Pour connecter des applications et assurer des flux de données, le recours aux API est aujourd'hui un standard dans l'architecture des systèmes d'information. Mais, précisément parce qu'elles permettent un accès aux données et aux systèmes, les API sont attaquées par les cybercriminels et semblent malheureusement négligées du point de vue de la sécurité. Selon une étude de Salt Security, sur douze mois, le trafic normal de données via des API s'est accru de 168 % et les attaques contre les API de 117 %. 94 % des répondants ont dû gérer des incidents de sécurité sur leurs API de production au cours de l'année écoulée, 20 % ayant détecté une fuite de données résultant d'une faille de sécurité de leur API.

Toujours selon l'étude de Salt Security, le trafic malveillant parasite 2,1 % du trafic total des API, les attaques orchestrées contre ces dernières sont passées de 12,22 millions d'appels malveillants mensuels à 26,46 millions en moyenne au cours du mois de juin 2022. Parmi les clients de Salt Security et selon les données empiriques collectées sur les outils du prestataire, 44 % sont visés par 11 à 100 attaques par mois, 34 % par plus de 100 attaques et 8 % par plus de 1 000. Par ailleurs, seuls 30 % des sondés affirment identifier et corriger les failles de sécurité des API en production.

Ces chiffres sont particulièrement inquiétants à l'heure où 61 % des répondants déclarent gérer plus de 100 API dans leur système d'information. 54 % admettent avoir dû repousser le déploiement d'une nouvelle application en raison de problèmes de sécurité liés aux API. Point d'inquiétude particulier : les API qui ne devraient plus être utilisées, qualifiées par Salt Security, selon les cas, d'API « zombies » (obsolètes) ou « shadow » (non-documentées). 42 % des répondants ont mis en cause des API « zombies » dans les manquements à la sécurité contre 11 % les API « shadow », L'usurpation de compte et l'exposition accidentelle d'informations sensibles inquiètent chacune 15 % des répondants.