API zombie : en quoi elles consistent et pourquoi elles sont préoccupantes

Des API zombies ? Un concept qui fait peur. Et à juste titre. Non, les API zombies ne vont pas vous dévorer le cerveau ! En revanche, en permettant aux cybercriminels d’accéder à votre réseau, elles pourraient bien mettre en danger vos données, votre argent et la continuité des activités de votre entreprise.

Heureusement, il existe des technologies et des stratégies de sécurité qui peuvent vous aider à maîtriser ces API, éliminant ainsi les risques qu’elles posent.

Le cyber-risque basé sur les API

L’utilisation généralisée des interfaces de programmation d’applications, ou API, a été une véritable aubaine pour les entreprises. Les API permettent le développement et le déploiement rapides d’applications, qui sont désormais essentielles au fonctionnement de la quasi-totalité des entreprises et des secteurs d’activité.

Malheureusement, chaque API crée un nouveau point de vulnérabilité, ce qui signifie que leur utilisation élargit votre surface d’attaque. Selon une étude récente, le nombre moyen d’API utilisées par les personnes interrogées était supérieur à 15 000. Et pour les grandes entreprises de plus de 10 000 salariés, la moyenne s’élève à plus de 25 000 API.

Cela représente beaucoup de points d’entrée, que les pirates peuvent utiliser pour s’introduire dans votre système. Il y a fort à parier qu’à l’heure où nous parlons, les pirates analysent activement les réseaux à la recherche d’API non protégées.

Et ils y parviennent. La même étude a révélé que 41 % des personnes interrogées avaient subi un incident de sécurité qui exploitait une API au cours de l’année précédente, et que 69 % d’entre elles avaient perdu des données ou connu des failles à la suite de l’incident. En 2022, TechWire Asia a estimé que les attaques basées sur les API coûtaient aux entreprises jusqu’à 75 milliards de dollars par an.

Qu'est-ce qu'une API zombie ?

Il peut déjà être compliqué de mettre à jour et de sécuriser des API activement utilisées, et c’est largement dû au fait que personne ne sait vraiment qui doit se charger de ces tâches. Les équipes de sécurité informatique affirment qu’il s’agit d’une mission pour les DevOps, tandis que les DevOps affirment qu’il s’agit d’un problème de sécurité. Pendant ce temps, les cybercriminels prospèrent.

Quelle que soit la façon dont ce désaccord est résolu dans votre entreprise, le problème des API zombies demeure. Il s’agit d’API qui ne servent plus à rien (ou du moins, à rien de légitime). Elles existent toujours et offrent un point d’accès à une partie de votre système, mais personne ne les gère ni ne les met à jour, et il y a de fortes chances pour que personne ne se souvienne de leur existence.

Ce que vous pouvez faire

Faisons le point. Vous disposez de plusieurs milliers d’API, dont un pourcentage significatif d’API zombies, et vous n’avez aucun inventaire ni aucune liste qui les répertorie. Accessoirement, la personne qui les a développées et déployées n’est peut-être plus dans l’entreprise. Réfléchir au travail qu’il va falloir pour établir un catalogue de toutes ces API, supprimer les API superflues et sécuriser celles que vous souhaitez maintenir en production risque de vous donner un bon mal de tête.

Mais attendez une seconde. N’est-ce pas là une mission parfaite pour l’intelligence artificielle ? C’est bien le cas. Les plateformes modernes de sécurité des applications comme Barracuda Application Protection ont développé cette capacité et bien d’autres encore.

Le module Protection des API de Barracuda Application Protection s’appuie sur un moteur d’IA avancé pour découvrir toutes vos API, y compris les points de terminaison non protégés. En sus, l’outil est capable d’appliquer automatiquement des contrôles de sécurité actualisés, empêchant de fait les cybercriminels de s’introduire dans votre réseau et d’entraîner une faille de données coûteuse.

Et ce n’est que le début. Les fonctionnalités de protection des API vous offrent également une visibilité totale sur les applications et le trafic. Elles créent de riches fichiers journaux qui consignent les interactions et les requêtes pour chaque API, et elles s’intègrent à vos processus de développement pour garantir la sécurité complète des applications et des API avant qu’elles n’atteignent la phase de déploiement.

Les API zombies sont vraiment en marche. Mais avec une plateforme moderne de sécurité des applications comme Barracuda Application Protection, vous pouvez devenir un héros tueur de zombie et protéger votre entreprise de toute attaque qui cible ses données.