Les Application Programming Interfaces (API en abrégé) jouent un rôle de plus en plus crucial dans la transformation numérique, car elles servent de connexion entre différents services et applications. Pourtant, leur sécurité n’est pas à la hauteur, notamment en comparaison avec d’autres formes de communication numérique. Voilà ce qui ressort clairement des recherches menées par la firme de sécurité F5.
Selon F5, moins de 70 pour cent des API destinées aux clients sont sécurisées par HTTPS, le protocole standard pour les communications web sécurisées. Cela contraste avec les sites web, dont 90 pour cent utilisent entre-temps HTTPS. Le fait de ne pas sécuriser les API augmente le risque de menaces potentielles.
Dans son 2024 State of Application Strategy Report: API Security, F5 révèle d’importantes lacunes en matière de sécurité, notamment en raison de la croissance explosive du nombre d’API, qui met en danger à la fois la gestion de l’entreprise et la sécurité des données. ‘Avec l’utilisation croissante des API en combinaison avec des services d’IA, tels qu’OpenAI, de nouveaux défis se manifestent. La sécurité des API ne doit en effet pas seulement se concentrer sur le trafic entrant, mais aussi sur le trafic sortant, qui reste actuellement souvent non protégé’, affirment les chercheurs.
Cloud public
Selon le rapport, une organisation moyenne gère désormais quelque 421 API, dont la plupart tournent dans des environnements de cloud public. Pourtant, un grand nombre d’API destinées aux clients restent insécurisées. Selon F5, cela s’explique en partie par le fait que la responsabilité de la sécurité des API dans les entreprises est souvent scindée. Dans 53 pour cent des entreprises, elle relève de la sécurité des applications, tandis que 31 pour cent abordent la sécurité des API via des plates-formes d’intégration ou des outils de gestion des API.
Pour combler les lacunes existantes, F5 conseille aux organisations d’adopter des solutions de sécurité couvrant l’ensemble du cycle de vie des API. Cela implique que les phases de développement et d’exploitation doivent être incluses dans la stratégie de sécurité.
En collaboration avec Dutch IT Channel.
