API : entre opportunités et insécurité

24 septembre 2019/Emilie Ravet

De plus en plus d’entreprises s’appuient sur des API publiques, partenaires ou privées. Objectif : gagner en efficacité. Revers de la médaille, des API mal configurées ou développées trop rapidement représentent aussi des portes ouvertes sur le réseau informatique des organisations.

Un Cloud n'est rien de plus qu'un regroupement d'API (interfaces de programmation) et de services. Cette combinaison permet de créer des plates-formes économiques, modulables et innovantes.  Nous sommes entrés dans une économie des API.

Publiée début 2018, une étude d’Imperva, menée auprès de 250 professionnels de la sécurité informatique, précisait qu’en moyenne, les entreprises gèrent 363 API différentes, et les deux tiers (69 %) exposent les API au public et à leurs partenaires. Pour 61 % des entreprises interrogées, les API sont essentielles à leur stratégie commerciale.

Elles sont même entrées dans les mœurs et nous en utilisons presque quotidiennement sans toujours sans nous en apercevoir. Elles sont en effet utilisées dans les traitements réalisés non seulement sur des données publiques (adresses d’agences, horaires des transports, etc.) mais aussi sur des données personnelles (tracking fitness, application Ameli et CAF, etc.) et des données sensibles (DSP2, achat en ligne, informations industrielles en mobilité, etc.).

Autant de données qui sont échangées en permanence. Seul bémol : la sécurité des données et la transparence opérationnelle restent des obstacles difficiles à gérer. Exploiter des données d'entreprise au travers d'API dans des environnements de cloud privé/public sans contrôles adéquats d'identité, d'accès, de vulnérabilité et de gestion de risque expose ces sources de données à de potentielles failles de sécurité.

Multiplication des failles de sécurité des API

La situation est d’autant plus préoccupante que la liste des entreprises dont les API présentent des vulnérabilités ne cesse de s’allonger. Les failles de sécurité dues à une mauvaise conception des API se sont multipliées ces dernières années. L’alerte avait pourtant été donnée en 2017. La catégorie des API pas assez sécurisées entrait pour la première fois dans le Top 10 de l’OWASP (Open Web Application Security Project).

Quelles sont les conséquences d’une faille au niveau d’une API ? Des cybercriminels peuvent infecter les réseaux des entreprises. Pas assez sécurisées, des API peuvent entrainer des fuites de données. Avec l’entrée en vigueur en mai 2018 du RGPD, les entreprises doivent donc mettre en place des procédures adaptées.

Ce règlement impose notamment la notion de Privacy by design. En un mot, dès la conception d’une application, d’un site web, d’un objet connecté et donc d’une API, les développeurs (en étroite relation avec les autres métiers, et en particulier le marketing) doivent limiter le traitement aux seules données personnelles « strictement nécessaire à leur activité ». Il convient également de s’assurer de leur confidentialité.

Mais la sécurité des API est compliquée à mettre en œuvre. Bien qu’il existe des tendances de conception communes à de nombreuses API, chaque infrastructure d’API fonctionne différemment même si la plupart utilisent l'architecture REST (Representational State Transfer) ou le protocole SOAP (Simple Object Access Protocol).

Il n’y a pas de « solution miracle » qui fonctionnera pour chaque API. Il faut de la méthode afin de mettre en place des processus de sécurité adaptés en fonction de l’architecture retenue pour accéder à un service web.

Une approche multicloud

Un certain nombre de fournisseurs offrent un large éventail de fonctionnalités de gestion des API dans le cloud. Mais comme les entreprises optent de plus en plus pour le multicloud, il n’est pas recommandé de se baser sur les outils d’un seul fournisseur. Si votre API se connecte à une application tierce, vous devez aussi vous intéresser à la manière dont cette application redistribue les informations vers Internet.

Pour la délégation des accès, il existe une norme ouverte nommée OAuth (Open Authorization). Elle permet aux utilisateurs d'accorder à des tiers l'accès à des ressources web sans avoir à partager leurs mots de passe.

Au final, sécuriser des API nécessite une succession d’ingrédients allant du plus basique jusqu’au plus élaboré tout en tenant compte du besoin et du contexte. Elles doivent être gérées, gouvernées et sécurisées avec fondamentalement les mêmes politiques sur les différentes plateformes et entités du domaine.

Toutes les entreprises devraient appliquer ces règles de base pour renforcer la sécurité de leurs API :

  1. Renforcer l’authentification des utilisateurs
  2. Chiffrer les clés de l’API
  3. Limiter le taux de déploiement
  4. Identifier toutes les API

Rappelons que la sécurité doit être globale pour être efficace !

New Call-to-action

Emilie Ravet
À propos de Emilie Ravet : Emilie est responsable Marketing en charge de la publication des articles du blog.

À lire ensuite

cdm

Cloud data management : pour une gestion optimisée de toutes ses données

Les environnements de cloud hybride offrent de nombreux avantages aux entreprises. Mais la migration vers le...

accountant-accounting-adviser-advisor-159804

Dépenses Multicloud : 3 conseils pour réduire les coûts

Les entreprises dépensent beaucoup d'argent dans le cloud. Mais ce poste est-il bien géré ? Différentes études...

blur-coffee-connection-2041383

API : entre opportunités et insécurité

De plus en plus d’entreprises s’appuient sur des API publiques, partenaires ou privées. Objectif : gagner en...