La sécurité des API sous la surveillance du gouvernement fédéral : un signal d'alarme pour les DSI

Un fournisseur mondial de domaine et d'hébergement a été la cible d'une violation lors de laquelle les attaquants ont tiré parti des faiblesses de son architecture d'API pour extraire les informations des comptes clients. L'enquête a révélé des lacunes dans les contrôles d'authentification et un manque de surveillance spécifique des API.

De même, une grande entreprise de télécommunications a exposé des données utilisateur sensibles en raison d'un manque de protection des points de terminaison des API. Le problème provenait d'un système de validation des saisies insuffisant et de restrictions d'accès inappropriées, une erreur qui a attiré l'attention des organismes de réglementation fédéraux.

Dans les deux cas, ces entreprises avaient investi dans des défenses traditionnelles, mais négligé les API, qui forment pourtant le tissu conjonctif des services digitaux actuels.

Un des principes fondamentaux de la plupart des cadres de conformité est une bonne compréhension des ressources dont vous disposez et du type de données qu'elles traitent. Les API étant constamment développées et mises à jour, souvent par différentes équipes ou par des tiers, la plupart des entreprises peinent à tenir un inventaire des API en temps réel. 

Les entreprises doivent être en mesure de démontrer leur connaissance des API présentes dans leur environnement, de comprendre l'usage de chacune, et, plus important encore, d'identifier celles qui fonctionnent en dehors de leur champ de visibilité ou de leurs processus.

Même si les API sont identifiées, les entreprises ne savent pas toujours quels flux de données circulent dans celles-ci ou si elles sont correctement sécurisées. De nombreuses entreprises sont incapables de déterminer la responsabilité des API, ou de confirmer si le trafic passe par des contrôles approuvés tels que des pare-feux d'applications Web (WAF) ou des passerelles d'API. 

Selon notre étude 2024 des impacts sur la sécurité des API, seuls 27 % des professionnels de la sécurité informatique ayant réalisé un inventaire complet de leurs API savent exactement quelles API renvoient des données sensibles, contre 40 % en 2023.

En outre, il existe souvent un décalage entre les rôles : bien que 43 % des DSI interrogés pensent savoir quelles API renvoient des données sensibles, seuls 17 % des RSSI partagent ce point de vue. Ces lacunes en matière de visibilité peuvent entraîner de sérieux manquements à la conformité si des données sensibles (telles que des informations de carte de crédit, des données personnelles identifiables ou des dossiers médicaux) sont exposées.

Connaître ses ressources ne suffit pas à garantir la conformité. Il faut également s'assurer de détecter toute utilisation abusive et d'y répondre en temps réel. Les équipes de sécurité doivent être en mesure de déterminer si quelqu'un exploitait une API pour extraire des données clients ou obtenir des privilèges élevés.

Par exemple, les entreprises sont souvent incapables de détecter les exploitations subtiles de logique métier ou de prévenir les menaces telles que l'autorisation brisée au niveau de l'objet de la liste des 10 principaux risques pour la sécurité des API de l'OWASP. Ces schémas d'attaque sont de plus en plus fréquents et échappent souvent aux outils de sécurité périmétrique traditionnels.

De nombreuses entreprises s'appuient uniquement sur des tests fonctionnels et négligent l'importance des tests de sécurité. Les structures de conformité exigent de plus en plus d'intégrer une stratégie de sécurité dès le début, les tests d'API sont donc essentiels pour identifier les vulnérabilités avant le déploiement.

En raison de ces potentielles failles de sécurité, les autorités de régulation commencent à considérer les lacunes en matière de sécurité des API comme des violations des lois sur la protection des données, menant souvent à des mesures coercitives, à des sanctions ou à des obligations de correction. Les responsables informatiques et de la sécurité aux États-Unis (DSI, RSSI et CTO) que nous avons interrogés ont estimé le coût moyen des incidents liés à la sécurité des API qu'ils ont rencontrés au cours des 12 derniers mois à 943 162 millions de dollars.

Les entreprises doivent désormais démontrer non seulement leur niveau de sécurité, mais également leur niveau de conformité dans les écosystèmes d'API. Voici comment aligner la sécurité des API sur les principales réglementations.

• PCI DSS v4.0 : nécessite l'identification et la documentation de toutes les API relatives aux paiements, une méthode d'authentification robuste, une surveillance continue et une limitation de l'accès aux données des titulaires de carte

• RGPD : exige la minimisation des données, le contrôle des accès et le signalement en cas de violation des données, des exigences qui dépendent de la sécurité des API gérant des données personnelles

• HIPAA : impose la protection des informations sur la santé accessibles via les API à l'aide du chiffrement, d'un accès basé sur les rôles et de journaux d'audit

• DORA : requière des tests de résilience et un système de détection des incidents sur tous les canaux digitaux, y compris les API, qui doivent être surveillés pour identifier les anomalies et les scénarios de défaillance

Une API non protégée ou non documentée peut se traduire par le non-respect de la conformité, que ce soit en raison de l'exposition de données de titulaires de carte ou de dossiers médicaux, ou de l'incapacité à détecter les anomalies dans les secteurs réglementés.

Les DSI qui dirigent des initiatives d'infrastructure digitale et de gestion des risques doivent adopter une approche structurée et délibérée de la sécurité des API. La priorité : assurer une visibilité complète sur l'environnement des API. Pour sécuriser ou auditer efficacement l'utilisation des API, il est essentiel de maintenir un inventaire en temps réel dans les environnements cloud, sur site et hybrides.

Ensuite, la sécurité doit être intégrée dès la conception. Cela inclut la mise en œuvre d'une méthode d'authentification robuste, la validation de toutes les entrées et l'application de l'accès au moindre privilège pour toutes les API de l'entreprise. L'observabilité est tout aussi importante. La surveillance du trafic d'API en temps réel permet aux équipes de détecter les anomalies rapidement et de réagir avant que les risques ne s'aggravent, ce qui est primordial pour de nombreux cadres réglementaires.

Les efforts de sécurité doivent également être directement associés aux exigences de conformité. Maintenir un alignement clair entre les contrôles des API et les cadres réglementaires tels que la norme PCI DSS, le RGPD, la loi HIPAA et la loi DORA permet aux organisations de démontrer leurs progrès, de fournir des preuves et de se préparer aux audits en toute confiance.

Enfin, la résilience doit être testée régulièrement. Les API doivent faire partie intégrante de votre stratégie de test de sécurité globale et de votre planification de la résilience opérationnelle. Elles ne doivent pas venir après coup. Pour les entreprises de l'Union européenne soumises à la loi DORA en particulier, la possibilité de simuler des attaques, d'évaluer des scénarios de défaillance et d'assurer la continuité devient un standard.

Akamai API Security aide les entreprises à simplifier la conformité et à réduire leur exposition aux risques en proposant une approche complète du cycle de vie de la protection des API. La solution répond aux principales exigences de conformité grâce aux fonctionnalités suivantes :

• Découverte et inventaire complets : découvre et classe en continu toutes les API, y compris les API fantômes et zombies, afin de maintenir la visibilité et de répondre aux exigences de documentation en vertu de cadres tels que la norme PCI DSS et le RGPD

• Évaluation des risques et de la stratégie : aligne les résultats sur les principaux cadres de conformité (PCI DSS, ISO 27001, RGPD, HIPAA) afin d'identifier les erreurs de configuration ou les vulnérabilités susceptibles d'entraîner la non-conformité

• Détection des menaces comportementales : détecte les anomalies comportementales, les exploitations de logique métier et l'exposition inappropriée des données qui échappent aux outils traditionnels, afin de soutenir les objectifs de résilience opérationnelle de la loi DORA

• Visibilité centralisée avec un tableau de bord dédié à la conformité : fournit une vue centralisée des API conformes et non conformes, ce qui permet de suivre les tendances de stratégie au fil du temps et de simplifier la préparation aux audits

• Intégration fluide avec l'écosystème de sécurité : s'intègre aux systèmes de gestion des informations et des événements de sécurité (SIEM), aux systèmes de gestion des tickets et aux outils de flux de travail pour vous aider à générer des preuves de conformité et à rationaliser la réponse aux incidents

Les incidents liés aux API ne sont plus considérés comme des problèmes techniques isolés. Ils sont désormais perçus comme des infractions réglementaires. Alors que les contrôles fédéraux s'intensifient, les DSI techniques doivent s'assurer que la sécurité des API n'est pas seulement mise en œuvre, mais opérationnelle et auditable. En traitant les API comme des éléments clés dans vos stratégies de sécurité et de conformité, vous réduisez les risques tout en protégeant votre entreprise contre les nouvelles réglementations et menaces.