Depuis quelques années, Gartner prédit que d'ici 2022, les attaques d'API deviendraient le vecteur le plus fréquent, provoquant des violations de données pour les applications professionnelles des entreprises. Nous voici en 2022 et malheureusement, cette prédiction s'est révélée exacte.
Les entreprises sont de plus en plus connectées à leurs clients et fournisseurs, elles deviennent donc plus dépendantes que jamais des API. Même si de nombreuses entreprises se concentrent désormais sur la sécurité des API, il existe encore des lacunes importantes en la matière. L’exemple de la vulnérabilité de Log4j est l'incident le plus récent qui a mis en lumière une partie de ces lacunes. Les interfaces hébergeant des API qui contiennent cette vulnérabilité constituent un vecteur d'attaque alarmant, donnant potentiellement accès à de nombreuses informations stratégiques. De plus, de nombreuses entreprises ont une visibilité limitée de leur inventaire d'API et de leur comportement.
Nous savons que les API vont continuer à connaître une prolifération massive. Qu'est-ce que cela signifiera pour 2022 ? Voici trois prédictions pour 2022 : une bonne, une mauvaise, et une inquiétante.
La bonne : la sécurité dédiée aux API devient un contrôle commun
2022 est l'année où la sécurité des API devient un contrôle commun pour les équipes de sécurité. Qu'est-ce qu'un contrôle commun de sécurité ? Ce sont des contrôles de sécurité utilisés dans l'ensemble des systèmes d'information des organisations. Ces contrôles de sécurité peuvent généralement être hérités de la pile technologique des organisations et sont appliqués à de multiples systèmes au sein de l'organisation (le SP 800-53 du NIST fournit une bonne vue d'ensemble).
Nous voyons des contrôles communs utilisés aujourd'hui avec des solutions de sécurité courantes telles que le chiffrement des ordinateurs portables, les firewalls et les WAF. Les nouveaux employés s'attendent à ce que leur ordinateur portable dispose d'un chiffrement intégré dans le cadre de la sécurité standard. Les développeurs d'applications s'attendent à ce que leurs applications soient protégées par un firewall et un WAF. Il s'agit de protections standards.
De nombreux systèmes ont besoin d'une sécurité supplémentaire qui peut être propre au système ou aux informations qu'il traite. Il s'agit de contrôles "sur-mesure" qui sont spécifiquement conçus pour répondre aux exigences non prises en compte par les contrôles communs. Aujourd'hui, la sécurité spécifique aux API entre dans cette catégorie. Si certains aspects de la sécurité des API peuvent être traités par les contrôles communs existants (contrôles du réseau et des applications Web), ces contrôles communs laissent encore de grandes lacunes en matière de sécurité, ce qui rend les API et l'entreprise potentiellement vulnérables aux attaques et aux abus.
Les API sont déjà essentielles pour les entreprises numériques modernes et elles deviendront sans aucun doute, si ce n'est déjà fait, le vecteur d'attaque le plus fréquent. Face à l'explosion de la croissance des API, tant en nombre qu'en volume de trafic, les équipes de sécurité peinent à observer efficacement et à combler les lacunes laissées par les contrôles communs existants. La demande des entreprises en matière d'API va entraîner l'adoption généralisée de solutions de sécurité dédiées aux API. Elles deviendront un contrôle commun à toutes les organisations disposant d'applications professionnelles modernes.
La mauvaise : les organisations devront détecter des brèches et des expositions qui existent depuis longtemps.
Nous avons coutume de dire que l’interrogation d’un RSSI n’est pas « est-ce que j’ai été compromis mais plutôt quand » ? la quasi-totalité des entreprises ont des incidents de sécurité à traiter.
Comme nous l'avons vu au cours des deux dernières années, bon nombre des plus grandes violations ont en fait été commises bien avant d'être détectées. Dans le cas de SolarWinds, il a fallu près d'un an avant que des indicateurs de compromission (IoC) ne soient découverts. Il est également important de savoir que les entités ayant fait l'objet d'une violation comprenaient FireEye, Microsoft et des agences gouvernementales américaines telles que Homeland Security et le département du Trésor. Toutes ces entités disposent de professionnels de la cybersécurité parmi les plus compétents au monde. Pourtant, la violation est passée inaperçue. La plupart des organisations ne disposent pas des compétences du personnel ni de la technologie dont disposent ces organisations. Il est donc fort probable qu'une attaque, même si elle n'est pas aussi sophistiquée que celle de SolarWinds, puisse passer inaperçue pendant des périodes extrêmement longues, voire des années.
La violation de SolarWinds n'était pas une exception dans sa capacité à passer inaperçue. Le rapport 2021 d'IBM indique que le temps moyen nécessaire pour détecter et contenir les brèches n'a cessé d'augmenter au cours des quatre dernières années. Les données les plus récentes font état de 287 jours pour détecter et contenir une violation (212 pour détecter, 75 pour contenir). Avec la prolifération massive des API (le nouveau principal vecteur d'attaque), dont beaucoup échappent aux équipes de sécurité, il n'y a absolument aucune raison de penser que la situation s'améliorera en 2022. La majorité des violations liées aux API découvertes en 2022 sera donc en fait présentes depuis l'année précédente.
Une seconde tendance observée en 2021 est, à l’inverse, la multiplication des attaques éclaires où les analystes n’ont pas le temps d’intervenir. Les systèmes de sécurité, s’ils ne sont pas assez automatisés, n’auront pas les moyens de réagir avant le vol de données.
L’inquiétante : la plus grande faille de sécurité API de 2022 a déjà eu lieu.
Dans une interview réalisée début 2021, le président de Microsoft, Brad Smith, a déclaré que la faille de SolarWinds était "l'attaque la plus importante et la plus sophistiquée que le monde n’ait jamais vue". Il a poursuivi en estimant que le développement de cette sophistication avait probablement nécessité 1000 ingénieurs. SolarWinds a déclaré qu'environ 18 000 de ses clients ont été touchés par la compromission. Ce qui est inquiétant c'est que cette attaque a probablement été utilisée pour installer des logiciels malveillants supplémentaires qui n'ont pas encore été détectés. Une longue mèche qui a déjà été allumée. Nous attendrons l'explosion en 2022.
