LES FAILLES D’INTÉGRATION DANS LES API RÉSULTENT SOUVENT EN VIOLATIONS DE SÉCURITÉ
Plusieurs entreprises croient que les problèmes de sécurité des API sont des événements qui n’arrivent qu’aux grandes entreprises (250 employés et plus) telles que T-Mobile et McDonalds. Il est vrai que les cyberattaques ciblent plus souvent les entreprises qui détiennent de très grandes quantités de données pouvant être volées avec un minimum d’effort.
Bien que les entreprises de cette taille réussissent à traverser ces situations sans subir une grande perte de clientèle, ces situations sont dérangeantes et possiblement dangereuses. Lorsqu’une petite ou moyenne entreprise est attaquée, elle a beaucoup plus à perdre. Avec les rançons pour données, les vols financiers et une myriade de nouvelles attaques, on ne peut plus présumer que la sécurité est adéquate.
Le temps de panne requis pour réparer les dommages devrait être suffisant pour inciter les dirigeant principaux (CIO, CISO, CSO) et autres membres de l’équipe de sécurité à prendre action. Un temps de panne démesuré est nécessaire pour :
- Trouver les failles des API et les défaillances de sécurité
- Sécuriser les données avec (cryptage, utilisation de jetons, dépersonnalisation)
- Centraliser le contrôle des utilisateurs de données
- Contacter les clients qui auraient pu être impactés
- Renforcer les maillons faibles (automatisés et humains)
Par le temps que ces mesures sont prises, la dynamique des ventes est perdue et les clients pourraient perdre confiance et leur intérêt envers la marque, créant un autre niveau de crise.
D’après l’Enquête canadienne sur la cybersécurité et le cybercrime, les entreprises mondiales ont vu une augmentation de 57,4 pour cent de cyberattaques pendant la période des fêtes de 2017, ce qui représente plus du double que les chiffres de 2016. Selon Statistiques Canada, plus d’une entreprise canadienne sur cinq a subi une cyberattaque en 2018.
Un porte-parole de Statistiques Canada nous rappelle que « les entreprises canadiennes continuent d’adopter l’internet et les technologies numériques, ce qui les expose à de plus grands risques et menaces de cybersécurité. Cependant, l’impact de ces risques et menaces sur les investissements et les décisions quotidiennes des entreprises n’est pas facile à comprendre car souvent les incidents de cybersécurité ne sont pas signalés. »
Les failles d’API attirent les cybercriminels
Les API offrent l’intégration numérique entre les applications, les ressources infonuagiques, les données et les services d’application, ce qui représente une grande source de motivation pour les cyberprédateurs.
Pensez-y… les API permettent l’accès aux données des clients et souvent à leur environnement numérique complet. De plus, plusieurs API ont des failles béantes qui ne sont pas facilement décelables sans des tests adéquats et périodiques. Les failles d’API offrent des opportunités faciles aux vols de sécurité; il est donc essentiel de vérifier l’intégration à toute épreuve des différentes composantes. Pendant la seule année 2018, il y a eu une augmentation du nombre de violations et d’expositions majeures de données dues à une sécurité inadéquate des API. Salesforce, Instagram et Venmo, pour n’en nommer que quelques-unes, ont toutes été victimes d’incidents de sécurité des API.
Depuis que les API ont été rendues disponibles aux développeurs et aux utilisateurs du public afin d’accroitre l’utilisation des logiciels, il existe des opportunités énormes pour les cybercriminels. Selon une étude de Imperva, une entreprise typique gère en moyenne 363 API dû à l’utilisation croissante des micro-services.
Tests d’API – maintenant essentiels au maintien de la sécurité
Les tests d’API peuvent être réalisés lors du développement. Des tests répétés d’API sont cependant recommandés lorsque des API sont ajoutées, modifiées ou mises à jour. Par le passé, les tests d’interfaces utilisateur semblaient suffisants; les tests d’API sont cependant beaucoup plus rapides et plus efficaces que d’attendre que les utilisateurs découvrent des bogues sur une longue période de temps. Les tests d’API permettent une communication entre les systèmes intégrés de logiciels et permettent de découvrir des vulnérabilités qui peuvent être corrigées et considérées sécuritaires.
Dans le cas de la faille d’API que le service postal des États-Unis a subie sur une période d’un an (novembre 2018), une énorme quantité de renseignements confidentiels sur les clients était éminemment disponible pour accès sans autorisation spéciale. Cela signifie qu’à peu près n’importe qui pouvait accéder à plus de 60 millions d’adresses courriel d’utilisateurs corporatifs, leur adresse civique, numéros de téléphone, etc. Cette défaillance aurait pu être responsable d’un très grand nombre d’hameçonnages, de tromperies sociales et de fraudes à tout azimut. À ce jour, le service postal des États-Unis prétend que la vulnérabilité n’a pas été exploitée. Mais après près d’un an d’exposition, ce n’est peut-être qu’une question de temps avant que les ramifications ne fassent surface.
D’autres exemples notables incluent Air Canada, la Banque de Montréal, la Banque canadienne impériale de commerce et Equifax. Des tests d’API auraient évité chacun de ces incidents.
Rendez vos API sécuritaires
D’après toutes les sources, l’exploitation des API via internet sera la principale cause de violations en 2022. Bien que la sécurité internet soit devenue un des plus importants aspects des entreprises de détail et de commerce électronique, l’intégration des API est souvent négligée. Afin de surmonter ces probabilités, les systèmes doivent être testés pour en corriger les failles. Alors que la technologie évolue, les tests doivent rester une priorité pour toutes les entreprises qui veulent maintenir les plus hauts standards en cybersécurité. Gagnez en confiance concernant l’intégration de vos API en gardant une longueur d’avance sur les menaces latentes qui pourraient paralyser temporairement (ou de façon permanente) votre entreprise.
Notre équipe Orenda Security, hautement qualifiée et expérimentée, se spécialise dans l’évaluation d’applications et tests d’API, parmi tous les types de sécurité internet. Nous pouvons tester votre logiciel pour déterminer s’il rencontre les attentes en termes de fonctionnalités, fiabilité, performance et sécurité. Obtenez la tranquillité d’esprit en évitant des situations qui pourraient impacter négativement votre entreprise en croissance.
Contactez-nous dès aujourd’hui à [email protected] pour obtenir une consultation gratuite et une soumission.