La sécurité des API (interfaces de programmation applicatives) est un sujet de préoccupation croissant pour les équipes de sécurité IT, dans un contexte où le volume d'API utilisées s'accroît rapidement. L'éditeur Imperva a mandaté le centre d'analyse des cyber-risques du cabinet Marsh McLennan pour évaluer les incidents de sécurité liés aux API et leurs conséquences, dans une étude intitulée « Quantifier le coût de l'insécurité des API » (Quantifying the Cost of API Insecurity). Selon celle-ci, l'insécurité des API serait à l'origine de 4,1 à 7,5 % des cyber-incidents au niveau mondial, représentant en moyenne 41 à 75 milliards USD de pertes par an et un coût de 205 à 376 millions par an pour les cyber-assureurs.

La majorité des incidents observés en lien avec des API concernent des petites entreprises (moins de 50 millions USD de chiffre d'affaires). Le rapport montre néanmoins que les grandes entreprises (chiffre d'affaires d'au moins 100 milliards USD), plus avancées dans leur transformation numérique, ont un risque 3 à 4 fois plus élevé que les entreprises de taille intermédiaire et PME d'être touchées par un incident lié à la sécurité des API, avec jusqu'à un quart de cyber-incidents impliquant des API.

Services d'information et commerce de détail plus touchés

L'analyse révèle également des disparités entre secteurs d'activités, le plus touché étant sans surprise le secteur des services d'information (entre 18 et 23% d'incidents liés aux API sur le nombre total de cyber-incidents). Les services professionnels (10 à 15% d'incidents) et le retail (6 à 12%) sont également en tête des secteurs les plus exposés, les services éducatifs (2 à 3%) et la santé (0,5 à 1%) étant à l'inverse moins touchés. Le rapport a aussi évalué le niveau de maturité en cybersécurité de cinq secteurs clefs (finance, retail, information, services professionnels et services d'administration), en fonction de quatre grands indicateurs génériques qui reflètent « la posture générale de cybersécurité » : sécurité des headers d'applications web, fréquence des patches, nombre d'incidents de sécurité et enjeux sur les serveurs. Le secteur financier est le mieux placé, tandis que retail et services d'information sont les moins bien classés, expliquant pourquoi ces deux secteurs subissent davantage d'incidents.

Enfin, au niveau géographique, si la majorité des incidents ont été observés aux États-Unis (57%), certains pays se distinguent par un taux important d'incidents mettant directement en jeu l'insécurité des API. C'est notamment le cas des Pays-Bas, où 17,9 à 24,2% des incidents sont attribués à un problème de sécurité des API, mais la France connaît également des taux relativement élevés (entre 11,3 et 11,9%).