Une hausse de 400 % du nombre d'attaquants ciblant les API au cours des six derniers mois. C'est le premier chiffre qui ressort du rapport « State of API Security » pour le premier trimestre 2023, un rapport récemment publié par l'éditeur Salt Security. En outre, près de 80% des attaques concernent des API nécessitant une authentification préalable et 8% visent même des API internes laissées sans protection. Cette étude montre également que 94% des répondants ont rencontré des problèmes de sécurité sur des API de production l'an dernier, 17% ayant même connu des fuites de données à la suite de telles failles. Par ailleurs, près de six répondants sur dix (59%) ont dû freiner le déploiement de nouvelles applications en raison de problématiques de sécurité liées aux API.

De ce fait, près de la moitié (48%) des 400 professionnels de la sécurité interrogés indiquent que la sécurité des API figure désormais dans les préoccupations des dirigeants au sein de leur entreprise, un taux encore supérieur dans les secteurs sensibles ou fortement réglementés (55% dans les services publics, 56% dans le secteur financier et 59% dans le secteur technologique). Plus de la moitié des professionnels interrogés (54%) sont particulièrement préoccupés par les API obsolètes, mais seulement 20% considèrent également les API « shadow », déployées hors contrôle de l'IT, comme une préoccupation majeure. De l'avis de l'éditeur, le risque réel est probablement plus élevé sur ces dernières.

Une sécurité toujours insuffisante

En face, les mesures de sécurité peinent visiblement à s'adapter à la montée en puissance des menaces. Ainsi, moins d'un quart des sondés (23%) estiment que leur stratégie de sécurité actuelle est très efficace pour prévenir les risques autour des API. Pire, 30% ne disposent actuellement d'aucune stratégie pour sécuriser les API - un point qui pourrait heureusement changer prochainement, puisque 25% indiquent travailler sur le sujet.

Parmi les entreprises qui disposent d'une stratégie en place, 54% seulement se réfèrent à la liste « API Security Top 10 » de l'Owasp pour élaborer leurs programmes de sécurité. Le reste gagnerait à faire de même, puisque selon l'éditeur, les deux tiers (66%) des tentatives d'attaques observées exploitent au moins l'une des dix méthodes de cette liste. Parmi les enjeux prioritaires pour les équipes de sécurité figurent la possibilité de bloquer les attaques et l'aptitude à identifier les API exposant des informations sensibles, deux items cités par 44% des répondants, ainsi que la possibilité de vérifier la conformité réglementaire (citée par 38%). Enfin, 22% aimeraient pouvoir introduire la sécurité plus en amont dans les pratiques.