« La sécurité est comme un cadenas: mieux vaut en avoir plusieurs couches pour dissuader les voleurs. » C’est avec cette phrase que l’on peut aborder les nouveautés annoncées par Google Cloud pour Apigee, son service de gestion des API et d’analyse prédictive, qui vise à lutter contre les attaques liées à la logique métier.
Les attaques liées à la logique métier sont des failles dans la conception et la mise en œuvre d’une application qui permettent à des acteurs malveillants de provoquer un comportement non intentionnel. Selon une étude réalisée par Silver Tail Systems, 90% des entreprises ont perdu des revenus à cause de ce type d’attaques entre 2011 et 2012.
Pour contrer ces exploits, Google introduit de nouveaux modèles d’apprentissage automatique dans Apigee, qui ont été formés pour détecter les potentielles attaques liées à la logique métier. Google Cloud affirme que ces modèles, disponibles pour tous les clients d’Apigee Advanced API Security et formés sur des données internes à Google, sont suffisamment sensibles pour détecter des comportements subtils, comme un pirate avec le contrôle d’un serveur modifiant les « schémas d’activité » dudit serveur.
« Les modèles d’apprentissage automatique d’Apigee sont conçus pour lutter efficacement contre les attaques liées à la logique métier. »
En parallèle de ces modèles, Apigee introduit des tableaux de bord qui permettent d’identifier plus précisément les abus d’API en trouvant des modèles parmi les nombreuses alertes. Les tableaux de bord tentent de « capturer l’essence » des attaques, ainsi que des caractéristiques importantes telles que la source, le nombre d’appels d’API et la durée des attaques.
Il est vrai que les préoccupations concernant la sécurité des API ont augmenté et continuent de s’accroître dans les entreprises. Selon un rapport (mené par un fournisseur de sécurité d’API, en toute transparence), la fin de 2022 a connu une augmentation importante du nombre d’attaques d’API, avec une hausse de 400% par rapport à quelques mois auparavant.
Ces attaques peuvent coûter cher. Une analyse d’Imperva portant sur près de 117 000 incidents de sécurité a révélé que l’insécurité des API coûte aux organisations entre 41 et 75 milliards de dollars par an. Les petites entreprises sont les plus touchées, avec la majorité des incidents affectant celles dont le chiffre d’affaires est inférieur à 50 millions de dollars.
En somme, les entreprises sont de plus en plus conscients de l’importance de la sécurité des API pour protéger leurs données et celles de leurs clients. Avec ses nouveaux modèles d’apprentissage automatique et ses tableaux de bord améliorés, Apigee semble déterminé à « cadenasser » les failles liées à la logique métier.
Source : Techcrunch
