Les interfaces de programme d’application (API) Web sont de plus en plus populaires, entraînant toutes sortes de problèmes de cybersécurité dans le processus.
C’est selon un nouveau rapport de Noname Security, qui a interrogé 3 000 employés dans 350 entreprises sur les défis associés aux API.
La société a constaté que les API sont extrêmement populaires ces jours-ci, avec une organisation moyenne exploitant 15 564 API au total, en hausse de 201 % d’une année sur l’autre.
Incidents de sécurité
Cependant, de nombreuses entreprises sont confrontées à des problèmes. Plus de deux sur cinq (41 %) ont eu un incident de cybersécurité lié aux API au cours des douze derniers mois, dont près des deux tiers (63 %) impliquant une violation de données ou une perte de données.
Par exemple, l’une des plus grandes plates-formes d’automatisation du marketing et des services de marketing par e-mail, MailChimp, a été piratée par des attaquants qui ont également accédé aux clés API (aujourd’hui disparues) d’un nombre inconnu de clients.
Avec les clés, les attaquants pourraient créer des campagnes d’e-mail personnalisées et les envoyer à des listes de diffusion sans accéder au portail client MailChimp.
Presque toutes les entreprises (90 %) ont mis en place des politiques d’authentification API, mais un tiers (31 %) ont déclaré qu’elles n’étaient pas exactement convaincues que ces politiques fournissaient un niveau de protection adéquat.
De plus, un tiers (35 %) ont vu leurs projets retardés en raison de problèmes de sécurité des API, 87 % d’entre eux estimant que l’intégration des tests de sécurité des API dans les pipelines de développeurs aurait pu éviter les retards.
Environ la moitié (51 %) ont pleinement confiance dans leurs inventaires d’API, un quart (26 %) ajoutant que leurs processus de mise à jour des inventaires sont manuels.
« Avec l’utilisation des API qui continue de croître, ce niveau extrême d’utilisation et de dépendance a permis à de nombreuses vulnérabilités de remonter à la surface, rendant la sécurisation de ces API dans tous les secteurs plus primordiale que jamais », a déclaré Daniel Kennedy, analyste de recherche principal chez 451 Research.
« Ce rapport devrait aider les entreprises de toutes tailles dans divers secteurs à prendre les décisions éclairées dont elles ont besoin lors de l’élaboration de leur stratégie de sécurité des API. »