IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les attaques contre les API mettent les entreprises en danger, selon le rapport d'Imperva


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    896
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 896
    Points : 63 098
    Points
    63 098
    Par défaut Les attaques contre les API mettent les entreprises en danger, selon le rapport d'Imperva
    Les attaques contre les API mettent les entreprises en danger, 27 % des attaques en 2023 ciblant la logique commerciale des API, soit une croissance de 10 %, selon le rapport d'Imperva.

    Selon le rapport d'Imperva, les attaques d'API mettent les entreprises en danger. Les attaques ciblant la logique commerciale des API ont représenté 27 % des attaques en 2023, soit une croissance de 10 % par rapport à l'année précédente. Les attaques de prise de contrôle de compte (ATO) ciblant les API ont également augmenté, passant de 35 % en 2022 à 46 % en 2023.

    C'est l'une des conclusions d'un nouveau rapport d'Imperva, qui montre que le trafic des API a représenté plus de 71 % du trafic web l'année dernière. Si les API présentent l'avantage de permettre une connectivité transparente, d'améliorer les expériences en ligne et de favoriser l'innovation, leur adoption généralisée entraîne de nouveaux défis en matière de sécurité.

    Le nombre moyen d'appels d'API vers les sites des entreprises est de 1,5 milliard. Mais ces volumes élevés de trafic automatisé non humain sont liés à une augmentation des attaques automatisées contre les API, telles que les attaques DDoS et les prises de contrôle de comptes (ATO). 46 % de toutes les attaques ATO ont ciblé des points d'extrémité d'API. Les attaquants deviennent également plus avisés dans leurs stratégies, 28 % de toutes les attaques DDoS sur les API visant les organisations de services financiers, le secteur le plus ciblé pour ce type d'attaque.

    Nom : 1.png
Affichages : 4572
Taille : 406,9 Ko

    Grainne McKeever écrit sur le blog d'Imperva : "Les attaques automatisées constituent une menace importante pour les API en raison de leur composition fondamentale qui est, par conception, orientée vers l'automatisation et indifférente à l'intervention humaine. Les attaquants ont de plus en plus recours aux attaques automatisées, ou "bad bots", pour cibler la logique commerciale de l'API ou sa fonctionnalité de base. En imitant le trafic automatisé régulier de l'API, les attaques ne sont pas détectées, ce qui permet aux acteurs de la menace de mener leurs activités malveillantes sans interruption".

    Les outils de sécurité traditionnels, tels que les pare-feu d'application web, ont du mal à détecter et à combattre cette forme d'abus, car les attaques d'API sont capables d'imiter le trafic normal.

    Source : The State of API Security in 2024 (Imperva)

    Et vous ?

    Pensez-vous que ce rapport est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Les attaques ciblant les API ont augmenté de 400 % au cours des six derniers mois et 80 % de ces attaques se sont produites par le biais d'API authentifiées, selon Salt Security

    Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai

    76 % des entreprises ont subi un incident de sécurité lié aux API au cours de l'année écoulée, 74 % des professionnels de la cybersécurité ne savent pas quelles API renvoient des données sensibles
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Homme Profil pro
    Développeur
    Inscrit en
    Août 2003
    Messages
    1 264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Août 2003
    Messages : 1 264
    Points : 4 059
    Points
    4 059
    Par défaut
    En lisant ça, je déduis que l'API n'est pas un minimum protégée. Personnellement, mon accès au web (via nginx) limite les connexion et la vitesse de surf pour réduire les pics de charge. J'ai aussi un fail2ban ou crowdsec pour bannir (notamment trop d'erreur 401/403 sur les mêmes IPs).

  3. #3
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2008
    Messages
    163
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2008
    Messages : 163
    Points : 710
    Points
    710
    Par défaut
    "Quand on expose, on s'expose" comme dirait l'autre.

Discussions similaires

  1. Réponses: 0
    Dernier message: 05/09/2023, 19h58
  2. Réponses: 0
    Dernier message: 14/03/2023, 07h42
  3. Réponses: 1
    Dernier message: 31/05/2022, 21h25
  4. Réponses: 0
    Dernier message: 09/09/2021, 21h31
  5. Les dispositifs IoT exposés mettent les entreprises en danger
    Par Sandra Coret dans le forum Sécurité
    Réponses: 0
    Dernier message: 29/01/2021, 12h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo