans aucune protection.
- 4 845 attaquants uniques ont opéré en décembre 2022, un nombre en hausse de 400 % sur à peine six mois.
Les API « zombies » sont talonnées par les prises de contrôle de comptes (attaques ATO) sur la liste des préoccupations en lien avec les API.
Interrogés sur les risques les plus inquiétants menaçant la sécurité des API :
- 54 % des participants, contre 42 % au dernier trimestre, jugent très préoccupantes les API obsolètes ou « zombies ». (Les API zombies, ou obsolètes, ressortent en tête des préoccupations sur les cinq dernières enquêtes menées par Salt, sans doute du fait d’un rythme de développement effréné au moment où les entreprises s’efforcent d’optimiser la valeur économique associée aux API.)
- 43 % estiment les prises de contrôle et piratages de comptes (attaques ATO) très préoccupants.
- 20 % seulement associent les API shadow, ou rebelles, à une préoccupation majeure. Compte tenu des difficultés inhérentes à la documentation des API, il y a tout lieu de penser que la plupart des environnements exécutent des API non documentées et que le risque encouru dans ce domaine est probablement supérieur à celui estimé par nombre de participants.
La plupart des stratégies de sécurisation des API manquent toujours de maturité.
Il ressort de l’enquête que la grande majorité des entreprises ne disposent toujours pas de programmes matures en matière de sécurisation des API :
- Seuls 12 % des participants estiment leurs programmes de sécurisation des API élaborés, incluant des tests dédiés et une protection des API à l’exécution ; ils étaient 10 % à être de cet avis au troisième trimestre 2022.
- 30 % des participants n’ont actuellement aucune stratégie de sécurisation des API, bien que tous disposent d’API de production. Parmi eux, 25 % précisent qu’une stratégie est en cours d’élaboration, tandis que 5 % admettent que sa mise au point n’est pas à l’ordre du jour.
Les vulnérabilités mises au jour sont un réel sujet de préoccupation.
Les entreprises, grandes et petites, recèlent nombre de failles de sécurité dont elles ignorent l’existence. Le rapport relève ce qui suit :
- 90 % des investigations réalisées par Salt Labs ont mis au jour des vulnérabilités dans la sécurité des API, et 50 % de celles découvertes sont jugées très préoccupantes.
- 41 % des participants à l’enquête indiquent avoir repéré une vulnérabilité dans leurs API de production ; si leur proportion fluctue entre 39 % et 55 % depuis la première enquête, elle est très probablement nettement supérieure en réalité, d’après Salt Labs.
Autres observations intéressantes du rapport « State of API Security » :
- Seuls 18 % des participants sont convaincus que leurs inventaires API détaillent suffisamment leurs API ainsi que les informations nominatives ou les données stratégiques auxquelles elles donnent accès.
- Les entreprises continuent à mettre à jour leurs API régulièrement : 37 % les actualisent au moins une fois par semaine, contre 32 % au troisième trimestre 2022, et 9 % mettent à jour leurs API principales quotidiennement.
- Les fichiers OAS et Swagger sont mis à jour au moins une fois par semaine dans seulement 12 % des entreprises. Elles sont 20 % à actualiser leur documentation de façon irrégulière, et 23 % la mettent à jour tous les six mois environ. Ces retards ne font qu’accentuer les limites des pratiques « shift-left » pour la sécurisation des API.
- La moitié environ des participants (54 %) seulement indiquent que leurs équipes de sécurité se réfèrent à la liste « API Security Top 10 » de l’OWASP pour élaborer leurs programmes de sécurité, une proportion hélas insuffisante puisque 66 % des tentatives d’attaques parmi la clientèle Salt mettent à profit au moins l’une des dix méthodes de cette liste.
Implications pour la sécurisation des API
Les résultats de l’enquête sur laquelle s’appuie le rapport « State of API Security » pour le premier trimestre 2023 ne laissent guère de place au doute. Les participants sont massivement d’avis que la dépendance à l’égard des API ne fera que s’accentuer puisque ces dernières sont toujours plus indispensables à la réussite de leurs entreprises. Cependant, la protection de ces API se complique toujours davantage alors que les attaques se multiplient et que les outils et processus traditionnels se révèlent incapables d’y mettre obstacle. Les entreprises doivent, au-delà des pratiques de sécurité désuètes et des outils de dernière génération, adopter une stratégie de sécurisation moderne prenant en compte la sécurité à chaque stade du cycle de vie des API et proposant un large éventail de mécanismes de protection favorisant la collaboration entre équipes.
Le rapport « State of API Security », 1er trimestre 2023, a été constitué par des chercheurs de Salt Labs, le pôle études/recherches de Salt Security, à partir des données d’une enquête menée auprès de quelque 400 participants exerçant des métiers variés dans divers secteurs d’activité et au sein d’entreprises de différentes tailles, aux quatre coins du monde. Près de la moitié (48 %) des professionnels interrogés sont en poste dans le domaine de la sécurité, 19 % sont des cadres dirigeants dans la sécurité ou l’IT, et 26 % font partie des équipes plateformes, DevOps ou produits. 48 % des participants travaillent dans les technologies et les services financiers (secteurs d’avant-garde dans l’utilisation des API). Les entreprises, grandes et petites, sont représentées à parts égales. Le rapport s’appuie également sur des données d’observation anonymisées et agrégées, en provenance de clients Salt Security exécutant la plateforme Salt Security de protection des API.