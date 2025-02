Sécurité des applications web et API : une étude révèle les vulnérabilités face à l’évolution des cybermenaces

février 2025 par Fastly Inc.

Le rapport "Équilibrer les exigences de protection des applications", basé sur les retours de 383 professionnels de la cybersécurité et de l’IT en Amérique du Nord, souligne les difficultés croissantes pour sécuriser les applications web et les API en pleine expansion, dans un contexte de menaces cyber grandissantes.

Une croissance exponentielle des applications et des API

Alors que les organisations dépendent de plus en plus des applications et des API pour générer leurs revenus, le paysage numérique s’étend à un rythme sans précédent. En moyenne, les experts interrogés prévoient une augmentation de 39 % du nombre d’applications web et de sites internet dans les deux prochaines années, passant d’une moyenne de 145 à 201 par organisation. De plus, l’utilisation des API devrait connaître une forte hausse : la proportion de répondants estimant que plus de la moitié de leurs applications utiliseront des API passera de 32 % à 80 % sur la même période. En conséquence, les équipes de sécurité doivent composer avec des cycles de développement agiles et l’adoption généralisée d’infrastructures cloud, rendant de plus en plus difficile le maintien de défenses robustes.

Des vulnérabilités de plus en plus exploitées

Alors que la sécurité des applications devient critique, les risques ont également augmenté. Selon l’étude, 57 % des organisations de taille moyenne et des grandes entreprises ont subi des attaques visant leurs applications web et/ou leurs API exploitant des vulnérabilités peu connues au cours des 24 derniers mois.

Bien que 92 % des organisations aient mis en place au moins un pare-feu applicatif web (WAF), 67 % s’appuient sur plusieurs WAF de différents fournisseurs. Cette fragmentation est largement due aux complexités du multi-cloud et aux exigences spécifiques en termes de fonctionnalités, signalant un besoin critique de solutions de sécurité consolidées de nouvelle génération capables de couvrir des environnements variés, du cloud aux infrastructures sur site et hybrides.

Un besoin urgent de simplification et de consolidation

"La croissance rapide des API a fondamentalement transformé les environnements applicatifs et introduit d’importants défis en matière de sécurité et de gouvernance, des erreurs de configuration aux attaques par injection API en passant par les attaques DDoS volumétriques. Pourtant, alors que les organisations ont superposé plusieurs WAF et outils de gestion des bots pour faire face à ces risques, la complexité s’est accrue", explique John Grady, analyste principal chez TechTarget’s Enterprise Strategy Group. "Nous avons atteint un point où l’ajout de différents outils de sécurité apporte des rendements décroissants. Les équipes de cybersécurité et d’IT devraient chercher à simplifier leurs opérations et améliorer la sécurité en consolidant les solutions qui offrent à la fois automatisation et protection spécialisée contre un large éventail de menaces."

Les attaques DDoS comme tactique de diversion

L’étude met également en lumière une tendance préoccupante : 45 % des organisations ayant subi une attaque DDoS rapportent qu’elle faisait partie d’une tactique de diversion dans le cadre d’une attaque plus large et coordonnée. Plus inquiétant encore, 70 % de ces diversions ont réussi, entraînant des perturbations opérationnelles importantes et des pertes de données. Alors que les attaquants continuent d’innover, les organisations se tournent de plus en plus vers des solutions automatisées pour contrer ces menaces en évolution. Cependant, des inquiétudes persistent — 59 % des professionnels de l’IT estiment que les cyberattaquants ont l’avantage dans l’utilisation de l’IA pour leurs attaques.

"La rapidité est cruciale en matière de sécurité des applications, et les attaques automatisées exigent des défenses automatisées tout aussi rapides pour garantir le respect des réglementations en matière de confidentialité et de sécurité et protéger les informations des utilisateurs", déclare Fernando Medrano, Directeur Adjoint de la Sécurité des Systèmes d’Information chez Fastly. "Alors que les applications web et les API continuent de gagner en importance, les organisations doivent envisager d’intégrer la sécurité dès le début du processus de développement des produits plutôt que de la traiter comme une réflexion après-coup."

Les chiffres clés du rapport

Explosion des applications web :

• Hausse de 39% prévue d’ici 2027

• De 145 à 201 applications par organisation

• Principale cause : transformation digitale accélérée

Adoption massive des APIs :

• 80% des applications utiliseront des APIs d’ici 2027

• Seulement 32% en utilisent actuellement

• +48% de croissance en 2 ans

• Multiplication des architectures cloud natives

État de la sécurité :

• 57% des organisations sont victimes d’attaques web/API

• 92% utilisent au moins un WAF

• 67% dépendent de plusieurs fournisseurs de WAF

• Complexité accrue des environnements multi-cloud

Menaces DDoS :

• 45% utilisées comme tactiques de diversion

• 70% de taux de réussite des diversions

• Conséquences : pertes de données et perturbations opérationnelles

• Augmentation des attaques coordonnées

Intelligence Artificielle :

• 59% des professionnels IT inquiets de l’avantage des cybercriminels

• Automatisation croissante des attaques

• Besoin urgent de défenses automatisées

• Nécessité d’intégrer la sécurité dès la conception

À propos de l’étude

383 professionnels de la cybersécurité et de l’IT impliqués dans la sécurisation des applications web de leurs organisations ont été interrogés ; tant dans les entreprises de taille moyenne que dans les grandes entreprises aux États-Unis et au Canada. Les entretiens ont été menés via une enquête en ligne entre le 1er et le 14 novembre 2024.