Press Release

L'équipe de recherche d'Escape révèle plus de 30 000 APIs exposées et des milliers de risques de sécurité touchant les entreprises du Fortune 1000 et du CAC 40

  • Le nouveau rapport d'Escape révèle 30 784 APIs exposées parmi les entreprises du Fortune 1000 et du CAC 40, ainsi qu'un nombre impressionnant de 107 368 vulnérabilités, dont 2 038 vulnérabilités hautement critiques.


Paris, mercredi 20 Novembre 2024 Escape, une plateforme de sécurité des APIs, a annoncé aujourd'hui les résultats de son rapport 2024 sur l'État de l'Exposition des APIs. L'étude met en évidence des lacunes importantes en matière de sécurité des APIs touchant les entreprises du Fortune 1000 et du CAC 40, avec 30 784 APIs exposées et 107 368 vulnérabilités identifiées. Parmi ces découvertes, 2 038 ont été classées comme hautement critiques en raison de l'exposition potentielle de données sensibles et de systèmes.

Le rapport 2024 d'Escape souligne l'urgence pour les entreprises d'adopter des stratégies de sécurité des APIs robustes, car la prolifération incontrôlée des APIs expose des systèmes critiques. Grâce à une énumération avancée de sous-domaines, à un fingerprinting piloté par IA et à des techniques d'OSINT, l'équipe de recherche en sécurité d'Escape a analysé des milliers d'APIs, révélant des vulnérabilités liées à des défaillances d'authentification, des erreurs de configuration de sécurité et l'accès public à des APIs de développement. Notamment, 3 945 APIs de développement ont été identifiées comme publiquement accessibles, augmentant les risques de sécurité en raison de l'absence de contrôles d'accès adéquats.

Des rapports récents, y compris le rapport 2025 sur l'État Mondial de la Sécurité des APIs, indiquent que 57 % des entreprises ont subi une violation de données liée aux APIs au cours des deux dernières années. Cette statistique met en évidence les risques sérieux auxquels sont exposées les entreprises lorsque les APIs ne sont pas suffisamment protégées à grande échelle.

« Le deployment à l’échelle de la sécurité des APIs est un défi fondamental. À mesure que les entreprises déploient davantage d’APIs pour répondre aux exigences du numérique, leurs processus de sécurité ne suivent pas le rythme », a déclaré Tristan Kalos, PDG d'Escape. « Notre recherche montrent que la majorité des APIs sont laissées sans gestion, ce qui non seulement expose les données, mais amplifie également les risques à tous les niveaux de l’organisation. »

Principaux Résultats du Rapport

  • APIs Exposées : 30,784 APIs exposées ont été identifiées parmi les entreprises du Fortune 1000 & CAC 40, certaines révélant des centaines de points d’accès vulnérables au sein d’un même domaine.
  • Vulnérabilités Critiques : Les entreprises du Fortune 1000 & CAC 40 comptaient pour 2 038 vulnérabilités hautement critiques.
  • Risques des APIs de Développement : 3 945 APIs de développement étaient exposées. Ces APIs, qui contournent souvent les mesures de sécurité en production, constituent des points d’entrée potentiels pour un accès non autorisé.
  • Secrets d'API Exposés : Plus de 1 800 secrets d'API hautement sensibles — y compris des jetons d'accès, des clés API et des identifiants d'authentification — ont été trouvés exposés, augmentant considérablement le risque d'accès non autorisé et de compromission des systèmes.

Les incidents de 2024, y compris la violation de sécurité de Twilio Authy, illustrent parfaitement comment des endpoints d’API non sécurisés, exposés dans la nature, peuvent être exploités lors d'attaques.

En juillet 2024, le service Authy de Twilio a subi une importante violation de sécurité en raison d’un endpoint d’API exposé. Cette vulnérabilité a permis un accès non autorisé à des données d'authentification, mettant en danger des millions d’utilisateurs. Les attaquants ont réussi à exploiter cet endpoint non sécurisé pour accéder aux codes à usage unique, qui constituent une couche critique de sécurité pour l'authentification multi-facteurs. Cette violation a mis en évidence que même les entreprises axées sur la sécurité sont vulnérables lorsque les endpoints d’API ne sont pas suffisamment protégés.

Cette exposition massive d’APIs non sécurisées souligne un problème de sécurité crucial. Des actions stratégiques immédiates sont nécessaires. Les entreprises doivent prendre conscience de la gravité de la prolifération des APIs non sécurisées et mettre en place des mesures rigoureuses pour y remédier. Établir une gouvernance solide des APIs, renforcer la formation en sécurité et utiliser des outils de test automatisés sont des étapes essentielles pour atténuer ces risques.

About Escape

Fondée en 2020 par Tristan Kalos et Antoine Carossio, Escape est une entreprise experte en cybersécurité, spécialisée dans la sécurisation des applications. Sa plateforme combine des capacités de découverte automatique d'APIs, de génération de documentation et de tests dynamiques de sécurité des applications (DAST). Cette solution permet aux ingénieurs de sécurité de tester la sécurité et la fiabilité de leurs applications dans le cloud, pendant le processus de développement, avant et après leur publication. Escape est déjà utilisé pour sécuriser des milliers d'APIs à l’échelle mondiale. Plus d'informations sur : www.escape.tech

A propos d'Escape

Contact media

Alexandra Charikova
+33 6 34 21 25 23 
alexandra@escape.tech

The only DAST that works with your modern stack and tests business logic instead of missing headers
Book a live demo
Platform
API Discovery & Security
Business Logic DAST
GraphQL Security
Company
About
We're hiring
Legal
Privacy policy
Terms of service
Resources
Blog
Case studies
Docs
Proprietary Business Logic Security Testing Algorithm
API Security Academy
API Security Checklist
The Elephant in AppSec Podcast
State of GraphQL Security 2024
State of Public APIs 2023
GraphQL Security
GraphQL Armor
ChatGPT Security
Connect
Book a live demo
Slack support
Escape vs Competitors
Escape vs Noname Security
Escape vs Salt Security
Escape vs Qualys
Escape vs StackHawk
Escape vs Bright Security
Escape vs Rapid7
Escape vs Invicti
© 2025 Escape