Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les API vulnérables coûtent aux entreprises jusqu’à 75 milliards de dollars par an

juin 2022 par Marsh McLennan Cyber Risk Analytics Center et Imperva

Imperva, Inc. publie "Quantifying the Cost of API Insecurity", une nouvelle étude qui révèle les coûts mondiaux croissants des API vulnérables ou non sécurisées. L’analyse de près de 117 000 incidents de cybersécurité uniques estime que l’insécurité des API entraîne des pertes de 41 à 75 milliards USD par an.

L’étude, menée par le Marsh McLennan Cyber Risk Analytics Center, a révélé que les grandes entreprises étaient statistiquement plus susceptibles de connaître un pourcentage plus élevé d’incidents liés aux API. Ces entreprises dont le chiffre d’affaires s’élève à au moins 100 milliards USD sont 3 à 4 fois plus susceptibles d’être confrontées à l’insécurité des API que les petites et moyennes entreprises car elles sont plus matures et accélèrent leur transformation numérique.

Une API est le tissu conjonctif invisible qui permet aux applications de partager des données pour améliorer les expériences et les résultats des utilisateurs finaux. Le volume d’API utilisées par les entreprises augmente rapidement ; près de la moitié des entreprises ont entre 50 et 500 API déployées, en interne ou publiquement, tandis que certaines ont plus de mille API actives.

De nombreuses API se connectent directement à des bases de données dorsales où sont stockées des données sensibles. Par conséquent, les pirates ciblent de plus en plus les API comme voie d’accès à l’infrastructure sous-jacente afin d’exfiltrer des informations sensibles. Aujourd’hui, pas moins d’un cyber incident sur 13 peut être attribué à l’insécurité des API. Comme le nombre d’API en production se multiplie, ce chiffre devrait augmenter dans les années à venir.

L’étude a également révélé des disparités importantes entre les secteurs d’activité. L’informatique, les services professionnels et le commerce de détail sont les plus susceptibles de subir des incidents de sécurité liés aux API :

Industrie Estimation du pourcentage d’incidents causés par l’insécurité de l’API
IT et Information 18% - 23%
Services professionnels 10% - 15%
Retail 6% - 12%
Fabrication 4% - 6%
Transport 4% - 6%
Services publics 4% - 6%
Finance et assurance 2% - 4%
Services éducatifs 2% - 3%
Soins de santé 0.5% - 1%

" L’augmentation des coûts associés à l’insécurité des API est en corrélation avec la réalité : de nombreuses organisations n’ont tout simplement pas les bons outils en place pour surveiller et protéger leurs écosystèmes d’API ", explique Lebin Cheng, vice-président, API Security, Imperva. "Qui plus est, même si les organisations pensent avoir mis en place les bonnes défenses, elles ne protègent pas les données sous-jacentes qui sont en définitive la cible des cybercriminels."

La France présente un taux d’incidents relativement élevé, avec entre 11,3 et 11.97 % des événements de cyber-sécurité liés à l’insécurité des API. Cela s’explique probablement par le fait que les entreprises de France sont généralement plus innovantes et plus matures sur le plan numérique, avec des chaînes d’approvisionnement logicielles complexes. Tous ces facteurs peuvent accroître à la fois le volume des API utilisées et la quantité de données qui y transitent, ce qui augmente les risques d’un événement lié aux API.

Recommandations pour améliorer la sécurité des API :

● Identifier et classer les données qui transitent par chaque API : La visibilité est cruciale pour comprendre le schéma complet de chaque API, identifier et classer les données qui y transitent et enfin évaluer les risques.

● Automatiser la découverte : Les API sont produites rapidement et souvent modifiées, ce qui en fait un angle mort pour de nombreuses organisations. Grâce à l’automatisation, les organisations peuvent éliminer les API malveillantes ou fantômes. De plus, en automatisant l’inventaire des API, l’équipe de sécurité aura une visibilité sur le moment où les développeurs modifient les API en production.

● Activez la gouvernance des API : Pour les organisations des secteurs hautement réglementés, un modèle de gouvernance des API est crucial. Cela n’est possible qu’avec une visibilité qui s’étend au-delà du point d’extrémité de l’API et dans la charge utile sous-jacente, afin que les données sensibles puissent être protégées de manière adéquate.

"Relever les défis de la sécurité des API nécessite une approche qui va au-delà du point d’extrémité et se concentre sur la découverte de chaque API et la classification des données qui y transitent", a ajouté Cheng. "Cette approche nécessite une relation de travail mutuelle entre les opérations de sécurité et les développeurs, en utilisant des outils faciles à utiliser et pouvant être intégrés dans le cycle de vie du développement."


Voir les articles précédents

    

Voir les articles suivants