Le monde numérique d'aujourd'hui tourne autour des applications web et des API. Ces dernières permettent aux sites d'e-commerce d'accepter les paiements, aux systèmes de santé de partager les données des patients de manière sécurisée, tout en nous permettant également d'utiliser nos téléphones. Toutefois, plus nous nous reposons sur ces applications, plus la surface d'attaque s'étend. Ce phénomène est encore amplifié par la demande poussant les développeurs à proposer rapidement de nouvelles fonctionnalités (p. ex. des fonctions soutenues par l'IA générative). Or, si les applications restent sans protection, leur exploitation peut conduire à des perturbations de l'activité, à des pertes financières et à l'effondrement d'infrastructures essentielles.

« Les applications web sont rarement conçues dans une optique de sécurité. Pourtant, nous nous en servons tous les jours pour toutes sortes de fonctions critiques et cette utilisation en fait une cible de choix pour les pirates », explique Matthew Prince, cofondateur et CEO de Cloudflare. « Le réseau Cloudflare bloque en moyenne 209 milliards de cybermenaces chaque jour pour ses clients. La couche de sécurité entourant les applications d'aujourd'hui est devenue l'un des composants les plus essentiels pour s'assurer qu'Internet demeure sécurisé. »

• Les attaques DDoS continuent d'augmenter en nombre et en volume : l'approche DDoS demeure le vecteur de menace le plus utilisé pour s'en prendre aux applications web et aux API, en totalisant 37,1 % de l'ensemble du trafic d'applications atténué par Cloudflare. Les secteurs les plus visés étaient celui des jeux vidéo/jeux de hasard, le secteur de l'informatique et d'Internet, le secteur des cryptomonnaies, le secteur des logiciels, ainsi que celui du marketing et de la publicité
• Premier correctif et première exploitation, la course entre les systèmes de défense et les acteurs malveillants s'accélère : Cloudflare a observé un délai d'exploitation plus rapide que jamais des nouvelles vulnérabilités zero-day, avec notamment une occurrence d'exploitation seulement 22 minutes après la publication de la démonstration de faisabilité (PoC, Proof-of-Concept).
• Laissés sans surveillance, les bots malveillants peuvent provoquer d'importantes perturbations : un tiers (31,2 %) de l'ensemble du trafic provient des bots, dont la majeure partie (93 %) ne font l'objet d'aucun contrôle et peuvent se montrer potentiellement malveillants. Les secteurs les plus visés étaient celui de la production et des biens de consommation, le secteur des cryptomonnaies, le secteur de la sécurité et des investigations, ainsi que le gouvernement fédéral américain.
• Les entreprises font appel à des approches obsolètes pour sécuriser leurs API : les règles de pare-feu d'applications web (WAF) traditionnelles qui s'appuient sur un modèle de sécurité négative (la présomption que la majeure partie du trafic web est inoffensif) constituent un des moyens les plus utilisés pour se protéger contre le trafic lié aux API. Un nombre beaucoup plus réduit d'entreprises mettent en œuvre les bonnes pratiques bien plus largement acceptées en termes de sécurité qui composent un modèle de sécurité positive (c'est-à-dire une définition stricte du trafic autorisé, le système refusant le reste).
• Les dépendances liées à des logiciels tiers posent un risque croissant : les entreprises utilisent en moyenne 47,1 éléments de code provenant de fournisseurs tiers et établissent une moyenne de 49,6 connexions sortantes à des ressources tierces pour renforcer l'efficacité et les performances de leurs sites web (p. ex. en tirant parti de Google Analytics ou Ads). Toutefois, comme le développement web s'est largement adapté pour autoriser le chargement de ce type de code tiers et d'activité au sein du navigateur de l'utilisateur, les entreprises sont de plus en plus exposées aux risques visant la chaîne d'approvisionnement, ainsi qu'aux problèmes de responsabilité et de conformité.

Demandez le rapport complet ici.