theNet by CLOUDFLARE

74 % des entreprises mettent désormais l'accent sur les API

Comment les solutions dédiées ont intensifié la vulnérabilité


Fin 2022, T-Mobile a fait l'objet d'une violation de données touchant 37 millions de comptes client en raison d'une API exploitée. Cette violation et d'autres violations affectant T-Mobile ont donné lieu à un règlement à hauteur de 31,5 millions de dollars auprès de la Federal Communications Commission (FCC). De nombreuses autres entreprises subissent des attaques sur API pouvant conduire à des fraudes par usurpation de compte et vol d'informations de carte de paiement.

L'utilisation d'interfaces de programmation d'applications (API) pour le développement de logiciels augmente rapidement. Cette tendance contribue à accélérer l'innovation, mais elle génère également de nouveaux risques pour les entreprises.

Les API sont de plus en plus utilisées pour rationaliser l'intégration de nouvelles fonctionnalités, de nouvelles fonctions et de nouvelles sources de données aux logiciels, notamment les grands modèles de langage (LLM) utilisés pour l'IA générative. Un rapport publié par Postman, une plateforme de collaboration sur les API, a révélé que 74 % des personnes interrogées étaient des entreprises donnant la priorité aux API en 2024, contre 66 % l'année précédente. Gartner signale que plus de 80 % des personnes interrogées utilisent des API internes, tandis qu'un peu plus de 70 % utilisent également des API tierces, comme les API des fournisseurs de SaaS.

Malheureusement, l'utilisation d'API pour connecter des logiciels à de nouvelles capacités et sources de données élargit également la surface d'attaque d'une organisation. Les API ont été la cible d'une grande variété d'attaques, notamment des exploitations de vulnérabilités zero-day, des attaques par déni de service distribué (DDoS) et des utilisations abusives du processus d'authentification, parmi bien d'autres.

Quels sont les risques liés aux API les plus importants ? Comment votre entreprise peut-elle faire face à ces risques, afin de continuer à optimiser les avantages des API ?

Comprendre les risques de sécurité liés aux API et les limites des solutions existantes

Les API constituent une cible de choix pour les acteurs malveillants. De nombreux acteurs malveillants reconnaissent à juste titre que les entreprises adoptent souvent rapidement de nouvelles API sans mettre en œuvre une sécurité adéquate.

Les acteurs malveillants trouvent de multiples façons de tirer parti des vulnérabilités des API. Beaucoup d'entre eux capitalisent sur la faiblesse des autorisations et de l'authentification qui figurent parmi les principaux risques pour la sécurité liés aux API. Ces risques sont encore plus critiques pour les API que pour les applications web et mobiles : les API peuvent transporter des informations sensibles et dynamiques qui ne peuvent pas être intrinsèquement programmées ni laissées en texte clair, comme c'est le cas avec une application web ou mobile. Lorsque les API ne disposent pas d'une authentification suffisante ou ont prévu des politiques d'autorisation trop permissives, elles sont vulnérables aux attaques par violation de l'autorisation au niveau de l'objet (BOLA), susceptibles de conduire à des accès non autorisés aux données.

D'autres acteurs malveillants lancent des attaques DDoS et envoient un nombre impressionnant de requêtes à des API ne disposant d'aucune limite en la matière. Lorsqu'ils réussissent à lancer une attaque BOLA, DDoS ou d'autres types d'attaques, ils peuvent accéder à une série de données utilisateur qui transitent par l'API, telles que des informations de carte de crédit, des informations sur les soins de santé ou d'autres informations d'identification personnelle (PII).

Les entreprises utilisent souvent des règles de pare-feu d'applications web (WAF) traditionnels pour protéger le trafic des API. Cependant, le modèle de sécurité « négatif » utilisé par ces solutions, qui ne bloque que les menaces connues, n'est pas suffisant pour intercepter de nombreuses attaques modernes, spécifiques aux API. Pendant ce temps, un trop grand nombre d'entreprises mettent en œuvre un ensemble hétéroclite de solutions dédiées pour la sécurité des applications et des API, qui laisse des failles dans la couverture, tandis qu'il intensifie considérablement la complexité de gestion.

Lutter contre les risques à l'aide d'une stratégie multi-facettes pour la sécurité des API de l'entreprise

L'élimination des vulnérabilités et le blocage de l'ensemble des attaques spécifiques aux API exigent une stratégie à plusieurs facettes pour les API d'entreprise. Les équipes doivent mettre en œuvre les meilleures pratiques afin de mieux comprendre les API qu'elles utilisent à l'échelle de l'entreprise, avant de repérer les vulnérabilités, de bloquer le trafic malveillant, de protéger les données et de rationaliser la gestion.

  1. Augmenter la visibilité : il est difficile de protéger quelque chose dont vous ignorez l'existence. Pourtant, de nombreuses équipes chargées de l'informatique et de la sécurité ne disposent ni d'un décompte ni d'une visibilité totale sur les API utilisées à l'échelle de l'entreprise. Selon une récente analyse des appels d'API et des requêtes HTTP, les entreprises disposaient de 33 % de points de terminaison API en contact avec le public en plus de ce qu'elles ne le pensaient.

    L'identification des API est une première étape importante dans la protection de ces composants essentiels. L'inventaire des API, qu'elles soient internes ou qu'elles proviennent de tiers, peut vous aider à éliminer l'utilisation des « API fantômes » et à commencer à développer une stratégie cohérente en matière de sécurité des API.

    En parallèle, l'identification des API peut contribuer à améliorer l'efficacité du développement en mettant à jour les fonctionnalités préexistantes et préconstruites. L'élaboration d'un catalogue d'API permettra aux développeurs de trouver et d'intégrer facilement les fonctionnalités dont ils ont besoin, et ainsi, d'éviter d'écrire du code pour des fonctionnalités déjà couvertes par les API.

  2. Profiter de l'apprentissage automatique: l'identification des API ne doit pas donner lieu à un processus manuel fastidieux. Les services qui utilisent l'apprentissage automatique peuvent analyser le trafic lié aux API qui serait autrement susceptible d'être ignoré.

    L'apprentissage automatique     peut également améliorer la protection des API. Vous pouvez notamment utiliser un service basé sur l'apprentissage automatique pour détecter des attaques susceptibles de se dérouler lentement au fil du temps. Ces attaques sont conçues pour échapper aux outils qui identifient les techniques volumétriques.

  3. Identifier votre niveau de risque lié aux API: une fois que vous avez mieux compris les API utilisées par votre entreprise, vous devez identifier les risques potentiels associés. Bien entendu, la tâche consistant à repérer les problèmes potentiels (et à y remédier) peut sembler insurmontable, surtout si votre entreprise est nouvelle en matière de sécurité des API. La mise en œuvre de l'outil de sécurité des API approprié peut aider les équipes à identifier les erreurs de configuration du processus d'authentification, les risques de fuite de données sensibles, les vulnérabilités aux attaques BOLA et bien d'autres aspects. L'outil pourra ensuite recommander des contrôles et des politiques pour améliorer votre niveau de sécurité.

  4. Créer un modèle de sécurité positive : pour mieux protéger les API, les entreprises doivent abandonner les modèles de sécurité négative qui ne bloquent que les menaces connues. La mise en œuvre d'un modèle de sécurité « positive » permet d'intercepter davantage de trafic malveillant. Il vous donne la possibilité de n'accepter que le trafic conforme à vos schémas OpenAPI, tout en bloquant toutes les autres requêtes.

  5. Mettre en œuvre une prévention des pertes de données : une stratégie API doit empêcher la fuite de données sensibles pouvant être échangées par l'intermédiaire des API. Il est préférable d'agir avec anticipation. L'analyse en continu du contenu malveillant des réponses afin d'y repérer des données sensibles peut vous aider à identifier et à prévenir les tentatives d'exfiltration de données.

  6. Consolider les outils API : l'adoption de plusieurs API offre aux développeurs un moyen efficace de renforcer rapidement les fonctionnalités des applications, mais elle rend encore plus complexes des environnements informatiques qui le sont déjà. En consolidant des outils conçus pour développer des applications, améliorer les performances et renforcer la sécurité, vous pouvez améliorer la visibilité et reprendre le contrôle de votre environnement informatique.

Un cloud de connectivité peut fournir une plateforme unifiée, qui vous permet de gérer l'identification des API, le développement d'applications, l'optimisation des performances et la sécurité, sans avoir à naviguer entre plusieurs solutions dédiées. Avec une plateforme unifiée, vous êtes plus à même d'intégrer la sécurité au processus de développement, en établissant des flux de travail DevSecOps plus solides, permettant de régler les problèmes de sécurité potentiels dès le début du processus de développement, et d'éliminer les obstacles à la mise en œuvre rapide de nouvelles fonctionnalités.


Évoluer dans un monde API

Que vous soyez à la tête d'une entreprise qui donne la priorité aux API ou que vous adoptiez les API au cas par cas dans le but d'accélérer un développement innovant, la protection de ces interfaces essentielles doit être une priorité absolue. Les acteurs malveillants ont clairement fait savoir qu'ils considèrent les API comme des cibles vulnérables. L'élaboration d'une stratégie adéquate pour assurer la sécurité des API de l'entreprise peut vous aider à remédier aux vulnérabilités, sans intensifier la complexité de gestion que peuvent plusieurs solutions dédiées.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.


Approfondir le sujet

Pour en savoir plus sur la protection des API, consultez l'e-book « Guide du RSSI : la sécurité des API » .

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Les vulnérabilités principales des API essentielles à l'accélération de l'innovation

  • Les limites des stratégies de sécurité existantes

  • Comment éliminer les vulnérabilités et mieux détecter les menaces grâce aux bonnes pratiques en matière de sécurité des API

Ressources associées

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

Prise en main

Ressources

Solutions

Communauté

Support

Société

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale