Une étude menée par le SANS Institute pour le compte d’Akamai illustre la prise en compte encore très partielle par les entreprises des risques d’attaques d’applications et d’API, et ce alors qu’ils ont atteint un niveau record en 2022. L’étude a été conduite sur un panel de 231 répondants, la plupart aux États-Unis, et très majoritairement (78%) avec un rôle dans la sécurité des applications de leur organisation.
Elle révèle que moins de 50 % des répondants disposent d’outils de test de sécurité des API et encore moins d’outils de découverte d’API (29 %). L’étude indique aussi qu’ils sont aussi seulement 29% à utiliser les contrôles de sécurité des API inclus dans les services de déni de service distribué (DDoS) et d’équilibrage de charge.
Question de priorités car quand on les interroge sur les principaux risques pour leur organisation, les répondants sont d’abord soucieux des risques d’hameçonnage pour obtenir des informations d’identification réutilisables et d’exploitation des correctifs manquant. L’exploitation des applications/API vulnérables arrive tout de même en troisième position.
Il en résulte une absence de visibilité puisque plus de deux tiers des répondants reconnaissent que la précision de leur inventaire d’API exécutées en production est inférieure à 75 %. Une partie du problème résulte aussi de l’absence de consensus sur les outils les plus appropriés pour combler les lacunes des API.
Interrogés sur les outils qu’ils prévoient de déployer dans les deux prochaines années, les répondants citent pêle-mêle les passerelles web sécurisées (14%), tests dynamiques de vulnérabilité des applications (13%), pare-feux d’applications Web (13%), fonctionnalités de sécurité des applications/API au sein des réseaux de diffusion de contenu (13%), tests de sécurité des API (12%) et découverte d’API (10%).
« La découverte, l’évaluation et l’atténuation des risques liés aux API représentent un problème complexe qui nécessite plusieurs contrôles et processus de sécurité pour fournir une couverture complète », commente John Pescatore, directeur des tendances de sécurité émergentes pour le SANS Institute. « Les outils au niveau de l’application déjà largement utilisés peuvent fournir une couverture partielle. Les contrôles spécifiques à la sécurité des API qui offrent une couverture complète ne sont pas encore largement utilisés. »
A ce stade les entreprises se concentrent sur la formation à la sécurité de leurs développeurs. 70% des répondants ont déclaré avoir dispensé une formation sur la sécurité des applications à au moins 25 % de leur équipe de sécurité. Les cadres méthodologiques qu’elles estiment les plus utiles sont à égalité (55%) le Top 10 des risques de sécurité des applications Web de l’OWASP et le cadre MITRE ATT&CK.