Imperva, société du groupe Thales : La vulnérabilité des API et les attaques de bots coûtent aux entreprises jusqu’à 186 milliards de dollars par an
septembre 2024 par Imperva, société du groupe Thales
Imperva, société du groupe Thales vient de publier un rapport sur « The Economic Impact of API and Bot Attacks ». Passant au crible plus de 161 000 incidents de cybersécurité uniques, ce rapport analyse l’augmentation, au niveau mondial, des coûts liés à la vulnérabilité des API et aux attaques automatisées par des bots, deux menaces de plus en plus intrinsèquement liées et répandues qui, selon le rapport, coûteraient aux entreprises du monde entier jusqu’à 186 milliards de dollars par an[1].
Ce rapport s’appuie sur une étude menée par le Marsh McLennan Cyber Risk Intelligence Center, selon laquelle les grandes entreprises seraient statistiquement davantage susceptibles d’avoir un pourcentage élevé d’incidents de sécurité liés à la fois à la vulnérabilité des API et aux attaques de bots. Les entreprises dont le chiffre d’affaires est supérieur à 1 milliard de dollars seraient 2 à 3 fois plus exposées aux attaques automatisées d’API par des bots que les petites et moyennes entreprises. L’étude suggère que les grandes entreprises sont particulièrement vulnérables à ce type d’attaques en raison de la complexité et de l’étendue de leurs écosystèmes d’API, qui contiennent souvent des API exposées ou mal sécurisées.
Les entreprises s’appuient fortement sur les API pour faciliter la communication entre des applications et services divers. Selon les données recueillies par Imperva Threat Research, l’entreprise moyenne a géré 613 points de terminaison d’API en production l’année dernière, un nombre dont la rapide augmentation s’explique par la nécessité de fournir des services numériques avec toujours plus d’agilité et d’efficacité.
Ce recours accru aux API, et le fait qu’elles accèdent directement à des données sensibles, en font des cibles de prédilection pour les opérateurs de bots. En 2023, les menaces automatisées ont représenté 30 % de toutes les attaques d’API, selon les données d’Imperva Threat Research. Aujourd’hui, les attaques automatisées d’API par des bots génèrent jusqu’à 17,9 milliards de dollars de pertes par an. Avec la multiplication du nombre d’API en production, les cybercriminels vont recourir de plus en plus aux bots automatisés pour trouver et exploiter la logique métier des API, contourner les mesures de sécurité et exfiltrer des données sensibles.
« Il est impératif que les entreprises du monde entier s’attaquent aux risques de sécurité posés par les API non sécurisées et les attaques de bots, faute de quoi elles s’exposent à de lourdes conséquences économiques », prévient Nanhi Singh, directrice générale de la Sécurité des applications chez Imperva, société du groupe Thales. « Ces menaces étant intrinsèquement liées, il faut que les sociétés adoptent une approche holistique, intégrant des stratégies de sécurité globales qui protègent à la fois contre les attaques d’API et celles menées par des bots. »
Parmi les principales tendances identifiées dans le rapport :
• L’adoption et l’utilisation accrues des API augmentent la surface d’attaque : l’adoption rapide des API, l’inexpérience de beaucoup de développeurs d’API et le manque de collaboration entre les équipes de sécurité et de développement font que les API non sécurisées ont entraîné jusqu’à 87 milliards de dollars de pertes par an, soit une augmentation de 12 milliards de dollars par rapport à 2021.
• Les bots ont un impact négatif sur les résultats des entreprises : la banalisation des outils d’attaque et des modèles d’IA générative a amélioré les techniques d’évasion des bots et a même permis à des pirates peu qualifiés de lancer des attaques de bots sophistiquées. Jusqu’à 116 milliards de dollars de pertes annuelles peuvent être attribués aux attaques automatisées par des bots.
• Les incidents de sécurité liés aux API et aux bots sont de plus en plus fréquents : en 2022, les incidents de sécurité liés aux API ont augmenté de 40 % et ceux liés aux bots de 88 %. Ces augmentations ont été nourries par la hausse des transactions numériques, l’utilisation croissante des API et les tensions géopolitiques, notamment celles dues au conflit entre la Russie et l’Ukraine. Au cours de l’année 2023, qui a vu un début de stabilisation du trafic numérique et une accalmie de l’activité sur Internet, qui avait été dopée pendant la pandémie, l’augmentation de ces incidents a été moindre. Elle a été de 9 % pour les incidents de sécurité liés aux API et de 28 % pour ceux liés aux bots. La tendance générale à la hausse des attaques souligne la persistance et la fréquence accrue de ces menaces.
• Les API non sécurisées et les attaques de bots constituent une menace importante pour les grandes entreprises : les entreprises dont le chiffre d’affaires est supérieur à 100 milliards de dollars sont les plus susceptibles de subir des incidents de sécurité liés à des API non sécurisées ou à des attaques de bots. Ces menaces représentent jusqu’à 26 % de tous les incidents de sécurité subis par ces entreprises.
• Les pays du monde entier sont vulnérables aux attaques d’API et de bots : le Brésil a connu le pourcentage le plus élevé d’incidents liés à des API non sécurisées ou à des attaques de bots, ces menaces représentant jusqu’à 32 % de tous les incidents de sécurité observés. Il est suivi de près par la France (jusqu’à 28 %), le Japon (jusqu’à 28 %) et l’Inde (jusqu’à 26 %). Bien que le pourcentage d’évènements attribués à des incidents de sécurité liés aux API et aux bots soit plus faible aux États-Unis, 66 % de tous les incidents signalés liés à des API vulnérables ou à des attaques automatisées par des bots se sont produits dans ce pays.
« Le recours aux API va continuer d’augmenter de manière exponentielle, favorisant les connexions aux applications d’IA générative et aux grands modèles de langage », ajoute Nanhi Singh. « En même temps, l’IA générative va permettre aux cybercriminels de créer des bots sophistiqués à un rythme de plus en plus rapide et alarmant. Avec le développement des écosystèmes d’API et la sophistication de plus en plus grande des bots, les entreprises doivent s’attendre à ce que l’impact économique des attaques automatisées d’API par des bots augmente de manière significative, sauf à prendre des mesures proactives. »
[1] Le total général ne tient pas compte des événements qui sont à la fois liés aux API et aux bots.