Ping Identity, leader de la sécurité basée sur l’identité, annonce l’acquisition du spécialiste de la cybersécurité des API Elastic Beam et le lancement de la solution PingIntelligence for APIs.
Cette nouvelle solution, qui exploite des technologies d’intelligence artificielle, va permettre d’améliorer l’accès et l’usage des APIs, y compris l’identification et le blocage des cyberattaques. Ping Identity devient la première entreprise à utiliser l’intelligence artificielle dans une solution complète de sécurité pour les infrastructures API en clouds publics et hybrides.
Elastic Beam est à l’origine de la première solution logicielle de cloud hybride qui associe des techniques d’IA avancées avec une expertise approfondie du comportement des APIs pour détecter et arrêter automatiquement les menaces qui exploitent les APIs pour compromettre données et systèmes. La solution peut découvrir de manière autonome toutes les APIs actives pour s’assurer qu’aucune d’entre elle n’a été oubliée ou sous-évaluée, et offrir une visibilité approfondie de leurs activités. Cette nouvelle technologie va permettre aux clients de Ping Identity de reconnaître et répondre aux attaques dynamiques et évolutives qui ciblent les vulnérabilités des APIs, et ce sans qu’il ne soit nécessaire de prédéfinir des règles ou des polices de sécurité.
« Nous pensons que l’ajout de technologies intelligentes de machine learning analytics à la plate-forme Ping Identity est une avancée importante en matière de sécurité des identités. Depuis des années, Ping protège les APIs des grandes entreprises avec les produits PingFederate et PingAccess, » commente Andre Durand, CEO de Ping Identity. « Avec cette acquisition, nous allons proposer une approche de la sécurité des APIs basée sur l’intelligence qui va nous permettre de renforcer notre positionnement. Aujourd’hui, il est essentiel de prendre des décisions de sécurité qui reposent sur une analyse d’éléments complexes comme les comportements et le contexte, plutôt que sur des règles pré-établies qui tentent de prédire où, quand et comment un utilisateur va souhaiter accéder à ses informations. »
A l’ère des APIs, de nouveaux risques font leur apparition
Les APIs, et plus largement la transformation numérique, génèrent des bénéfices économiques reconnus par toutes les entreprises. Les nouvelles réglementations, comme la directive sur les services de paiement DSP2, ont accéléré l’usage des APIs car elles facilitent l’interopérabilité des produits bancaires. Malheureusement, ce succès s’accompagne de nouveaux risques de sécurité ; il est devenu plus facile pour les cyberscriminels de s’infiltrer dans les applications et récupérer des données. La solution PingIntelligence for APIs est pensée pour adresser ces risques et protéger les entreprises, y compris les utilisateurs cloud, contre les attaques qui ciblent les APIs.
« Les APIs sont de vrais moteurs d’innovation mais ils ne sont pas sans risque, » précise Bernard Harguindeguy, fondateur de Elastic Beam et SVP, Intelligence chez Ping Identity. « Bien qu’elles soient le premier canal de transactions professionnelles, leur ubiquité et leur traitement de certaines données sensibles ont font une cible privilégiée des cybers criminels. C’est pourquoi, il y a 3 ans, je me suis associé avec Uday Subbarayan, le co-fondateur de la société, qui avait travaillé par le passé pour Sonoa Systems/Apigee, afin de construire Elastic Beam et résoudre ce problème. »
Il ajoute : « Nous sommes ravis d’intégrer Ping Identity, qui apporte tout autant d’attention que nous à ces risques. L’intégration d’Elastic Beam avec Ping Identity va permettre le développement de solutions de sécurité des APIs intelligentes et solides qui n’existent tout simplement pas sur le marché pour le moment. »
Selon le cabinet Gartner, « Le mauvais usage des APIs sera l’un des plus fréquents vecteurs d’attaques d’ici 2022, entraînant des fuites de données depuis des applications web professionnelles. » C’est pourquoi Ping Identity a choisi de se consacrer à la protection des APIs via sa première application intelligente de sécurité. La collecte, l’analyse et l’administration automatiques des éléments d’identités viennent renforcer la protection des APIs.
Protéger les infrastructures API via une surveillance intelligence du trafic des API
PingIntelligence for APIs permet de comprendre en profondeur comment les APIs sont utilisées, ou abusées, et fournit des informations complètes qui peuvent être exploitées dans le cadre d’audits, de rapports d’enquêtes ou de projets de mise en conformité. La solution est également une protection efficace et complète contre différents types d’attaques, y compris contre des cybercriminels sans identifiants qui tenteraient de se faire passer pour des utilisateurs normaux, tout en cherchant des vulnérabilités.
« Grâce à PingIntelligence for APIs, Axway a renforcé son offre de sécurité des API avec des technologies d’IA et de machine learning pour se défendre contre les attaques visant les logins et les identités, les attaques DoS/DDoS visant spécifiquement les APIs et d’autres menaces. Tout l’enjeu est de pouvoir identifier rapidement un mauvais usage des APIs. Le fait de pouvoir agir dès qu’une anomalie est détectée permet de réduire drastiquement le temps d’identification d’une attaque. Ce qui pouvait prendre plusieurs mois prend aujourd’hui quelques minutes, » se félicite Suraj Kumar, VP of Solution Management de Axway. « L’acquisition d’Elastic Beam par Ping Identity est un atout pour Axway et pour nos clients. »
« La sécurité des APIs est une priorité pour nos clients et pour TIBCO, » explique Rajeev Kozhikkattuthodi, vice-président, product management and strategy, TIBCO. “Le nombre d’APIs déployées dans des infrastructures Cloud ou hybrides ne cesse d’augmenter, complexifiant la lutte contre de potentielles vulnérabilités. Le partenariat de TIBCO avec Ping Identity a permis d’optimiser la solution TIBCO Cloud Mashery avec des capacités améliorées de protection des API. Suite à l’acquisition d’Elastic Beam par Ping Identity, TIBCO Cloud Mashery peut maintenant exploiter l’intelligence artificielle pour la détection et la lutte contre les cyber attaques actuelles et futures. »
Andre Durand, CEO de Ping Identity, conclut :
« La sécurité des API est une première étape dans la stratégie de Ping en matière d’identité intelligente. Certaines des plus importantes fuites de données découvertes au cours de la dernière année résultaient de l’exploitation de vulnérabilités des APIs. Les entreprises et les fournisseurs de services Cloud doivent s’emparer du problème de la sécurité des APIs et nous sommes ravis de proposer une solution performante pour les aider. »
PingIntelligence for APIs est actuellement disponible en preview privée, et sera disponible largement au second semestre 2018.