Pour le lancement de son programme STEP, Salt en a présenté les premiers partenaires, à savoir des acteurs spécialisés dans les solutions de test orientées API. Parmi eux figurent des sociétés faisant autorité à la fois pour les tests dynamiques de sécurité applicative (DAST), comme Bright Security, Invicti Security et StackHawk, et pour les tests interactifs de sécurité applicative (IAST), Contrast Security. Grâce à ses intégrations DAST et IAST prédéfinies, Salt permet aux entreprises de simplifier le déploiement des solutions correspondantes et :

● d’évoluer vers une stratégie de test des API adaptée aux risques encourus, en faisant le lien entre le cloud et le code et en mettant l’accent sur les données névralgiques ;

● de limiter les risques en dépit d’une surface d’attaque élargie, en tirant parti de l’inventaire API très complet et actualisé de Salt conjugué à la hiérarchisation des vulnérabilités établie par ses partenaires de test ;

● de bénéficier de tests de meilleure qualité, en mettant à profit les remarquables fonctionnalités applicables aux tests OWASP, MITRE, de logique applicative, de détection d’intrusion de type SQLi (injection DQL), XSS (cross-site scripting), SSRF (falsification de requêtes côté serveur) et autres ;

● de simplifier la tâche des équipes DevOps et DevSecOps, en leur permettant d’exploiter leurs actuelles technologies de test conçues pour s’intégrer parfaitement aux pipelines de développement ;

● d’écourter leurs délais de rentabilisation, en leur donnant les moyens de travailler avec les environnements de développement intégré (EDI), outils de pipeline et autres workflows en place ;

● de gagner en efficacité, grâce à des fichiers OAS contextualisés actualisés automatiquement en temps réel, indiquant ce qu’il convient de tester et l’ordre de priorité à respecter, qui étendent la portée et l’applicabilité de leurs tests orientés API existants ;

● d’accélérer leurs travaux R&D, en axant leur travail d’analyse sur les API prioritaires comme les API externes ou celles contenant des informations personnellement identifiables (IPI).

En parallèle de cette orientation « tests », le programme STEP officialise le travail d’intégration déjà accompli par Salt avec d’autres technologies liées aux écosystèmes d’API, notamment les pare-feu applicatifs web (WAF), passerelles API et mécanismes de sécurisation cloud. Salt développera conjointement avec ses partenaires certaines intégrations et publiera des API pour en accélérer le déploiement, permettant ainsi à nombre d’entre eux de puiser des données intéressantes concernant ces API à partir du système Salt.

Cette approche de premier ordre garantit aux entreprises des outils de pointe pour la sécurisation de leurs API tout au long de leur cycle de vie. Aucune entreprise ne peut mobiliser toutes les disciplines requises pour les sécuriser totalement, et les tentatives menées en ce sens se soldent par des solutions médiocres qui ne font qu’accentuer leur vulnérabilité. Les intégrations découlant du programme STEP doteront la clientèle de la protection idéale, la plus facile à déployer et la plus efficace qui soit, pour leurs API.

La fréquence et la gravité des menaces et des vulnérabilités en lien avec les API se sont intensifiées. D’après l’édition 2023 du rapport « State of API Security », 94 % des entreprises ont rencontré des problèmes de sécurité sur des API de production l’an dernier. En outre, une récente étude chiffre à 6,1 millions de dollars le coût moyen d’une faille de sécurité, frais de remédiation et préjudice porté à la réputation de la marque inclus, et prévoit qu’il devrait avoisiner 14,5 millions de dollars d’ici à 2030.