Interview d’Elimane Prud’hom - Salt Security
/L’Interview d’Elimane Prud’hom, Sales Director Europe du Sud chez Salt Security, a été réalisée lors du FIC 2023 qui s’est tenu à Lille.
SDBR News : Parlez-nous de Salt Security…
Elimane Prud’hom : Salt est une société américaine, créée en 2016, qui s’intéresse à un sujet souvent considéré comme une niche dans les entreprises, celui des APIs*. Rappelons que les APIs permettent de faire communiquer des applications entre elles, de faire communiquer des sites web, etc. La transformation digitale ou la transformation numérique, dont on parle beaucoup, s’appuient sur des APIs : c’est un langage qui communique automatiquement. Le rôle des APIs est d’échanger des données ou d’avoir des actions critiques : actions de paiements bancaires, de virements, etc. Relevons que le trafic API est automatique et représente 80% du trafic internet mondial, lorsque les humains qui appuient sur des touches ne représentent eux que 20% du trafic mondial. Le trafic API est un peu le backoffice que l’utilisateur ne voit pas. Tout ce trafic automatisé de données sensibles fait la convoitise des hackers, qui ont bien compris qu’arriver à cibler et à utiliser ces APIs à des fins malveillantes leur permettrait de faire de l’exfiltration de données. Exemples : T-Mobile qui s’est fait exfiltrer les données de 37 millions de ses clients ou le géant des Télécoms australien Optus qui a perdu 10 millions de données.
SDBR News : Des groupes de cette taille n’étaient-ils donc pas protégés ?
Elimane Prud’hom : Ils avaient des solutions de sécurité, mais ces attaques illustrent bien que ce type d’attaque n’est pas détecté par les solutions courantes. L’approche de Salt Security est donc de pallier à cet angle mort. Nous avons identifié plusieurs problématiques liées à la sécurité des APIs :
La connaissance de sa surface d’attaque : c’est la base en sécurité, mais encore faut-il savoir combien d’API existent dans son périmètre de responsabilité, ce que font ces APIs et quels types de données elles exploitent. Donc la première phase d’approche de Salt Security est de déclencher un inventaire automatique des APIs.
La détection des failles de sécurité sur ces APIs. Peu de responsables ont une exacte visibilité du nombre d’APIs présentes dans leur organisation, encore moins une idée du niveau de sécurité de ces APIs : sont-elles correctement configurées ? Y a-t-il des failles ou des vulnérabilités sur ces APIs ? Soulignons qu’un « web application firewall », un antivirus ou une solution « API Gateway » n’alertera pas si la mise à jour d’une API crée une faille de sécurité.
L’analyse comportementale du trafic API : aujourd’hui le trafic API n’est pas monitoré. Les attaques connues (par exemple l’injection de code) sont détectées, mais il n’y a pas d’analyse comportementale des utilisateurs en fonction de l’apprentissage collectif de l’utilisation normale des APIs. Exemple sur une application bancaire : sans le savoir, nous faisons appel à des APIs (qui fonctionnent en appel et réponse), or les hackers peuvent se connecter directement aux APIs, envoyer des appels API et avoir des comportements anormaux.
SDBR News : Le dernier rapport « State of API Security » de Salt Security fait état d’APIs zombies. Que faut-il comprendre ?
Elimane Prud’hom : Certains clients n’ont pas de visibilité sur leur surface d’attaque, donc ils ont des APIs exposées mais ils ne les connaissent pas : c’est un peu comme le « shadow IT » mais c’est du « shadow API ». L’enjeu des développeurs est très souvent un enjeu métier, donc on va vite et la procédure n’est pas toujours totalement respectée ; ou bien l’API a été développée correctement dans sa version 1, mais la version 2 n’a pas suivi le même processus, etc. Il manque l’analyse comportementale en matière d’API, comme elle existe par exemple en matière d’EDR**. Avec les attaques qui se multiplient, beaucoup de clients prennent conscience qu’il y a des trous dans leur raquette de cybersécurité et ils ne souhaitent pas mettre 40 jours pour se rendre compte que leurs données ont été exfiltrées.
SDBR News : Une entreprise française peut-elle faire confiance à Salt Security ?
Elimane Prud’hom : Absolument, car nous respectons la réglementation RGPD. Nous n’analysons pas les données du client, nous nous contentons d’analyser les métadonnées. Nous n’analysons pas les communications pour chaque utilisateur, nous analysons les comportements pour détecter ce qui est normal et ce qui est anormal. Nous gérons des milliards de call API par jour, ce qui nous donne une possibilité d’analyse très large du trafic. Nous disons aux responsables que nous rencontrons : connaissez-vous votre angle mort ? En général ils nous écoutent ensuite…
A propos de Salt Security
Salt Security protège les API au cœur de chaque application moderne. Sa plateforme brevetée de protection des API est la seule solution de sécurisation dans ce domaine à associer la puissance de mégadonnées à l’échelle du Cloud à des algorithmes ML/IA éprouvés pour détecter et prévenir les attaques ciblant les API. En corrélant les activités à l’échelle de plusieurs millions d’API et d’utilisateurs dans la durée, Salt propose un contexte riche assorti d’une analyse en temps réel, éclairant en permanence la découverte des API, la prévention des attaques et les pratiques « shift-left ». Déployée en un clin d’œil et s’intégrant parfaitement aux systèmes en place, la plateforme Salt procure aux clients une plus-value et une protection immédiates, de sorte qu’ils puissent innover sereinement et accélérer leurs initiatives de transformation digitale.
*API : application programming interface ou interface de programmation d'application.
**EDR : Endpoint Detection Response