L'IA impose un retour à zéro : repenser la défense des applications Web et des API

En période de changement, les connaissances jouent un rôle primordial. Dans un esprit de partage de ces connaissances, nous avons publié un nouveau rapport État des lieux d'Internet (SOTI), État des lieux de la sécurité des applications et des API en 2025 : l'impact de l'IA sur le paysage digital. Ce rapport présente l'analyse d'Akamai sur les tendances qui affectent les applications Web et les API. Nous explorons les contours de ce nouvel environnement et expliquons comment les professionnels de la sécurité peuvent protéger leurs systèmes et données stratégiques entre-temps.

Bien que les attaques visant les applications Web et les API soient interconnectées, elles ne sont pas pour autant interdépendantes. Il existe de nombreuses attaques d'applications Web en dehors des API et vice versa. La méthodologie et les tactiques d'exploitation dépendent de la motivation et des capacités techniques de l'attaquant.

• Les attaques d'applications Web ciblent les composants des applications Web orientés utilisateurs, tels que les pages de connexion publiques, et emploient souvent des techniques moins sophistiquées.

• Les attaques d'API se concentrent quant à elles sur l'exploitation des vulnérabilités dans les points de terminaison d'API d'une application, y compris les liaisons système à système, et nécessitent une compréhension approfondie de la structure et du comportement de chaque API.

Si les attaques elles-mêmes ne sont pas mutuellement dépendantes, il ne faut pas que vos défenses contre elles le soient non plus. Les applications actuelles s'appuient de plus en plus sur les API pour leurs fonctionnalités. Il est donc essentiel de développer et d'assurer la pérennité des stratégies de cybersécurité qui répondent aux attaques Web et API.

Négliger ces aspects peut vous exposer à des attaques sophistiquées et multi-vecteurs qui exploitent les faiblesses du front-end et du back-end d'une application. Les fonctionnalités d'automatisation fournies par les grands modèles de langage (LLMS) et l'IA générative permettent à un pirate d'exécuter plus facilement que jamais un botnet ou une campagne de phishing à grande échelle.

Chez Akamai Security Intelligence Group (SIG), nous sommes bien conscients que la recherche et la science des données nécessitent à la fois un examen rigoureux des données produites et un examen de l'origine des données brutes. Nous savons également que les API sont actuellement un terrain de jeu privilégié pour les attaquants. Ces deux informations nous ont conduits à la dernière évolution de nos ensembles de données de rapports (recherches et analyses améliorées des menaces ciblant les API) et nous ont permis d'obtenir des résultats intéressants. En 2024 :

• Le nombre d'incidents liés aux 10 principaux risques pour la sécurité des API selon l'OWASP a augmenté de 32 %, ce qui montre des lacunes en matière d'authentification et d'autorisation menant à l'exposition de données et de fonctionnalités sensibles

• Il y a eu une croissance de 30 % des alertes de sécurité liées au cadre de sécurité MITRE , car les attaquants utilisent l'intelligence artificielle et l'automatisation pour exploiter les API  

• 37 % des 116 milliards d'attaques Web enregistrées en Europe, au Moyen-Orient et en Afrique (région EMEA) ciblaient les API, un chiffre bien plus élevé que dans toutes les autres régions du monde

Les API optimisées par l'IA se sont avérées encore moins sécurisées que celles alimentées par l'homme. La majorité de ces API sont accessibles en externe avec des mécanismes d'authentification faibles et n'ont pas été correctement testées, ce qui les rend plus vulnérables aux attaques.

Cela pourrait avoir des conséquences désastreuses en fonction de ce à quoi l'API est reliée. Vous souvenez-vous quand les acteurs de la menace ont exploité l'API d'un fournisseur de signatures électroniques pour envoyer des factures frauduleuses ? Les conséquences ont effectivement été désastreuses.😬

Nous ne sommes encore qu'en phase d'apprentissage en ce qui concerne les attaques ciblant les API, mais la méthode d'enseignement privilégiée dans le monde réel est celle du « test en production ». Les utilisateurs exigent des produits innovants, et une innovation rapide est nécessaire pour réaliser des bénéfices. 

La sécurité devrait être la partie requérant le plus de réflexion dans le processus de révision de code, et peut donc s'avérer l'étape la plus contraignante de la mise sur le marché d'un produit. Malheureusement, cela entraîne souvent moins de tests et de plus en plus de code basé sur du code non testé. 

Par essence, les contrôles de sécurité sont aux antipodes de l'objectif du développeur, mais négliger la phase de tests peut conduire à des scénarios indésirables.  

• Un nombre accru d'alertes de sécurité : Notre analyse a révélé que les alertes de sécurité liées à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), au Règlement général sur la protection des données (RGPD) et à l'Organisation internationale de normalisation (ISO)-27001 ont augmenté de 16 %, 21 % et 22 %, respectivement.

• Défis liés à la détection des abus d'API : Ces défis mettent l'accent sur la nécessité d'une surveillance en temps réel des anomalies et des comportements pour identifier les menaces de manière préventive.

• Des API zombies et fantômes non gérées : Ces deux principales causes d'incidents de sécurité des API font que les équipes de sécurité ont du mal à maintenir des inventaires complets des API.

Comme nous l'avons mentionné précédemment, les attaques visant les applications Web et les API sont interconnectées, mais pas interdépendantes. Par « interconnectées », voici ce que nous voulons dire : Notre étude révèle une augmentation considérable du nombre d'attaques Web ciblant à la fois les applications Web et les API au cours des deux dernières années à travers le monde.

Les problèmes rencontrés peuvent varier d'un endroit à un autre. C'est pourquoi nous avons analysé des secteurs, des régions et des tendances d'attaques spécifiques, afin de fournir plusieurs angles de vue sur les impacts des abus de couche 7. Voici quelques-unes des conclusions les plus importantes du rapport :

• Le nombre d'attaques Web ciblant les applications Web et les API a augmenté de 65 % entre le premier trimestre 2023 et le quatrième trimestre 2024, passant de 14 milliards d'attaques à plus de 29 milliards.

• Au cours de la même période, le nombre d'attaques par déni de service distribué (DDoS) de couche 7 a augmenté de 94 %, passant d'un peu plus de 500 milliards d'attaques mensuelles à plus de 1 100 milliards de dollars.

• Le nombre d'attaques Web ciblant la région Asie-Pacifique et le Japon a augmenté de 73 %, passant de 29 milliards de dollars en 2023 à 51 milliards de dollars en 2024.

• Le commerce reste une cible privilégiée, avec plus de 230 milliards d'attaques Web en 2024, soit presque trois fois plus que le deuxième secteur le plus touché, qui est celui des hautes technologies. 

Il est beaucoup question de savoir ce qu'un attaquant peut faire à l'aide de l'IA. Les acteurs malveillants utilisant les systèmes d'IA bénéficient d'un grand choix d'options :

• Analyse automatisée des vulnérabilités à une vitesse auparavant inimaginable
• Code malveillant généré par l'IA
• Attaques automatisées avec des bots basés sur l'IA
• Attaques DDoS volumétriques automatisées
• Attaques basées sur le comportement (attaques faibles et lentes qui évitent la détection et ciblent les vulnérabilités courantes des API)

La note positive ici, c'est que les criminels ne sont pas les seuls à jouer avec l'intelligence artificielle. L'IA contribue également à contrer la menace avec les nouveaux systèmes WAF (Web application Firewall) basés sur l'IA pour aider à identifier et à atténuer les cybermenaces telles que les bots, les attaques DDoS, les extracteurs et les scanners.

La conformité joue un rôle important sur la posture globale de gestion des risques d'une entreprise. C'est pourquoi ce rapport État des lieux d'Internet aborde également la réglementation. Toutes les menaces auxquelles les entreprises sont confrontées ne proviennent pas d'Internet. Le maintien de la conformité face à l'évolution constante de la myriade de réglementations sur la sécurité dans le monde entier est un travail à temps plein en lui-même.

Ce rapport couvre les exigences nouvelles et mises à jour en matière de cybersécurité, telles que la Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) aux États-Unis et la directive sur les réseaux et systèmes d'information (SRI 2) en Europe. Les niveaux de sophistication réglementaire varient en fonction des régions géographiques, ce qui crée des nuances ayant des effets mondiaux.

Par exemple, alors que l'Amérique du Nord se concentre sur la gestion complète des risques et le signalement obligatoire des incidents, l'Europe élargit ses réglementations pour inclure les services mobiles.

• Les gardiens de la sécurité Internet doivent automatiser et innover au niveau et à la vitesse des attaquants, tout en respectant les normes gouvernementales et en gérant les incidents et leurs autres tâches.  

• Les organismes de réglementation réagissent activement à la menace croissante qui pèse sur les applications et les API, de sorte que plus vous êtes préparé à l'avenir, mieux c'est. Ainsi, une défense proactive peut assurer votre conformité et votre sécurité (si la réglementation est bien faite, évidemment).

La clé pour rester en sécurité à l'ère de l'IA est d'établir une stratégie de sécurité complète, qui part du principe que vous êtes toujours exposé à une violation et qui assure vos arrières. Même si vous n'êtes pas motivé par la crainte des pouvoirs réglementaires à venir, c'est le meilleur moment pour revoir les pratiques actuelles de révision et renforcer les bases.

Combien de violations et d'attaques à grande échelle ont été causées juste parce que quelqu'un a ouvert un e-mail d'hameçonnage ? Les attaquants exploitent les failles dans les protections de base, car ces méthodes fonctionnent toujours.

La validation améliorée des entrées, les pratiques de développement sécurisé et les audits de sécurité réguliers ne sont pas des pratiques surfaites. Au contraire, ils fournissent une sécurité sur le long terme plutôt qu'une protection réactive et poussée par les tendances, qui peut entraîner des résultats inattendus.