Barracuda full logo

La découverte d'API est essentielle pour sécuriser vos applications

Thèmes:
8 févr. 2024
|

Tendances en matière d'API

L'interface de programmation d'application (API) a pris de l'ampleur ces dernières années, comme en témoigne le trafic global d'API reçu par les serveurs d'applications. Selon le rapport de Postman sur l'état des API en 2023, 121 millions de collections ont été créées pour l'écosystème des API, et 1,29 milliard de nouvelles demandes GET ont été reçues au cours des 12 mois qui ont précédé mai 2023. Alors que le monde s'oriente vers le développement axé sur les API, il commence également à se heurter à de nombreux nouveaux défis en matière de protection des serveurs web afin de garantir une sécurité adaptée aux API. 

Défis liés à la sécurité des API

Pendant le développement des applications, les programmeurs ajoutent/mettent à jour/suppriment des API très régulièrement. De ce fait, les administrateurs éprouvent de grandes difficultés à maintenir des règles de sécurité appropriées pour correspondre à ces ensembles d'API en constante évolution. La majorité des API sont créées à des fins d'intégration privée et de partenariat, où la sécurité n'est pas une priorité de développement. Cela augmente encore le risque de voir la sécurité des API reléguée au second plan. 

Un autre fait notable est que 97 % des propriétaires d'applications sont conscients de la nécessité d'améliorer la sécurité des API, mais ne sont pas en mesure d'y parvenir en raison d'un manque de visibilité sur les points de terminaison et les structures API. 

Nous avons tenté de résumer les principaux problèmes rencontrés par les propriétaires d'applications web dans le déploiement et la sécurisation de leurs API.

  • Augmentation sans précédent du trafic API

 

Trafic des API par pays - Rapport sur l'état des API de Postman 2023
  • Manque de connaissance et de documentation des points de terminaison d'API publics et privés.
    • Alors que les entreprises s'orientent vers un développement axé sur les API, de nouveaux points de terminaison d'API sont créés en permanence et les anciens deviennent obsolètes sans que l'administrateur n'en soit vraiment informé. Avec peu ou pas d'informations à ce sujet, les administrateurs ont du mal à configurer/reconfigurer les serveurs web pour les meilleures pratiques de sécurité, laissant de nombreuses failles de sécurité dans le système.
  • Utilisation des API internes
    •  Une étude de Barracuda a révélé que plus de 25 % des API sont conçues pour être des API internes uniquement.  Ces dernieres sont souvent développées en mettant nettement moins l'accent sur la sécurité. Dans de nombreux cas, les API sont considérées comme « cachées » (par les équipes de développement) derrière les applications web et les propriétaires des applications ne savent pas quand ces API internes sont exposées au monde extérieur.  Cela se traduit par de graves failles de sécurité et une surface d'attaque croissante, en particulier si les applications sont accessibles via Internet ou si elles ne sont pas dotées de contrôles d'accès visant à empêcher tout mouvement latéral d'un acteur malveillant.
  • Identification des API fantômes ou zombies
    •  Plusieurs API sont créées dans le système à des fins de test et sont laissées à l'abandon sans aucune sécurité. Il est presque impossible de suivre les traces de trafic menant à de telles API en raison du trafic limité qui arrive sur ces API de test. En outre, il est très fréquent que les développeurs et les administrateurs d'applications passent à côté de changements mineurs, ce qui fait que les règles de sécurité ne sont pas toujours à jour. Une étude menée par Barracuda a révélé que près de 37 % avouaient ne pas comprendre les normes API. Si les pirates parviennent à identifier ces points de terminaison, comme ils l'ont fait pour Optus, ils peuvent alors exploiter l'API, endommager gravement le serveur d'applications et provoquer une violation des données des utilisateurs.
  • Identifier tous les points de terminaison et structures d'API disponibles
    • Sans analyse du trafic en direct, il est très facile de passer à côté des points de terminaison API exposés par le serveur, ainsi que de ne pas connaître la structure des paramètres individuels attendus par l'API. Sans une connaissance complète de ces éléments, nous ne pouvons jamais être sûrs des besoins de sécurité de chaque point de terminaison et de chaque paramètre, ce qui finit par entraîner une configuration de sécurité insuffisante.        
  • API/Paramètres les plus attaqués 
    • Certaines API, telles que les API de connexion, sont plus attaquées que d'autres.  De même, les champs Nom d'utilisateur/Mot de passe sont généralement plus sujets aux attaques que les autres paramètres. Mais sans informations précises sur tous les champs, le nombre de requêtes, les formats de valeurs, etc., déployer des API de manière sûre contre d'éventuels exploits devient un défi pour les administrateurs.

Les menaces que représente la recrudescence des API alourdissent le workload des équipes informatiques. Parallèlement à cette croissance des API, les entreprises sont confrontées à des cyberattaques de plus en plus sophistiquées sur d'autres vecteurs de menace, ainsi qu'à une pénurie de personnel de cybersécurité. Il est donc difficile et coûteux pour les entreprises constituer des équipes informatiques internes complètes et d'assurer la sécurité de l'entreprise.

Découverte des API Barracuda WAF  

La solution API Discovery de Barracuda, basée sur l'apprentissage automatique, analyse tout le trafic qui arrive à votre application, filtre le trafic des API et utilise ces informations pour identifier les points de terminaison du trafic des API.  Une fois ces points de terminaison identifiés, elle mémorise la structure des clés/valeurs attendues par chaque API. À ce stade, Barracuda Application Protection configurera automatiquement les paramètres de sécurité pour garantir la protection de vos API contre les dernières menaces du marché. Les propriétaires et les administrateurs d'API peuvent ensuite prévisualiser et affiner ces configurations comme ils le souhaitent.

Barracuda Application Protection s'appuie en outre sur l'apprentissage automatique (ML) pour apprendre en continu et sécuriser votre environnement applicatif. Le moteur d'auto-configuration est un service Barracuda Active Threat Intelligence qui examine tout le trafic de vos applications provenant d'unités connectées et fournit des recommandations de configuration spécifiques aux applications. Cela vous aide à combler les failles de sécurité liées aux applications web et aux API tout en réduisant les frais informatiques associés à la protection des applications.

Vous trouverez plus d'informations sur Barracuda Application Protection sur notre site web. Vous pouvez également bénéficier d'un essai gratuit de 30 jours pour tester la solution dans votre propre environnement.  

 

 

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.