Arnaud Gallut, Directeur des Ventes Europe du sud, Ping Identity
Les API, ces interfaces logiciels qui permettent de connecter entre elles des applications, existent depuis de longues années. Mais elles suscitent aujourd’hui un véritable engouement dans la nouvelle économie digitale, car elles jouent un rôle d’accélérateur de croissance pour toujours plus d’entreprises.
Concrètement, les API facilitent l’intégration et la connexion entre eux d’individus, de sites web, de systèmes, de services, de produits, de données, d’objets ou de traitements logiciels. Et permettent ainsi aux entreprises, grandes ou petites, d’innover, d’accélérer la mise sur le marché de nouveaux produits et services, de créer de nouvelles sources de revenus, d’améliorer l’expérience client ou le partage de données et autres ressources.
L’écosystème de ces API, que l’on appelle l’économie des API, est déjà évaluée selon plusieurs sources à plusieurs milliers de milliards de $. Un autre rapport révèle même que plus d’un tiers des entreprises génèrent au moins 25% de leur chiffre d’affaires grâce à leurs API.
Mais toute médaille a son revers. Car les API sont aussi de nouveaux points d’entrée vers les données les plus sensibles des entreprises, et les compromettre permet à des hackers ou des botnets de voler et manipuler des informations critiques. Les attaques les plus récentes ciblant les API comprennent des campagnes de ‘credential stuffing’ sur des systèmes de connexion, des botnets récupérant des données ou interrompant des services API via des attaques DDoS de couche 7, des hackers utilisant des cookies, tokens ou clés API volés pour accéder aux API et prendre le contrôle de comptes pour voler des informations sensibles. Ces attaques peuvent avoir des conséquences d’autant plus graves qu’elles ne peuvent être identifiées par les solutions de sécurité généralement mises en place pour traiter les menaces au niveau applicatif, et prennent souvent de longs mois avant d’être détectées.
Afin d’évaluer leur degré de vulnérabilité à ces nouvelles menaces, les entreprises doivent se poser les questions suivantes :
Connaissent-elles toutes les API utilisées dans leur organisation ?
Peuvent-elles suivre le trafic vers chacune des API en question ?
Peuvent-elles détecter un comportement anormal pour chacune d’entre elles ?
Peuvent-elles détecter des attaques provenant de l’extérieur sur des données et des applications accessibles via ces API ?
Connaissent-elles quels utilisateurs se connectent sur chacune des API ?
Si la réponse est non à l’une de ces questions, elles doivent mettre en place une stratégie efficace de sécurité des API, qui s’appuie sur leurs politiques de sécurité existantes dédiées aux applications web, mais complétée par des mesures spécifiques conçues pour détecter et stopper les menaces visant les API. Cette stratégie doit être basée sur quatre règles de base.
1 – Dresser un inventaire précis des API utilisées
Difficile de protéger ce que l’on ignore. Un frein majeur à la mise en place d’une stratégie complète de sécurité des API par les entreprises est le manque de visibilité sur les API qu’elles détiennent. Lors d’une récente étude, 51% des responsables de la sécurité interrogés ont déclaré ne pas être sûrs de connaître toutes les API utilisées dans leur organisation. Ce problème est encore accentué par le fait que le nombre des API utilisées s’accroît rapidement, ce qui accroît d’autant le risque qu’une API non identifiée soit compromise. Pire encore, lorsqu’une API est rendue obsolète (deprecated dans le jargon des développeur), celle-ci court le risque d’être encore accessible et ainsi une porte d’entrée dérobée pour exposer l’entreprise à des fuites.
Les entreprises ont donc tout intérêt à commencer par utiliser des outils capables de contrôler le trafic pour identifier toutes les API, afin qu’elles soient connues des équipes de sécurité.
2 – Surveiller le comportement des API en permanence
Surveiller individuellement chaque API permettra à l’entreprise de comprendre les détails de l’activité qui la concerne, dont : qui l’accède ; combien de fois l’API est appelée pendant une période donnée ; son comportement est-il normal ou non.
Le dernier paramètre est essentiel car l’entreprise devra être capable d’identifier si un comportement est normal ou anormal. Ceci suppose de disposer d’un historique de trafic API par API, car ce qui est considéré comme normal pour une API peut ne pas l’être pour une autre. Par exemple, alors qu’une API pourra normalement être appelée 100 fois par minute, ce même comportement pourra indiquer une attaque DDoS pour une autre.
La non détection du comportement anormal d’une API pourra suffire à permettre à un hacker d’étendre sa pénétration au sein du réseau avant que l’entreprise ne réalise qu’elle a subi une intrusion.
3 – Sécuriser toutes les API, internes et externes
Les entreprises peuvent faire appel à plus de 20.000 API exposées de manière publique pour intégrer applications et données avec des tiers. Toutefois, le trafic généré par ces API peut ne représenter qu’une très faible partie du trafic total des API de l’entreprise. Le reste est généré par les centaines de milliers d’API qui ont été développés exclusivement pour un usage interne à l’entreprise.
Même si la grande majorité des API sont uniquement à usage interne, cela ne diminue pas le risque potentiel qu’elles génèrent pour une entreprise. En effet, toutes les API peuvent potentiellement devenir des vecteurs d’attaque, qu’elles soient publiques, privées, en accès dédié à des partenaires, en développement, de test, etc. Il est donc essentiel que toutes les API quelle que soit leur origine respectent les mêmes politiques de sécurité. L’intervention du département informatique de l’entreprise et particulièrement des équipes Sécurité du SI est donc primordiale pour garantir cette conformité : une autre étude menée récemment montre en effet que jusqu’à 27% des API sont développées sans prise en compte de leur niveau de sécurité.
4 – S’appuyer sur les bonnes technologies
Les hackers exploitent aujourd’hui les technologies d’intelligence artificielle les plus récentes pour planifier et exécuter des attaques contre des API. Or les outils de sécurité que les équipes informatiques utilisent actuellement pour prévenir et détecter ces cyberattaques n’ont qu’une efficacité limitée contre ces nouvelles formes de menace. Les passerelles API, CDNs, web application firewalls et autres outils de sécurité classiques offrent des fonctions de protection traditionnelles qui s’avèrent limitées, et ne peuvent détecter des attaques plus granulaires sur des API menées par des hackers via des cookies volés, ou sous la forme d’attaques DDoS de niveau 7 ou d’exfiltration de données.
Seule une stratégie de sécurité des API basée sur l’intelligence artificielle peut permettre de détecter et de mettre hors d’état de nuire les nouvelles menaces ciblant les API. En effet, en utilisant l’intelligence artificielle, les entreprises peuvent tout à la fois découvrir automatiquement toutes les API actives, établir des modèles pour déterminer si le comportement d’une API est anormal et doit être stoppé, et obtenir des rapports beaucoup plus détaillés sur l’activité des API.
En conclusion, s’appuyer sur une stratégie de sécurité des API qui est simplement un ‘copier-coller’ d’une stratégie classique de sécurité des applications web ne fournira pas une protection adéquate contre les cyber attaques sophistiquées que mènent aujourd’hui les hackers. Les entreprises doivent aller plus loin et mettre en place des mesures qui répondent aux vrais défis de sécurité des API.