Les applications web sont rarement conçues dans une optique de sécurité. Pourtant, nous les utilisons quotidiennement pour toutes sortes de fonctions vitales, ce qui fait d'elles une cible privilégiée pour les pirates informatiques.
Compte tenu de la nature vitale des applications web et des API ainsi que des données qu'elles contiennent, les applications comportant des vulnérabilités ou non protégées peuvent entraîner des perturbations de l'activité, des pertes financières, voire l'effondrement de certaines infrastructures vitales.
Les informations issues du rapport State of Application Security récemment publié par Cloudflare révèlent que les entreprises se heurtent à des approches de sécurité obsolètes en matière d'applications web et d'API, tandis que les acteurs responsables des menaces en ligne opèrent plus efficacement et plus rapidement que jamais. L'étude s'appuie sur des modèles de trafic agrégé (observés entre avril 2023 et mars 2024) issus du réseau mondial de Cloudflare, qui identifie et bloque 209 milliards de cybermenaces chaque jour.
Cet article met en lumière trois tendances essentielles observées dans le rapport, qui nécessitent une attention et une action urgentes de la part des RSSI.
Les consommateurs et les utilisateurs finaux attendent des expériences web et mobiles dynamiques, toujours plus fréquemment élaborées et optimisées grâce à des API. Pour les entreprises, les API sont source d'avantages concurrentiels : information décisionnelle plus performante, déploiements de cloud plus rapides, intégration de nouvelles fonctionnalités basées sur l'IA et bien davantage.
Néanmoins, pour beaucoup, la sécurité des API a pris du retard face à la rapidité du déploiement des API. Cloudflare recourt à des modèles d'apprentissage automatique pour identifier le trafic lié aux API qui serait autrement susceptible d'être ignoré. Dans ce rapport, le nombre de points de terminaison d'API des entreprises était supérieur de 33 % au nombre dont elles avaient connaissance. (Ce chiffre a été calculé en comparant le nombre de points de terminaison d'API détectés au moyen du processus de découverte basé sur l'apprentissage automatique et les identifiants de session fournis par les clients.)
Bien que les API comportent des problématiques de sécurité différentes de celles des applications web, nous avons constaté que 66,6 % du trafic lié aux API défendu par une forme de sécurité de la couche application (couche 7) était principalement protégé par des règles de pare-feu WAF traditionnelles à sécurité négative, plutôt que par des règles spécialisées pour les API, fondées sur un modèle de sécurité positive. Les modèles de sécurité négative opèrent en bloquant le trafic malveillant et en autorisant les autres types de trafic, tandis que les modèles de sécurité positive précisent explicitement quel trafic est autorisé, tout en refusant tous autres types de trafic.
À mesure que les entreprises exposent un plus grand nombre de services par le biais d'API, elles devraient renforcer leurs outils de sécurité des applications web (tels que les pare-feu WAF et les services de protection contre les attaques DDoS) à l'aide de fonctionnalités dédiées de sécurité et de gestion des API, améliorées par l'apprentissage automatique non supervisé.
Pour assurer la protection des API, plutôt que des règles fondées sur un modèle de sécurité négative, les pratiques recommandées de l'industrie encouragent l'application d'un modèle de sécurité positive. La mise en œuvre d'un modèle de sécurité positive pour assurer la sécurité des API permet aux entreprises de protéger les API en acceptant uniquement le trafic conforme à une sélection établie de schémas OpenAPI, tout en bloquant les requêtes incorrectement formées et les anomalies HTTP susceptibles de contenir des attaques.
Continuez à renforcer la sécurité de vos API en découvrant les API fantômes. Un outil de sécurité des API performant doit continuellement analyser la présence de toutes les API publiques présentes dans votre environnement, même celles qui ne sont pas gérées ou pas sécurisées.
Les applications web de la plupart des entreprises reposent sur différents fragments de code provenant de fournisseurs tiers (généralement codés en JavaScript). L'utilisation de scripts tiers accélère le développement d'applications web modernes et permet aux entreprises de lancer plus rapidement leurs fonctionnalités sur le marché, sans devoir développer en interne l'ensemble des nouvelles fonctionnalités des applications.
Les dernières études révèlent qu'en moyenne, les sites web des clients de Cloudflare contiennent 47 scripts tiers et 50 connexions à des fonctions JavaScript et leur destination et servent 12 cookies.
Le code tiers, ainsi que les cookies, comporte un risque pour la sécurité des visiteurs de votre site web ; en effet, ce code est souvent chargé dans le navigateur de l'utilisateur, et les cookies peuvent être modifiés dans le but de prendre le contrôle d'une session ou d'un compte, par exemple. Les acteurs malveillants peuvent accéder au code (et ainsi, le modifier) des composants JavaScript utilisés dans les sites web de différentes manières, par exemple, en utilisant des identifiants de compte volés ou en exploitant des vulnérabilités zero-day ou non corrigées. Ils peuvent ensuite utiliser cet accès privilégié pour lancer une attaque en aval sur tous les sites web utilisant ce code JavaScript.
Recherchez un fournisseur de sécurité capable d'identifier automatiquement les risques liés aux scripts tiers et qui affiche, dans un tableau de bord unique et complet, tous les cookies propriétaires utilisés par vos sites web.
En moyenne, les bots représentent un tiers (31,2 %) de l'ensemble du trafic des applications traité par Cloudflare. Ce pourcentage est resté relativement stable (environ 30 %) au cours des trois dernières années.
Le terme « trafic lié aux bots » peut avoir une connotation négative, mais en réalité, ce type de trafic n'est pas intrinsèquement bon ou mauvais. Son caractère malveillant ou non dépend de la finalité poursuivie par le bot. Certains bots sont « légitimes » et fournissent un service nécessaire, tels que les chatbots de service client et les robots d'indexation autorisés des moteurs de recherche. En revanche, certains bots utilisent un produit ou un service en ligne à mauvais escient et doivent être bloqués en raison des perturbations des revenus qu'ils sont susceptibles d'entraîner. Concrètement, les attaques de bots malveillants coûtent habituellement plus de 4 % de leur chiffre d'affaires en ligne annuel aux entreprises des États-Unis et du Royaume-Uni.
C'est dans ces secteurs de l'industrie que la part quotidienne médiane de trafic lié aux bots est la plus élevée :
Source de l'image : rapport State of Application Security, 2024
Si le trafic lié aux bots a tendance à être plus prévalent dans votre secteur de l'industrie, vous devez envisager de réaliser des investissements plus importants dans la gestion des bots, afin d'arrêter préventivement les menaces liées aux bots malveillants.
Recherchez un service de gestion des bots qui :
Assure l'identification précise des bots, à grande échelle, en appliquant l'analyse comportementale, l'apprentissage automatique et les empreintes digitales à un vaste volume diversifié de données
S'intègre facilement avec vos autres services de sécurité des applications et d'amélioration des performances (par exemple, pare-feu WAF, réseau CDN, protection contre les attaques DDoS)
Cette fonction permet aux bots utiles (tels que ceux des moteurs de recherche) de continuer à accéder à votre site, tout en arrêtant l'afflux de trafic malveillant
De nombreuses entreprises disposent déjà d'une vaste sélection d'équipements de sécurité existants, de solutions de sécurité cloud-native et de dispositifs de sécurité développés en interne afin de répondre à tous leurs défis en matière de sécurité des applications. Cependant, cette approche fragmentée complique la connexion et la protection des applications SaaS, des applications web et des autres infrastructures informatiques. La prolifération des équipements informatiques facilite la recherche et l'exploitation des vulnérabilités par les acteurs malveillants. Une approche reposant sur une plateforme consolidée contribue à garantir une sécurité renforcée et une connectivité sans latence, à améliorer la croissance de l'activité en permettant aux entreprises de se conformer aux réglementations locales lors de leur expansion sur de nouveaux marchés et à renforcer la confiance des clients.
La solution de sécurité des applications de Cloudflare protège les applications et les API contre les utilisations abusives, arrête les bots malveillants et déjoue les attaques DDoS, tout en surveillant les contenus suspects et les attaques contre la chaîne logistique du navigateur. Nos produits de sécurité des applications opèrent en étroite collaboration avec notre suite de services d'amélioration des performances, déployés depuis le cloud de connectivité de Cloudflare – la nouvelle évolution du cloud public, qui fournit une plateforme unifiée et intelligente de services programmables et composables mis en œuvre sur un réseau cloud programmable unique, doté d'une portée mondiale.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de mieux comprendre les points suivants :
Le rôle des applications et des API dans les activités et les communications modernes
Trois tendances émergentes concernant les applications web et les API qui nécessitent une attention urgente de la part des RSSI
Recommandations pratiques pour aider les entreprises à garder une longueur d'avance sur les menaces
Dans le rapport State of Application Security, 2024, découvrez comment moderniser votre pile de sécurité des applications et protéger les visiteurs de votre site web et vos données, où qu'ils se trouvent.