L'Open Web Application Security Project (OWASP) a dressé une liste des principaux risques de sécurité pour les interfaces de programmation d'applications (API).
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des API ?
Qu’est-ce que le top 10 de l’OWASP ?
Qu’est-ce qu’une API ?
Qu'est-ce qu'un appel d'API ?
Qu'est-ce que la sécurité des applications web ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Open Web Application Security Project (OWASP) est une organisation à but non lucratif dont l'objectif est de promouvoir la sécurité des applications web. OWASP propose de nombreuses ressources gratuites afin d'encourager le développement d'applications web plus sécurisées.
L'une des ressources les plus fréquemment consultées de l'organisation est le classement OWASP Top 10, qui répertorie les 10 principales préoccupations en matière de sécurité des applications web. OWASP propose également une liste distincte, mais similaire, consacrée aux interfaces de programmation d'applications (API), sur lesquelles reposent la plupart des expériences web et mobiles.
Les API peuvent permettre de consolider les avantages concurrentiels des entreprises en leur fournissant des données d'information décisionnelle, en facilitant les déploiements de cloud et en permettant l'intégration de fonctionnalités d'IA. Cependant, elles peuvent également introduire de nouveaux risques en permettant à des personnes extérieures d'accéder aux applications, de partager des données et d'exécuter des flux de travail potentiellement sensibles.
Le classement OWASP Top 10 des risques liés aux API, dont l'édition la plus récente a été publiée en 2023, met en évidence les principaux problèmes auxquels les entreprises doivent remédier afin de mieux protéger leurs API, leurs applications et leurs données. La liste inclut les risques suivants :
Pour en apprendre davantage sur ces 10 risques de sécurité, consultez la page officielle d'OWASP.
Il existe une certaine convergence entre la liste OWASP Top 10 (cliquez ici pour consulter la liste complète) et la liste OWASP API Security Top 10. Par exemple, la violation des contrôles d'accès est la première menace sur la liste OWASP Top 10, et il existe différentes formes de failles d'authentification et d'autorisation parmi les cinq premières préoccupations en matière de sécurité de la liste API Security. Par ailleurs, les configurations incorrectes de la sécurité et la falsification de requêtes côté serveur figurent sur les deux listes.
Cependant, les API comportent plusieurs risques distincts par rapport aux applications web, et les développeurs devraient tenir compte des deux listes.
Cloudflare API Gateway contribue à préserver la sécurité et le bon fonctionnement des API grâce à des fonctionnalités d'identification, de gestion et de surveillance centralisées des API, ainsi qu'à des défenses en couches innovantes. API Gateway fait partie du portefeuille de solutions de sécurité des applications de Cloudflare, qui propose des fonctionnalités supplémentaires permettant d'arrêter les bots et de déjouer les attaques DDoS et les attaques contre les applications, tout en surveillant les attaques contre la chaîne logistique.
Découvrez de quelle manière les fonctionnalités de Cloudflare permettent de répondre aux risques spécifiques détaillés dans le classement OWASP API Security Top 10. Découvrez d'autres solutions de sécurité des API de Cloudflare.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité