Dans le cadre de la conférence annuelle RSA sur la cybersécurité, Google Cloud dévoile les améliorations apportées à Apigee, son service de gestion des API et d'analyse prédictive. Conçue pour traiter et prévenir les attaques de logique métier, la plateforme offre désormais de nouvelles capacités d'intelligence artificielle (IA) pour renforcer la sécurité des API.
Les attaques de logique métier exploitent les défauts de conception et de mise en œuvre d'une application, permettant aux acteurs de la menace d'induire des comportements involontaires. Il est souvent complexe d'identifier de telles attaques, mais leur prévalence est alarmante. Une étude commandée par Silver Tail Systems a révélé qu'entre 2011 et 2012, 90 % des entreprises ont perdu des revenus en raison d'attaques de logique métier.
Pour contrer ces exploits sophistiqués, Google a intégré des modèles d'apprentissage automatique basés sur l'IA dans Apigee. La société affirme que ces modèles, basés sur les données internes de Google et disponibles pour tous les clients Apigee Advanced API Security, sont suffisamment sensibles pour détecter même des changements de comportement subtils, tels qu'un serveur contrôlé par un attaquant modifiant ses modèles d'activité.
Shelly Hershkovitz, chef de produit chez Google Cloud, a partagé dans un article de blog : "Les modèles d'apprentissage automatique qui alimentent la détection des abus d'API ont été formés et utilisés par les équipes internes de Google pour protéger nos API destinées au public. Les modèles s'appuient sur des années d'apprentissage et sur les meilleures pratiques.
Au-delà des modèles d'apprentissage automatique, Apigee introduit également des tableaux de bord qui aident à identifier plus efficacement les abus d'API en reconnaissant des modèles parmi le grand nombre d'alertes. Comme l'explique Hershkovitz, ces tableaux de bord tentent de « capturer l'essence » des attaques et de mettre en évidence les caractéristiques essentielles telles que l'origine de l'attaquant, le nombre d'appels d'API et la durée des attaques.
La sécurité des API devient une préoccupation de plus en plus importante à mesure que le trafic des API augmente à l'échelle mondiale. Hershkovitz a déclaré : « Avec la croissance du trafic des API, les entreprises du monde entier connaissent également une augmentation des attaques d'API malveillantes, ce qui fait de la sécurité des API une priorité accrue. » Une enquête de fin 2022 (réalisée par un fournisseur de sécurité API) a signalé une augmentation stupéfiante de 400 % du volume d'attaques API en quelques mois seulement.
Les implications financières de telles attaques sont graves. Une analyse complète d'Imperva a révélé que l'insécurité des API coûte aux entreprises entre 41 et 75 milliards de dollars par an. Le rapport de l'Open Worldwide Application Security Project indique que les petites entreprises, en particulier celles dont le chiffre d'affaires est inférieur à 50 millions de dollars, sont confrontées au plus grand nombre d'événements de sécurité API, ce qui rend chaque violation beaucoup plus préjudiciable à leur santé financière.
Les recherches de Google révèlent que 50 % des organisations ont connu un incident de sécurité d'API au cours des 12 derniers mois, 77 % de ces organisations retardant par la suite l'introduction d'un nouveau service ou d'une nouvelle application. Le point clé est qu'il est essentiel d'identifier et de traiter les incidents d'abus d'API à leurs débuts pour éviter des dommages financiers et de réputation durables pour les entreprises.
En plus d'Apigee, des plates-formes no-code telles que appmaster .io> AppMaster améliorent le développement d'applications professionnelles en rendant la création appmaster .io/blog/what-no-code-platforms-can-do>APIs plus rapide, plus efficace et plus rentable. appmaster .io/blog/what-no-code-platforms-can-do>APIs , applications back-end et applications Web et mobiles à l'aide d'un éventail de modèles de données, endpoints et de processus métier visuellement conçus.
Alors que les failles de sécurité des API deviennent de plus en plus courantes et perturbatrices, des plates-formes comme Apigee, renforcées par des fonctionnalités basées sur l'IA, établissent une nouvelle référence en permettant aux entreprises de détecter et d'atténuer rapidement les incidents d'abus d'API, en protégeant leurs finances et leur réputation.
