Solutions de sécurité des API

Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth

Les consommateurs et les utilisateurs finaux continuent de s'attendre à des expériences web et mobiles toujours plus dynamiques, soutenues par des API. Toutefois, plus la prolifération des API est rapide (parfois sans surveillance de la sécurité), plus les risques envers l'infrastructure sous-jacente d'un service sont grands. Les solutions de sécurité des API spécifiquement conçues pour ces dernières permettent d'atténuer les exploitations de vulnérabilités, les erreurs des API, les attaques DoS et DDoS, la fraude au niveau des API et les autres menaces émergentes concernant les API.

Illustration d'une roue d'icônes centrée autour du service API Shield

Avantages

As organizations expose more services via APIs, it becomes more important to deploy comprehensive API security and management

Minimiser la surface d'attaque

Bénéficiez d'un inventaire clair de votre parc d'API grâce à une fonctionnalité automatisée d'identification et de visibilité sur les API.

Amélioration des performances des API

Surveillez les indicateurs des points de terminaison d'API, comme la latence, les erreurs et les taux d'erreur, ainsi que la taille de la réponse pour les domaines pilotés par API.

Arrêtez les abus volumétriques et basés sur la logique métier

Arrêtez les attaques par déni de service, les tentatives d'usurpation de compte et les autres abus visant les API avant qu'ils n'épuisent vos ressources.

Protégez-vous contre les attaques zero-day sur vos API

Arrêtez les attaques tirant parti des dernières vulnérabilités zero-day au sein de vos API grâce à des mesures de détection pilotées par IA et à des informations sur les menaces à l'échelle d'Internet.

FONCTIONNEMENT

Qu'est-ce que la sécurité des API ?

Les entreprises modernes utilisent les API pour soutenir des expériences numériques rapides et convaincantes. Toutefois, les API (qui totalisent désormais plus de la moitié du trafic Internet traité par Cloudflare) introduisent de nouveaux risques en permettant à des parties externes d'accéder à une application. Ce problème est accru par les cycles de déploiement en continu toujours plus rapides, si les processus de sécurité sont négligés.

Les solutions de sécurité des API protègent contre les attaques orientées sur les API, susceptibles d'exposer la logique des applications, de perturber les performances de ces dernières et de révéler des données sensibles, parmi bien d'autres menaces. Par rapport à d'autres services plus courants en matière de sécurité des applications web, les solutions de sécurité des API proposent un contexte métier approfondi, ainsi qu'un ensemble plus profond de méthodes d'identification et de mesures de vérification de l'authentification/autorisation.

Shadow APIs

Many organizations lack a complete inventory of their APIs. Such “shadow APIs” can lead to data exposure, unpatched vulnerabilities, lateral movement, and other risks.

Business logic-based fraud

Bot operators can directly attack the APIs behind workflows such as account creation, form fills, and payments to steal credentials and more.

Insecure AI-generated code

The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.

Pourquoi Cloudflare ?

Scénarios d'utilisation principaux

Protect APIs wherever they are hosted — without compromising developer innovation and productivity

Identifiez les API clandestines

Les entreprises ne peuvent ni sécuriser ni gérer une API si elles ne savent pas qu'elle existe. Identifiez tous vos points de terminaison d'API, y compris les API fantômes, grâce à l'apprentissage automatique (Machine Learning) et aux modèles d'identifiants de session.

Atténuez les abus d'API

Les bots et les attaques DDoS exploitent de plus en plus les API (généralement moins protégées que les applications web) afin de dérober des identifiants et des ressources financières. Prévenez l'utilisation abusive des API en autorisant uniquement le trafic utile et validé.

Détectez les fuites de données

Les vulnérabilités au sein des propres API d'une entreprise ou dans les intégrations d'API tierces peuvent conduire à des accès non autorisés aux données. Consolidez votre protection contre les fuites de données pour l'ensemble de vos applications SaaS et web et de vos API.

Surveillez et analysez les performances de vos API

Les erreurs des API peuvent signaler la présence d'une cyberattaque ou de problèmes de performances des applications qui peuvent, en définitive, empêcher la circulation du trafic légitime. Découvrez les performances réelles de vos API, avant d'entreprendre rapidement l'action la plus appropriée.

KEY CAPABILITIES

One integrated web application and API security platform delivers defense-in-depth for APIs

Authentification intégrée

Bloquez les requêtes des clients illégitimes. Authentifiez et validez le trafic de vos API à l'aide de certificats mTLS, de JSON Web Tokens (JWT), de clés d'API et de jetons OAuth 2.0.

Détectez les abus d'API

Établissez une base de comparaison pour votre trafic d'API et empêchez les abus à l'aide de suggestions de contrôle du volume des requêtes par session et par point de terminaison, en plus de protections GraphQL contre le déni de service (DoS).

Validation de schémas

De nombreuses violations d'API se produisent du fait de schémas (les métadonnées définissant la validité d'une requête/réponse d'API) permissifs. La validation de schéma bloque les requêtes mal formées et les anomalies HTTP afin de n'accepter que les requêtes d'API valides.

Protégez les données sensibles

Détectez les données sensibles au sein des réponses d'API qui quittent votre serveur d'origine et recevez des alertes de chaque point de terminaison.

Êtes-vous prêts à protéger vos API sans compromettre l'innovation ?

Comparer les offres

Ressources

Rapport

Tendances et prévisions mondiales en matière de sécurité des API

Consulter le rapport

Ebook

Guide du RSSI : la sécurité des API

Télécharger l'e-book

Présentations de produits Cloudflare — Centre de ressources — Fiche 4 — Miniature

Présentation de solution

Cloudflare API Shield : gérez et sécurisez les API qui soutiennent votre activité

Télécharger la présentation

Blog

L'IA défensive : le cadre de Cloudflare pour protéger les entreprises contre les menaces de nouvelle génération

Consulter le blog

Miniature — Rapport — Modèle 1, graphiques

Article

3 approches pour devancer les menaces ciblant les API

Lire l'article

Blog

Protéger les API GraphQL contre les requêtes malveillantes

Consulter le blog

FAQ concernant les solutions de sécurité des API

En quoi la sécurité des API diffère-t-elle de celle des applications web ?

Les API sont uniques du fait de nombreuses caractéristiques. Elles échangent des données entre les systèmes, par exemple, alors que les utilisateurs finaux accèdent aux applications web par l'intermédiaire d'un navigateur web. Les API utilisent un format différent pour transporter les données et accèdent directement aux systèmes back-end. Elles servent souvent d'intermédiaire entre les applications web modernes et leurs bases de données/serveurs back-end. Du fait de ces différences (et des autres), la méthodologie de détection utilisée pour la sécurité des API diffère de celle de la sécurité des applications web, même pour les catégories de vulnérabilités communes, comme les attaques par injection et les risques liés aux accès.

Quelles sont les approches courantes en matière de sécurité des API ?

Un certain nombre d'approches permettent aux entreprises modernes de gérer l'ensemble de leurs API : la gestion de l'intégralité du cycle de vie des API, l'observabilité des API et, de manière plus globale, la protection des API et des applications web (Web Application And Protection, WAAP). Les outils d'observabilité des API fournissent des observations et des statistiques (plutôt qu'une sécurité) concernant les performances d'une API. La gestion de l'ensemble du cycle de vie des API se concentre souvent sur la gestion des API elles-mêmes, tout en manquant de fonctionnalités de sécurité sophistiquées. La protection des API et des applications web (WAAP) est définie par Gartner comme une catégorie de solutions de sécurité conçues pour protéger les applications web, indépendamment de l'endroit où elles sont hébergées. L'approche WAAP convient mieux aux API en production, à la surveillance en temps réel, ainsi qu'à la protection contre les abus, les menaces zero-day et les acteurs malveillants.

Comment sécurisez-vous les API REST ?

Les API REST permettent à un client de demander des ressources à un serveur, qui renvoie l'information au client dans son état actuel. Les acteurs malveillants peuvent prendre l'API pour cible à n'importe quel point du cycle « d'appel et de réponse » de l'API REST. Par conséquent, pour empêcher les abus vis-à-vis des API REST, il est nécessaire de n'autoriser que le trafic d'API « utile » et authentifiée, de manière à bloquer les requêtes provenant de clients illégitimes. Les certificats mTLS, les JSON Web Tokens, les clés d'API valides et les jetons OAuth 2.0 ne sont que quelques exemples de méthodes d'authentification et d'autorisation des API.

Comment sécurisez-vous les clés d'API ?

Les clés d'accès aux API, qui détachent l'authentification des identifiants utilisateur et envoie à la place des chaînes textuelles secrètes en même temps que les requêtes d'API, permettent un accès plus sécurisé aux API. Toutefois, les clés d'API font toujours face aux risques posés par les attaques de l'homme du milieu (man-in-the-middle), l'utilisation incorrecte des ressources pour développeurs et le problème du stockage des secrets au sein du code source. Les JSON Web Tokens (JWT, jetons web JSON) proposent une alternative plus sécurisée et plus flexible aux clés d'API statiques, tant que les JWT sont signés à l'aide d'algorithmes cryptographiques sécurisés, qui évitent la présence de données sensibles dans le contenu et font respecter l'expiration des jetons.

Comment testez-vous la sécurité des API ?

Les parties prenantes en matière d'informatique, de sécurité et de développement d'applications peuvent s'appuyer sur différents indicateurs pour évaluer le niveau de sécurité de leurs API. Une entreprise dotée d'un robuste modèle de sécurité des API doit, par exemple, disposer d'un inventaire à jour des ressources API montrant que toutes ses API sont conformes aux réglementations sur les données et utiliser des méthodes fortes pour l'authentification ou l'autorisation. Elle doit également réaliser des audits afin d'identifier les identifiants exposés (ou ayant fait l'objet d'une fuite) utilisés dans les requêtes d'API et analyser les requêtes/réponses d'API à la recherche d'informations d'identification personnelle (PII), de données de cartes de paiement et d'informations personnelles liées à la santé. La capacité à définir des mesures de contrôle du volume adaptatives et intelligentes pour les API, telles que déterminées par les schémas de trafic observables pour chaque point de terminaison, témoigne également d'une sécurité des API plus avancée.

Quelles sont les différentes formes d'abus d'API ?

L'expression « abus d'API » se réfère à l'utilisation malveillante des API permise par l'exploitation des défauts de la logique métier et des vulnérabilités des applications afin de bloquer ou de dégrader l'expérience d'un utilisateur réel. Le plus souvent, les API d'aujourd'hui sont confrontées à divers problèmes (exposition de données, actions non autorisées, contournement des mesures de sécurité, perturbation de service et élévation des privilèges) du fait de l'absence de mesures de contrôle de l'authentification et de l'autorisation, un phénomène connu sous le nom de Broken Object Level Authorization (BOLA, violation de l'autorisation au niveau de l'objet) et de Broken Function Level Authorization (BFLA, violation de l'autorisation au niveau de la fonction).