Les plus grands signaux d'alarme en matière de sécurité des API

Les failles de sécurité des API sont désormais courantes et publiques. Les applications d’IA et les écosystèmes interconnectés augmentent les risques et la complexité. Ce n’est pas une coïncidence si les attaquants se sont tournés vers les points de terminaison des API.

Les entreprises doivent réévaluer leur stratégie de sécurité des API pour s’assurer qu’elles sont prêtes à défendre leurs applications basées sur les API. Mais par où commencer ?

Dans cette infographie, nous examinons les cinq principaux signaux d’alarme en matière de sécurité des API dont chaque organisation doit être consciente. En comprenant mieux ces signes, les entreprises peuvent reconnaître les principaux risques et les traiter de manière proactive pour améliorer leur approche holistique de la sécurité des API.

Cliquez sur les onglets pour en savoir plus sur les signaux d'alerte en matière de sécurité des API
Vous ne savez pas où se trouvent toutes vos API
monde avec des signes de sécurité
Il existe une ambiguïté dans la surface d’attaque de votre organisation
  • Le guide d'évaluation de la solution de sécurité de l'API Datos explique le problème principal : « L’énumération de la surface d’attaque des API est essentielle pour sécuriser les API. Les RSSI ne peuvent pas protéger ce qui n’est pas connu. La découverte d’API est nécessaire pour identifier les API fantômes, orphelines, obsolètes et obsolètes.
  • Les API sont essentielles pour toute entreprise moderne. Comme le décrit Venture Beat , « les API représentent 91 % de l’ensemble du trafic Web et elles s’inscrivent dans la tendance vers les architectures de microservices et la nécessité de répondre de manière dynamique à l’évolution rapide des conditions du marché. »
  • Et parce qu’elles jouent un rôle clé, les API sont une cible populaire pour les cybercriminels. 90 % des cyberattaques basées sur le Web ciblent les points de terminaison des API et le nombre d' enregistrements d'attaques d'origine des API compromis a dépassé 1 milliard.
Gouvernement numérique / Services numériques
Votre pile de sécurité est trop complexe
  • Les applications et API d’aujourd’hui sont déployées dans un paysage hybride et multicloud. Comme indiqué dans le rapport 2024 sur l'état de la stratégie applicative, près de 90 % des organisations fonctionnent dans des modèles de déploiement hybrides, notamment SaaS, cloud public/IaaS, sur site (traditionnel), sur site (cloud privé), colocation et edge.
  • D'après le même rapport : le nombre d'organisations fonctionnant selon six modèles différents a augmenté de près de 20 % entre 2023 et 2024.
  • 66 % des grandes entreprises (avec plus de 10 000 employés) utilisent généralement 60 à 80 outils de sécurité , en partie en raison des outils dédiés nécessaires pour répondre à des besoins spécifiques dans plusieurs environnements cloud.
triangle de nuages
Maintenir votre posture de sécurité est trop manuel
  • Avec autant d'API et de points de terminaison, les mises à jour de sécurité manuelles ne sont pas durables. L'automatisation de la sécurisation des API peut réduire considérablement le besoin de mises à jour manuelles, comme le démontre cette étude de cas de McGraw Hill documentant leurs efforts pour réduire la complexité de la gestion de 18 millions de demandes d'API mensuelles.
  • Les personnes interrogées dans le cadre de l'enquête sur l'état de la stratégie applicative signalent que les correctifs et les mises à jour manuels ne sont pas assez rapides pour répondre aux attaques zero-day, de nombreux décideurs signalant que le coût élevé des attaques réussies fait de l'automatisation de la sécurité des applications et des API un incontournable. À cette fin, l’automatisation des applications et des API est passée de 33 % à 43 % au cours de l’année écoulée. Le nombre de CVE publiés s'accélère et les chercheurs de F5 Labs s'attendent à ce que 500 nouveaux CVE soient publiés au cours d'une semaine normale en 2025.
  • L’adoption croissante de l’IA générative a également des implications sur la sécurité des applications et des API ; le principal cas d’utilisation de l’IA générative en matière de sécurité est l’ajustement automatique des politiques de sécurité et la génération de configurations de sécurité sur les menaces détectées.
Modernisation de l'héritage
Vous vous inquiétez de la sécurité des applications d’IA
  • La sécurisation de l’IA générative commence par une bonne sécurité des applications et des API. C'est ce que décrit succinctement Mete Atamel , défenseur des développeurs cloud pour Google : « Quelle que soit la manière dont vous utilisez l'IA de génération, en fin de compte, vous appelez un point de terminaison soit avec un SDK ou une bibliothèque, soit via une API REST. »
  • Deux mois après le lancement de l'OpenAI GPT Store , les utilisateurs ont déjà créé plus de 3 millions de versions personnalisées de ChatGPT, démontrant l'ampleur du défi de sécurité associé à la sécurisation des fournisseurs tiers.
  • Selon IDC , « 66 % des personnes interrogées citent GenAI et, de manière générale, les charges de travail d’IA publiques et privées comme l’un de leurs principaux cas d’utilisation ». Ils ont constaté que « la plupart des applications d'entreprise basées sur l'IA sont hautement distribuées dans leur mise en œuvre, nécessitant de 10 à 100 interactions API qui doivent traverser un ensemble diversifié d'environnements d'application et d'infrastructures de cloud public, de cloud spécialisé et sur site de manière hautement disponible et sécurisée. Les chercheurs de F5 ont également constaté que la plupart des organisations prévoient de déployer des applications d'IA dans des environnements hybrides et multicloud, les répondants à l'enquête sur l'état de la stratégie d'application indiquant qu'ils conserveraient des applications d'IA dans le cloud public (80 %) et sur site (54 %).  
Gestion des identités et des accès

Découvrez comment F5 peut aider à améliorer l’approche holistique de votre organisation en matière de sécurité des API .