News
Elimane Prud’hom, Salt Security : en élaborant une stratégie de sécurité des API, les RSSI peuvent aider leurs entreprises à dynamiser l’innovation
mars 2023 par Marc Jacob
A l’occasion de l’édition 2023 du FIC, Salt Security communiquera sur son rapport « State of API Security » dont la version pour le 1er trimestre 2023 est tout juste parue. De plus, Salt Security présentera également la toute dernière version de sa plateforme Salt Security de protection des API, désormais enrichie d’indications plus précises et plus précoces sur les comportements des attaquants et les schémas d’attaques Pour Elimane Prud’hom Sales Director Salt Security en élaborant une stratégie valable autour de la sécurité des API, les RSSI peuvent aider leurs entreprises à aller de l’avant et à dynamiser l’innovation.
Global Security Mag : Quelle sera votre actualité sur l’édition 2023 du Forum International de la Cybersécurité ?
Elimane Prud’hom : Au FIC 2023, Salt Security communiquera sur son rapport « State of API Security » dont la version pour le 1er trimestre 2023 est tout juste parue, et passera en revue les leçons à tirer sur les principaux enjeux de sécurisation des API et les stratégies suivies par les entreprises dans ce domaine. Salt Security présentera également la toute dernière version de sa plateforme Salt Securityde protection des API, désormais enrichie d’indications plus précises et plus précoces sur les comportements des attaquants et les schémas d’attaques, de représentations visuelles des séquences d’appels API et de la prise en charge de tests préalablement à la mise en production des API.
GS Mag : Quels sont les points forts des solutions que vous présenterez à cette occasion ?
Elimane Prud’hom : Salt Security, qui fait œuvre de précurseur dans la sécurisation des API, s’affirme comme le leader dans ce domaine par son palmarès impressionnant. La solution Salt Security est la seule à miser sur le big data à l’échelle du cloud pour répondre au défi consistant à isoler et contrer les attaques ciblant les API, en prenant pour référence la totalité du trafic des API (ensemble des appels et réponses). Salt Security applique ses algorithmes ML et IA, sur le marché depuis plus de quatre ans, pour opérer une analyse et une corrélation en temps réel de plusieurs milliards d’appels API. Ce niveau de contexte est indispensable pour fournir une exploration riche et une classification précise des données et, surtout, pour isoler et contrer les attaques de type « low and slow » (basses et lentes) visant les API sur la durée. Aucune solution « on premise » ne possède une capacité de stockage des données suffisante pour repérer les attaques sophistiquées observées à l’heure actuelle, telles qu’une attaque active une semaine durant ou une attaque de type BOLA (Broken Object Level Authorization) à paramètre unique.
Salt adhère également au principe « shift left » via ses mécanismes de sécurité en amont, notamment l’analyse de conception des API et les tests contextuels de sécurité des API en pré production. Ces outils contribuent à éradiquer les failles de sécurité avant la mise en production des API. La solution Salt n’a pas son pareil pour transformer les enseignements tirés lors de l’exécution en mesures correctrices dont les développeurs peuvent se servir pour renforcer les API.
Salt offrant un déploiement fluide dans tout type d’environnement, les clients en retirent aussitôt une valeur ajoutée. La plateforme Salt étant compatible avec les outils et workflows déjà utilisés par les équipes sécurité et DevOps, la protection des API s’opère sans complexité ni tension. Salt s’adapte également aux API de tous types (internes, externes et tierces) et de tous formats, notamment REST, GraphQL et SOAP.
GS Mag : Cette année, le FIC mettra le cloud à l’honneur. Quelles sont les principales cybermenaces auxquelles le cloud est exposé ? Quels sont les avantages du cloud ? Comment les technologies doivent elles évoluer pour contrecarrer ces menaces ?
Elimane Prud’hom : Au fil des ans, nous avons pu constater que le cloud est exposé à de nombreuses menaces. Les erreurs de configuration concernant les éléments d’infrastructure cloud ou le stockage de données sont fréquentes. Si les contrôles d’accès constituent un volet fondamental du travail de sécurité dans son ensemble, ils représentent un pari difficile à tenir dès lors que les entreprises doivent composer avec de multiples environnements et types de clients. Nous avons également observé des cas de falsification de requête côté serveur (failles SSRF) où les attaquants se servent d’applications web ou d’API web comme portes d’entrée pour accéder à l’infrastructure et aux services de métadonnées back end d’un prestataire cloud.
La sécurité du cloud et celle des API sont étroitement liées. L’infrastructure cloud comme le développement d’applications cloud natives sont tributaires d’API pour fonctionner. Les services de métadonnées des prestataires cloud qui constituent la dorsale de l’infrastructure cloud reposent intégralement sur des API. Les principaux fournisseurs cloud s’enorgueillissent également d’un pilotage par des API et de leur conformité au concept « API first ». Se soucier de la sécurité cloud, c’est forcément s’atteler à la sécurité API, à moins de faire le choix de la vulnérabilité.
En marge de leur rôle moteur essentiel aux applications actuelles, les API sont aussi le principal vecteur d’attaques les concernant. Les risques de sécurité potentiels sont nombreux : exposition des données, remontées d’autorisations, compromission des systèmes, déplacement latéral sur des réseaux, ou encore pièges tendus par les malwares ou les rançongiciels. Pour limiter ces menaces, les entreprises ont besoin d’une stratégie de sécurisation des API exhaustive et robuste, notamment une protection continue et automatisée en cours d’exécution. De plus, les solutions de sécurisation des API doivent être capables de traiter de gros volumes de données sur une fenêtre d’analyse étendue afin de dégager le contexte nécessaire pour distinguer le trafic d’attaques du trafic normal. Ce contexte est difficile à obtenir avec des solutions sur site, basées sur une machine virtuelle, celles ci étant tout simplement incapables de stocker suffisamment de données pour contextualiser sur plusieurs jours et semaines.
GS Mag : À votre avis, quel rôle l’homme peut il jouer pour renforcer la stratégie de défense à déployer ?
Elimane Prud’hom : Les leaders doivent être conscients de l’évolution des risques induits par la transformation numérique, le cloud et les autres initiatives de modernisation. Ils doivent concilier au mieux la nécessaire accélération de l’innovation et du progrès avec l’obligation de protéger l’entreprise.
Tous les chefs d’entreprise ont le devoir de sécuriser ces API qui pilotent leurs activités. Pour passer à la vitesse supérieure, la sécurité des API se doit d’être maîtrisée ; encore faut il que les dirigeants cernent leur écosystème API et aient la certitude que ces API sont protégées en production.
GS Mag : Quel message aimeriez vous faire passer aux RSSI ?
Elimane Prud’hom : Les RSSI doivent encourager, et non freiner, l’innovation en entreprise. À cet effet, ils doivent prendre l’initiative de mettre en œuvre de nouveaux processus de sécurité assurant la continuité de la transformation numérique tout en protégeant les données cruciales de leurs entreprises et de leurs clients. Chacun comprend combien la sécurité cloud est nécessaire dans les environnements actuels. Tout le monde ne comprend pas, en revanche, que la sécurité du cloud est tributaire de celle des API, sur lesquelles tout s’exécute.
Les API sont spécifiquement conçues pour partager des données et services stratégiques entre les clients, les partenaires et les collaborateurs. Du fait de ce principe de conception, les API constituent une cible lucrative et attrayante pour les attaquants. En élaborant une stratégie valable autour de la sécurité des API, les RSSI peuvent aider leurs entreprises à aller de l’avant et à dynamiser l’innovation.
Pour en savoir plus :
Contact Commercial : Elimane Prud’hom elimanep@salt.security
https://salt.security/platform?
https://www.youtube.com/watch?v=Z5nzavnBJj4
Articles connexes:
- Vladimir Kolla, Founder de Patrowl : La simplification de la cybersécurité permet aux RSSI de se concentrer sur la mise en œuvre des corrections et la conduite des politiques de sécurité
- Benjamin Leroux, Advens : face aux attaques inéluctables les principes de réalité et d’efficacité doivent dicter les feuilles de routes des RSSI pour les années à venir
- Maxime Alay-Eddine, Cyberwatch : Nous encourageons les RSSI à se rapprocher des solutions françaises du groupement Hexatrust
- Rui Manuel COSTA, Query Informatique : Il est impératif de sauvegarder et protéger vos données dans des containers chiffrés
- Hervé Hulin, Jscrambler : Il est essentiel de protéger le code original et le code tiers contre toute altération
- Fabien Pereira Vaz, Paessler AG : Les RSSI doivent avoir une approche holistique de la sécurité qui intègre des outils de surveillance et de gestion
- Christophe Auberger, Fortinet : Les technologies doivent être à même de masquer la complexité
- Yves Wattel, Delinea : Le Cloud doit offrir une plateforme holistique de sécurité des identités
- Sophie Belloc, Transmit Security : La sécurité de l’identité est le principal enjeu de la cybersécurité
- Sébastien Groyer, Snowpack : Nous rendons les utilisateurs les données, les serveurs et les devices invisibles sur le net
- Jean-Pierre Carlin, Swimlane : Une plateforme SOAR doit adapter les indicateurs SOC à la spécificité de l’organisation et aux besoins en matière de sécurité
- Rémi Habraken, Synetis : Ne négligez pas le facteur humain dans la stratégie de cyber-défense
- Laurent Tombois, Bitdefender France : Face à l’explosion des menaces les entreprises doivent donner la priorité à la mise en œuvre d’une stratégie de sécurité globale
- Christian Guyon, Forcepoint : Le Cloud est une opportunité pour considérer son SI sous le spectre la protection des utilisateurs et des données
- Pierre Codis, Keyfactor : chaque responsable sécurité doit mener, dès à présent, des réflexions sur le sujet du Post Quantique
- Philippe Loudenot, Forecomm – BlueFiles : Il ne faut pas négliger la protection des données !
- Eric Leblond, CTO de Stamus Networks : les exigences et les méthodes de sécurisations ne changent pas réellement : « keep calm and drive security »
- Blandine Delaporte, SentinelOne : Les enjeux de sécurité du Cloud doivent être au centre des considération des RSSI
- Julien Courtemanche, WithSecure : Avec l’aide de la technologie nous pouvons intégrer les collaborateurs à l’arsenal défensif
- Gérôme Billois, Wavestone : le RSSI ne doit plus seulement être un défenseur du patrimoine de l’organisation mais aussi un acteur clé de son développement !
- Jean-Dominique Quien, TrustBuilder : Les RSSI doivent favoriser l’utilisation de solutions de cybersécurité développées en Europe
- Mike Fraser, Sophos : les RSSI, doivent rester vigilant et mettre en place une stratégie de sécurité collaborative via une approche DevSecOps
- Matthieu Jouzel, BeyondTrust : Les identités numériques sont les plus ciblées par les hackers
- Eric Heddeland, Barracuda Networks : La sécurisation dans le cloud nécessite une vue unique et une stratégie de défense en profondeur
- Alban Ondrejeck, ANOZR WAY : Nous pouvons traiter les vulnérabilités humaines avec la même approche que les vulnérabilités techniques
- Jérôme Warot, Tanium : devant la complexité des SI, il faut que le RSSI s’assure que les fondamentaux soient bien respectés
- Giuseppe Brizio, Qualys Technologies SA : Les principes de Risk Management et de Résilience doivent être appliqués de manière impérative à la Cybersécurité
- Jean-Michel Tavernier, Armis : Vous ne pouvez protéger ce que vous ne connaissez pas
- Denis Gadonnet, LogRhythm : Nous metons en évidence les menaces pour des enquêtes basées sur un contenu de qualité prêt à l’emploi et personnalisé
- Arnaud Dufournet, TheGreenBow : ZTNA et VPN, pourquoi les opposer alors qu’il faut les associer !
- Cyril Gollain, Brainwave GRC : La gestion des identités et des accès est vouée à devenir un facilitateur de la transformation digitale et du développement de nouveaux business !
- Matthieu Trivier, Semperis : Préparez-vous à l’impensable et tester votre résilience et l’efficacité des processus déjà mis en place !
- David Grout, Mandiant (Now Part of Google Cloud) : Les RSSI sont au cœur de la transformation digitale !
- Grégory Demule, Formind : Le renforcement des capacités de détection et de réponses aux incidents de sécurité constitue un ‘incontournable’
- UBIKA : Protéger vos sites web et API avec Cloud Protector Nouvelle Generation
- Pierre Oger, EGERIE : La réponse aux enjeux cyber est collective et doit être pensée sous le prisme du partage et de la coopération
- Sascha Giese, SolarWinds : Nous conseillons aux analystes spécialistes de la sécurité d’utiliser des solutions d’observabilité
- Frans Imbert-Vier, CEO d’UBCOM : Les RSSI sont les derniers remparts de l’économie face aux attaques cyber de masse
- Eric Antibi, Palo Alto Networks : Il est temps d’utiliser les technologies de Machine Learning et de l’Intelligence Artificielle sur des plateformes de cybersécurité
- Hervé Schauer, Président d’HS2 : La meilleure sensibilisation des équipes informatiques est la formation continue
- Boris Lecoeur, Cloudflare : Un poste de “Chief Zero Trust Officer"doit être créé pour réussir l’implémentation de solutions Zero Trust
- Yannick Fhima,Elastic : l’équipe de sécurité ne peut plus être isolée de l’équipe d’ingénierie
- Eric Fries, Président d’Allentis : De la cybersécurité à la connaissance des flux applicatifs et réseau
- Benoit Grunemwald, ESET : L’IA est une aide indispensable au traitement des volumes croissants et pour faire face à la complexité des attaques
- Renaud Ghia, Président de TIXEO : Notre solution de visioconférence sécurisée est 100% conforme au RGPD et certifiée et qualifiée par l’ANSSI !
- Edwige Brossard, WALLIX : Nous encourageons les RSSI à externaliser la gestion partielle ou totale de leur infrastructure IT et de leurs outils numériques chez des MSP
- Regis Fattori, ChapsVision : les enjeux en matière de cybersécurité et de protection des données nécessitent de la part des RSSI une approche globale
- Pierre-François Guglielmi, Rubrik : La préparation aux cyberattaques reste indispensable pour que les RSSI adoptent une bonne posture face aux cyberattaques
- Christophe Baroux, Sysdig : L’utilisation du cloud modifie le calcul de la sécurité
- Bernard Montel, Tenable : Un programme de gestion de l’exposition réussi requiert une combinaison de personnes, de processus et de technologies
- Magalie Vintousky, Westcon Group : les entreprises peuvent maintenir un niveau solide de sécurité si elles investissent dans des outils et évaluent leur posture de sécurité
- Ferhat Kaddour, ATEMPO : Nos solutions combinent immuabilité et chiffrement pour assurer la protection des données de bout en bout
- Jean-Baptiste Grandvallet, Cohesity : L’entreprise ne devrait pas rechercher la « sécurité », mais se concentrer sur la conduite des affaires « en toute sécurité »
- Olivier Revenu, CEO d’OWN : Notre leitmotiv est d’assurer aux organisations d’exercer leur métier dans les meilleures conditions sans se soucier des problématiques de cybersécurité
