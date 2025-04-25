Pour de nombreuses équipes de sécurité, la protection des applications Web et des API actuelles est de plus en plus difficile. Les applications ne cessent de se complexifier, en raison notamment de l'adoption croissante d'une architecture basée sur les microservices. Les API interviennent dans la quasi-totalité des interactions en ligne, ce qui élargit la surface d'attaque de l'entreprise en créant de nouveaux points d'entrée potentiels pour les pirates. Les applications et les API sont en proie à des milliers de vulnérabilités Web connues et les cybercriminels découvrent chaque jour de nouvelles faiblesses à exploiter.

La tâche de protection des applications est encore plus ardue en raison de la nature évolutive des vecteurs d'attaque. Dans le contexte actuel, les cybercriminels conçoivent des campagnes sophistiquées qui combinent des attaques par botnets, par déni de service distribué pour extorsion (DDoS-for-hire), ainsi que des attaques ciblant les vulnérabilités des applications Web, des applications pour mobile, des API et des serveurs côté client.

Akamai peut vous aider. Notre solution de sécurité des applications, App & API Protector d'Akamai, est une offre dans le cloud permettant d'améliorer et de simplifier la protection des données afin de défendre votre entreprise contre un large éventail de menaces au niveau du réseau et des couches d'application, le tout à moindre effort et sans frais.

Les menaces qui planent sur la sécurité des applications

Les applications et les API jouent un rôle de plus en plus important dans la réussite des entreprises. Les employés, partenaires, fournisseurs, clients et autres utilisateurs s'appuient sur un large éventail d'applications pour communiquer, collaborer et effectuer des transactions commerciales. Le recours aux API a considérablement évolué ces dernières années car les entreprises en dépendent pour alimenter les applications pour mobile, l'Internet des objets (IoT), les applications internes, les applications des partenaires, les services clients basés sur le cloud, etc.

En effet, à mesure que les entreprises s'appuient sur des applications et des API, ces actifs digitaux deviennent de plus en plus attrayants pour les pirates. Les acteurs malveillants se servent désormais de bots automatisés pour explorer aléatoirement les sites Web, à la recherche de vulnérabilités dans les applications qu'ils peuvent exploiter afin d'accéder à une base de données, de charger des fichiers malveillants sur un serveur Web ou de mettre un serveur hors service en raison d'un trafic trop important.

Dans un souci de renforcement de la sécurité des applications, les équipes informatiques se sont traditionnellement tournées vers des solutions de protection des API et des applications Web basées sur le cloud pour atténuer les attaques. Cependant, ces technologies ont tendance à s'appuyer sur des « Web Application Firewalls » (WAF, pare-feu d'applications Web) qui inspectent tout le trafic Web et bloquent les logiciels malveillants. Pour bloquer les attaques d'applications et d'API tout en laissant passer le trafic légitime, les pare-feu doivent être constamment ajustés et reconfigurés par les équipes de sécurité du cloud, au gré des changements d'applications, de l'évolution des menaces et de la disponibilité des mises à jour. Comme cette tâche nécessite un personnel hautement qualifié, la mise à l'échelle de ces solutions de sécurité des applications peut s'avérer extrêmement difficile. Ainsi, les règles de protection des applications deviennent rapidement obsolètes et les équipes de sécurité pâtissent de la lassitude des alertes, puisque les pare-feu peinent à différencier les faux positifs des vraies attaques.

De toute évidence, une protection efficace des applications requiert une approche plus simple et plus efficace pour identifier et bloquer les attaques au niveau de la couche applicative.