API cachées : Les angles morts exposent-ils les agences du secteur public aux attaques ?
Le paysage numérique évolue constamment, et avec lui, les menaces qui pèsent sur le secteur public et les infrastructures critiques nationales. Des attaques récentes et bien documentées, comme celle des États-Unis La violation des données du département du Trésor à la fin de l'année dernière et le piratage de l'opérateur de réseau T-Mobile révélé en 2023 servent de rappels frappants des vulnérabilités en général.
De plus en plus, ces vulnérabilités se trouvent dans les interfaces de programmation application , ou API. En fait, Gartner a récemment prédit que les API deviendraient le principal vecteur d’attaque pour les applications Web, et mon expérience confirme cette tendance.
Lors du Symposium du secteur public AppWorld de cette semaine, qui débute demain à Tysons Corner, en Virginie, nous discuterons de la protection des API, ainsi que d'autres tendances émergentes en matière de distribution et de sécurité des application . Cet événement est une occasion cruciale d’examiner ces défis et d’explorer des solutions efficaces.
Révéler la menace des API fantômes
L’un des plus grands défis que je constate à maintes reprises est le manque de visibilité sur les vulnérabilités du réseau. De nombreuses organisations ne savent tout simplement pas combien d’API elles utilisent. Nous avons mené des exercices de découverte d’API pour des clients qui pensaient avoir environ 100 API, pour finalement en découvrir près de 30 000 ! Ce n’est pas inhabituel et cela représente un risque de sécurité important.
Les API fonctionnent dans des écosystèmes complexes, cachés parmi un patchwork d’architectures, de composants, de types et de protocoles. En moyenne, les organisations utilisent plus de 20 000 API . D’ici 2030, le nombre total d’API utilisées dans les secteurs public et privé devrait dépasser les 2 milliards. Les défis liés à la gestion et à la sécurisation de ces informations résident généralement dans un manque de documentation ou dans une difficulté de découverte.
Ce phénomène de « shadow IT », où prolifèrent des API inconnues ou non gérées, crée un terrain fertile pour les vulnérabilités. Ces API manquent souvent de contrôles de sécurité appropriés, ce qui en fait des cibles faciles pour les acteurs malveillants. Imaginez que vous laissiez les portes et les fenêtres de votre maison déverrouillées : c’est une invitation ouverte à ceux qui veulent s’introduire chez vous.
Comprendre l'exploitation des API et les vecteurs d'attaque
Les API sont de plus en plus ciblées par les acteurs étatiques et les organisations cybercriminelles. Les API gouvernementales et liées à la défense sont tout aussi vulnérables que celles destinées au public. On peut dire qu’ils sont des cibles encore plus attractives en raison des données sensibles qu’ils traitent.
Les API peuvent être utilisées comme points d’entrée pour des attaques plus profondes dans les réseaux. Une API compromise peut donner accès à des systèmes internes, des bases de données et d’autres ressources critiques. C'est comme trouver un passage secret vers le cœur de votre organisation. Comme nous l’avons vu dans le cas de T-Mobile, l’opérateur de réseau basé aux États-Unis, les acteurs malveillants peuvent exploiter les vulnérabilités des API pour obtenir un accès non autorisé à des données confidentielles qui ont une valeur sur le dark web. Dans ce cas, les attaquants ont volé les informations personnelles de 37 millions de comptes clients actuels.
Pour rendre les choses encore plus compliquées, une organisation peut ne pas contrôler entièrement toutes les API qui entrent en contact avec ses systèmes.
Les États-Unis Les attaquants du département du Trésor ont obtenu un accès grâce à une vulnérabilité dans un composant logiciel tiers, ironiquement, un logiciel qui faisait partie de sa cyberdéfense. Ces attaques de la chaîne d'approvisionnement peuvent avoir un impact sur les organisations de toute taille et de tout statut, avec de nombreux exemples tels que l'attaque Solar Winds et le groupe Volt Typhoon qui font la une des journaux.
Des mesures de sécurité API robustes ne nécessitent aucun effort de votre part. Notre rapport sur l'état de la stratégie application 2024 : API Security révèle quelles API semblent être les plus exposées aux risques, lesquelles sont généralement négligées par la protection et comment les modèles et les responsabilités de sécurité des API peuvent devoir s'adapter pour assurer la sécurité des API à l'ère de l'IA. Alerte spoiler : la sécurité Zero Trust a également un angle mort, à moins qu'elle n'intègre également les API.
L'IA peut-elle être votre alliée en matière de sécurité des API ? Exploiter la défense basée sur l'IA
L’IA renforce et contribue à la fois à la sécurité des API. Gartner estime que l’adoption de l’IA sera à l’origine de plus de 30 % de la demande accrue d’API d’ici 2026, en raison du nombre d’API dont les grands modèles linguistiques ont besoin pour collecter et échanger des données. Chaque API nécessite une documentation et une sécurité, ce qui crée une multitude d’opportunités d’intentions malveillantes.
Heureusement, les organisations ne sont pas sans défense et l’IA apparaît comme un outil défensif puissant. L’IA et l’apprentissage automatique peuvent analyser le trafic des API en temps réel, détectant des anomalies et des comportements suspects qu’il serait impossible pour les humains d’identifier manuellement.
L’IA peut classer les API, comprendre les modèles de comportement normaux et signaler les abus potentiels ou les vulnérabilités de sécurité. Il peut également être utilisé pour générer des politiques de sécurité de manière dynamique, en s'adaptant à l'évolution des menaces et en garantissant que vos API sont toujours protégées. C'est comme avoir un agent de sécurité infatigable et intelligent qui surveille en permanence le trafic de votre API.
Assurer une protection uniforme dans tous les environnements
Les organisations du secteur public d’aujourd’hui exploitent des environnements hybrides et multicloud (avec AWS, Azure, Google Cloud et d’autres) pour atteindre l’évolutivité et la résilience, mais cela ajoute également au casse-tête de la sécurité des API. Les différences inhérentes entre les fournisseurs de cloud, avec leurs propres outils et configurations de sécurité, créent une posture de sécurité fragmentée. S’appuyer uniquement sur la sécurité native du cloud laisse des failles que les attaquants exploitent avec empressement. C'est comme essayer de défendre un château avec différentes armées qui ne se coordonnent pas.
La complexité de la gestion des API sur plusieurs clouds peut facilement submerger les équipes de sécurité qui ne sont pas en mesure d’obtenir une vue complète de toutes les API et de leur état de sécurité. Pour relever ce défi, il faut adopter une approche unifiée, en commençant par un ensemble unique et cohérent de politiques de sécurité sur tous les clouds, couvrant l’authentification, l’autorisation, etc. Des contrôles de sécurité standardisés sont également essentiels, garantissant un niveau de protection de base partout.
Les tests de sécurité automatisés intégrés au cycle de développement de l’API identifient également les vulnérabilités à un stade précoce. La surveillance en temps réel et la détection des menaces offrent une visibilité et permettent une réponse rapide aux incidents, tandis qu'un système robuste de gestion des accès (IAM) contrôle l'accès aux API et des politiques de gouvernance des API claires garantissent des pratiques de sécurité cohérentes.
La sécurisation des API dans un monde multicloud exige une approche proactive, centralisée et standardisée. En mettant en œuvre ces principes, les organisations modernes du secteur public et des infrastructures critiques peuvent atténuer les risques et garantir la sécurité continue de leurs API. En fin de compte, il s’agit de construire une défense solide et adaptable contre des menaces en constante évolution.
Vous souhaitez en savoir plus ? Écoutez le récent podcast Federal Tech présentant ma conversation avec John Gilroy. Visitez également la page Web de F5 Public Sector Solutions .