Les organisations perdent entre 94 et 186 milliards de dollars par an à cause des API (interfaces de programmation d’applications) vulnérables ou non sécurisées et des abus automatisés des robots. C’est selon L’impact économique des attaques d’API et de robots rapport d’Imperva, une société Thales. Le rapport souligne que ces menaces de sécurité représentent jusqu’à 11,8 % des cyberévénements et pertes mondiaux, soulignant les risques croissants qu’elles représentent pour les entreprises du monde entier.
S’appuyant sur une étude approfondie menée par le Marsh McLennan Cyber Risk Intelligence Center, le rapport analyse plus de 161 000 incidents de cybersécurité uniques. Les résultats mettent en évidence une tendance inquiétante : les menaces posées par les API vulnérables ou non sécurisées et les abus automatisés par les robots sont de plus en plus interconnectées et répandues. Imperva prévient que ne pas répondre aux risques de sécurité associés à ces menaces pourrait entraîner des dommages financiers et de réputation importants.
Adoption des API et surface d’attaque croissante
Les API sont devenues indispensables aux opérations commerciales modernes, permettant une communication et un échange de données transparents entre les applications et les services. Ils alimentent tout, des applications mobiles aux plateformes de commerce électronique et à l’open banking. Cependant, leur adoption généralisée a créé d’importants problèmes de sécurité. Selon les données d’Imperva Threat Research, l’année dernière, l’entreprise moyenne a géré 613 points de terminaison d’API en production, et ce nombre devrait augmenter à mesure que les entreprises s’appuient davantage sur les API pour piloter la transformation numérique et l’innovation.
Cette dépendance accrue aux API a considérablement élargi la surface d’attaque, les incidents de sécurité liés aux API augmentant de 40 % en 2022 et de 9 % supplémentaires en 2023. Ces attaques sont particulièrement dangereuses car les API servent souvent de voies directes vers l’infrastructure sous-jacente d’une organisation et données sensibles. Le rapport estime que l’insécurité des API est responsable de jusqu’à 87 milliards de dollars de pertes annuelles, soit une augmentation de 12 milliards de dollars par rapport à 2021. Cela peut être attribué à diverses raisons, notamment l’adoption rapide des API, l’inexpérience de nombreux développeurs d’API, le manque de normes standardisées. pratiques de sécurité et collaboration limitée entre les équipes de développement et de sécurité.
Attaques de robots : une menace persistante et évolutive
Parallèlement à l’augmentation des attaques contre les API, les attaques de robots sont devenues une menace répandue et coûteuse, entraînant jusqu’à 116 milliards de dollars de pertes par an. Les robots (des logiciels automatisés conçus pour effectuer des tâches spécifiques) sont souvent utilisés pour des activités malveillantes telles que le credential stuffing, le web scraping, la fraude en ligne et les attaques par déni de service distribué (DDoS).
En 2022, les incidents de sécurité liés aux robots ont augmenté de 88 %, suivis d’une augmentation supplémentaire de 28 % en 2023. Cette croissance alarmante a été alimentée par une combinaison de facteurs, notamment l’augmentation des transactions numériques, la prolifération des API et les tensions géopolitiques telles que le conflit Russie-Ukraine. La large disponibilité d’outils d’attaque et de modèles d’IA génératifs a également considérablement amélioré les techniques d’évasion des robots et permis même aux attaquants peu qualifiés de mener des attaques de robots sophistiquées.
Selon Imperva, les robots représentent désormais l’une des menaces les plus critiques pour la sécurité des API. L’année dernière, 30 % de toutes les attaques d’API étaient motivées par des menaces automatisées, dont 17 % étaient spécifiquement liées à des robots exploitant des vulnérabilités de la logique métier. Le recours croissant aux API (et leur accès direct aux données sensibles) en a fait des cibles privilégiées pour les opérateurs de robots. L’abus automatisé des API coûte désormais aux entreprises jusqu’à 17,9 milliards de dollars par an. À mesure que les robots deviennent plus sophistiqués, les attaquants les utilisent de plus en plus pour exploiter les API. logique métiercontourner les mesures de sécurité et exfiltrer les données sensibles, ce qui rend la détection et l’atténuation plus difficiles pour les organisations.
Les grandes entreprises courent un plus grand risque
Les grandes entreprises, en particulier celles dont le chiffre d’affaires annuel dépasse 1 milliard de dollars, sont confrontées à un risque disproportionnellement plus élevé d’attaques d’API et de robots. Selon le rapport, ces organisations sont 2 à 3 fois plus susceptibles d’être victimes d’abus automatisés d’API par des robots que les petites ou moyennes entreprises. Cette exposition accrue est principalement due à la complexité et à l’ampleur de leurs infrastructures numériques.
Ces entreprises gèrent généralement des centaines, voire des milliers d’API dans plusieurs départements et services, créant ainsi des écosystèmes d’API tentaculaires difficiles à surveiller et à sécuriser. Dans de tels environnements, les API fantômes, les API non authentifiées et les API obsolètes présentent des vulnérabilités importantes. Ces API mal gérées manquent souvent de mesures de sécurité critiques, telles que des mises à jour régulières, une authentification et une surveillance continue, ce qui les laisse ouvertes à l’exploitation.
De même, les grandes entreprises sont des cibles privilégiées des attaques de robots en raison de leur présence numérique étendue et de leurs actifs précieux. Plus l’environnement numérique est complexe, plus les robots peuvent exploiter de points d’entrée potentiels, allant des pages de connexion aux systèmes de paiement. Avec de grandes quantités de données sensibles circulant via leurs applications et API, ces entreprises constituent une cible très lucrative pour les opérateurs de robots.
Le risque est encore plus prononcé pour les entreprises dont le chiffre d’affaires annuel dépasse 100 milliards de dollars, où l’insécurité des API et les attaques de robots représentent jusqu’à 26 % de tous les incidents de sécurité. Ce chiffre frappant met en évidence le besoin crucial de stratégies complètes de sécurité des API et de gestion des robots dans les grandes entreprises, où un incident de sécurité peut entraîner d’importantes perturbations opérationnelles, des pertes financières substantielles et une atteinte durable à la réputation.
Protection contre les attaques d’API et de robots
Ensemble, les API vulnérables ou non sécurisées et les abus automatisés par des robots représentent des milliards de dollars de pertes annuelles. Alors que les entreprises s’appuient de plus en plus sur les API pour alimenter leur transformation numérique, le risque d’incidents de sécurité devrait augmenter, exposant les organisations à un risque accru de dommages financiers et de réputation. Simultanément, l’évolution des robots, souvent pilotés par l’IA générative, a amplifié les défis de la défense contre ces menaces.
Pour atténuer efficacement ces risques, Imperva recommande aux organisations de prendre les mesures proactives suivantes :
- Favoriser la collaboration interfonctionnelle : La collaboration entre les équipes de sécurité et de développement est essentielle pour intégrer la sécurité à chaque étape du cycle de vie des API. Ce partenariat garantit que les mesures de sécurité sont intégrées de la conception au déploiement, permettant une identification proactive et une atténuation des vulnérabilités avant qu’elles ne puissent être exploitées. En matière de gestion des robots, cette collaboration doit s’étendre encore plus loin. Les robots constituent un défi interfonctionnel qui touche de nombreux domaines de l’entreprise. Pour les combattre efficacement, les équipes du marketing, du commerce électronique, de l’expérience client, de l’informatique, du secteur d’activité et de la sécurité doivent travailler en étroite collaboration. Cette collaboration plus large permet d’identifier les fonctionnalités vulnérables, telles que les pages de connexion, les processus de paiement et les formulaires, qui sont particulièrement sensibles aux attaques de robots.
- Découverte et surveillance complètes des API : Les organisations doivent avoir une visibilité complète sur toutes leurs API, y compris les API fantômes, obsolètes et non authentifiées, pour garantir qu’aucune n’est négligée. Une surveillance et un audit continus sont essentiels pour identifier les vulnérabilités potentielles avant qu’elles ne soient exploitées.
- Intégrez la sécurité des API et la gestion des robots : La gestion des robots et la sécurité des API doivent être utilisées en tandem pour réussir à atténuer les attaques automatisées contre les bibliothèques d’API. Cette approche combinée permet d’identifier les API vulnérables, de surveiller en permanence les attaques automatisées et de fournir des informations exploitables pour une détection et une réponse rapides. En intégrant la gestion des robots et la sécurité des API, les entreprises peuvent mieux se protéger contre les menaces automatisées sophistiquées tout en gagnant en visibilité pour détecter et atténuer les risques avant qu’ils ne provoquent un incident de sécurité.
À mesure que les écosystèmes d’API continuent de se développer et que les robots deviennent plus sophistiqués, le coût de l’inaction ne fera qu’augmenter. Les organisations doivent faire face aux risques de sécurité associés aux API et aux robots pour protéger les données sensibles, atténuer les pertes financières et préserver la réputation de leur marque.