Une nouvelle tude rvle que 95 % des personnes interroges ont rencontr des problmes de scurit dans les API de production, et que 23 % d’entre elles ont subi des violations en raison d’insuffisances en matire de scurit des API.
Les incidents lis la scurit des API ont plus que doubl au cours des 12 derniers mois, 37 % des personnes interroges ayant connu un incident, contre seulement 17 % en 2023.
Le rapport de Salt Security montre que le volume d’API au sein des organisations s’acclre galement, les donnes des clients de Salt montrant une augmentation de 167 % du nombre d’API au cours des 12 derniers mois et 66 % des rpondants l’enqute dclarant qu’ils en grent plus de 100.
Seules 7,5 % des entreprises considrent que leurs programmes de scurit des API sont « avancs ». Il est alarmant de constater que 37 % des personnes interroges, dont les API fonctionnent en production, n’ont pas mis en place de stratgie active de scurit des API. Malgr cela, 46 % des personnes interroges dclarent que la scurit des API fait l’objet d’une discussion au niveau de la direction de leur entreprise.
Seulement 10 % des entreprises disposent actuellement d’une stratgie de gouvernance de la scurit des API. Toutefois, conscientes de l’importance de cette stratgie, prs de la moiti d’entre elles (47 %) prvoient de la mettre en uvre au cours des 12 prochains mois.
Le volume des API au sein des organisations ne montre aucun signe de dclin, et les quipes de scurit ont du mal suivre le rythme de l’tendue et de la profondeur des cosystmes d’API modernes , dclare Roey Eliyahu, cofondateur et PDG de Salt Security. Comme l’illustrent les rsultats de notre tude, les attaquants continuent de tirer parti de cette situation, en exploitant les points faibles des API pour excuter des attaques malveillantes et accder aux donnes des entreprises et des clients. Les acteurs malveillants affinant constamment leurs tactiques pour lancer discrtement des attaques par API, souvent par des moyens lgitimes, les entreprises doivent adopter une approche plus sophistique pour scuriser les API. Une approche qui englobe de solides capacits de dcouverte des API, une stratgie de gouvernance de la posture et la capacit de dtecter rapidement et efficacement les menaces actives et le trafic API malveillant.
Les personnes interroges se disent trs proccupes par les risques potentiels associs aux API « zombies » – les API obsoltes et oublies au sein des cosystmes. 70 % d’entre eux considrent les API zombies comme une proccupation importante ou forte, contre 54 % en 2023. La prise de contrle de comptes et le dni de service sont les deuxime et troisime proccupations les plus importantes.
La rapidit des mises jour est galement un problme : plus d’un tiers des organisations dclarent mettre jour leurs API au moins une fois par semaine (38 %), et une part importante (13 %) effectue des mises jour quotidiennes. Seulement 12 % des personnes interroges se disent trs confiantes dans l’exactitude de l’inventaire de leurs API, ce qui met en vidence un manque de confiance gnralis dans le dispositif de scurit.
Source : « State of API Security Report 2024 » (Salt Security)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette tude de Salt Security crdibles ou pertinentes ?
Qu’en est-il au sein de votre entreprise ?
Voir aussi :