Un rapport publié cette semaine par OpinionMatters et commandé par Noname Security a révélé que plus de trois professionnels de la cybersécurité sur quatre aux États-Unis et au Royaume-Uni ont déclaré que leur organisation avait connu au moins un incident de sécurité lié à leurs API au cours des 12 derniers mois.
Une proportion similaire de répondants, 74 %, ont déclaré qu'ils n'avaient pas terminé un inventaire complet de toutes les API de leurs systèmes, ou qu'ils ne connaissaient pas parfaitement celles qui pourraient renvoyer des données sensibles. Les failles de sécurité les plus courantes identifiées étaient constituées d'API dormantes - ostensiblement remplacées mais qui restent opérationnelles - et liées à des vulnérabilités d'autorisation et à des pare-feu d'applications web. Cela dit, une forte majorité (71 %) a également déclaré qu'elle était confiante dans la sécurité des API fournies par leur fournisseur de services , ce qui indique, selon Noname, l'existence d'une forme de complaisance entre les différentes parties prenantes.
Energie, services publics et fabrication, grandes victimes des problèmes de sécurité des API
« Il y a clairement une déconnexion entre ce qui se passe dans le monde réel et les attitudes organisationnelles envers la sécurité des API », indique le rapport. « Le niveau de confiance mal placée autour de la sécurité des API est disproportionnellement élevé par rapport au nombre et à la gravité des violations liées aux API. Cela souligne la nécessité d'une formation plus poussée des équipes de sécurité, [de sécurité des applications] et de développement sur les réalités de la sécurité des API ». La transformation numérique, ajoute le rapport, ne fera que rendre la sécurité des API plus importante au fil du temps. Les auteurs ont par ailleurs cité une étude du Gartner selon lequel les violations liées aux API pourraient devenir le type d'incident de sécurité le plus courant à partir de cette année.
Selon l'enquête, les secteurs les plus vulnérables sont l'énergie et les services publics, ainsi que la fabrication : 78 % des personnes interrogées dans le premier secteur ont signalé un type de violation de l'API au cours de l'année précédente, ainsi que 79 % dans le second. Seuls 19 % des entreprises d'énergie et de services publics interrogées ont déclaré disposer d'un inventaire complet des API ou d'un aperçu complet des API qui constituaient des points de vulnérabilité potentiels. Les répondants britanniques étaient légèrement plus susceptibles d'avoir un aperçu en temps réel de leurs vulnérabilités potentielles, ainsi qu'une meilleure idée de leur inventaire global : 14 % des répondants britanniques ont ainsi signalé des tests en temps réel, avec seulement 8 % des utilisateurs américains disant de même, et 28 % ayant déclaré avoir entièrement inventorié leurs API et leurs données potentiellement sensibles, contre 24 % pour les répondants américains.