Une chaîne hôtelière de luxe face au défi de la sécurisation des API
Dan Hotels est une chaîne d'hôtels de luxe qui détient des établissements en Israël et en Inde. Quand l'entreprise a constaté que ses partenaires étaient compromis, elle s'est tournée vers la solution API Security d'Akamai pour sécuriser ses nombreuses intégrations API du secteur du tourisme.
Le défi de la sécurisation des API
La chaîne hôtelière Dan Hotels dispose de nombreuses intégrations basées sur des API qui soutiennent son système interne de veille stratégique. Elle gère également une collection croissante d'API externes avec des partenaires du secteur du tourisme, y compris les principaux sites Web de voyage comme Expedia et Booking.com, les agences de voyages en ligne et divers autres fournisseurs et agents plus petits.
Bien que bon nombre de ces fonctions API soient centralisées dans la plateforme de gestion des propriétés Silverbyte de l'entreprise, l'équipe de sécurité a constaté qu'elle manquait de visibilité sur les façons spécifiques dont les partenaires accédaient à ses systèmes et interagissaient avec eux, et qu'elle n'était pas non plus en mesure de régir ces activités.
Besoin : une approche plus sophistiquée et proactive
Suite à la compromission de deux partenaires de voyage de l'entreprise, l'équipe de Dan Hotels a reconnu qu'une approche plus sophistiquée et proactive de la sécurité des API était nécessaire.
« Lorsque nous avons enquêté sur l'incident vécu par nos partenaires, nous avons compris à quel point nous avions peu de contrôle sur la façon dont nos API sont utilisées », explique Yossi Gabay, vice-président des systèmes d'information chez Dan Hotels. « Il était clair que des partenaires moins protégés pouvaient mettre nos systèmes en danger. »
Cette expérience a renforcé le sentiment d'urgence de l'entreprise à mettre en œuvre un ensemble plus sophistiqué de capacités de sécurité des API.
Facteurs de réussite des API sécurisées
L'équipe technologique de Dan Hotels est confrontée quotidiennement à de nombreuses pressions concurrentes, y compris liées à la cybersécurité et à d'autres fonctions opérationnelles critiques. C'est pourquoi elle recherchait une solution permettant de réduire les risques liés aux API sans pour autant submerger l'équipe de bruit et d'efforts manuels.
Il était également important que, quelle que soit la solution choisie, elle puisse dépasser le cadre des attaques évidentes pour couvrir des formes plus nuancées d'abus d'API provenant de partenaires (Figure).
API Security discovers, audits, and monitors all APIs and their activity using behavioral analytics to detect and respond to threats and abuse.
Pourquoi Dan Hotels a choisi API Security
API Security était le premier choix pour Dan Hotels en raison de son intégration facile, de ses capacités d'analyse avancées en temps réel, de son affichage intuitif des données et de ses services gérés.
Intégration facile
Le modèle de logiciel en tant que service (SaaS) d'API Security a permis à Dan Hotels d'obtenir une implémentation initiale en quelques heures. « L'intégration a été très facile, sans aucune friction inutile », note Yossi Gabay. « Nous n'étions pas surchargés de nouvelles tâches, il n'y avait donc aucune interférence avec nos opérations quotidiennes. »
Une fois le système opérationnel, l'équipe API Security a collaboré avec l'équipe Dan Hotels pour affiner les sources de données et la configuration afin de répondre aux objectifs uniques de l'entreprise.
Capacités d'analyse avancées en temps réel
Étant donné que la chaîne hôtelière se concentre sur la détection des abus, les capacités d'analyse en temps réel d'API Security la distinguent des autres options disponibles sur le marché. La plateforme API Security a pu cartographier les relations entre les utilisateurs et les ressources d'API de l'entreprise, fournissant ainsi un contexte précieux.
« Plutôt que de se concentrer uniquement sur le blocage des attaques, API Security a pu nous aider à comprendre ce qui se passait réellement et à nous concentrer sur les comportements indésirables qui, autrement, seraient passés inaperçus », explique Yossi Gabay.
Affichage intuitif des données d'exécution
L'équipe de Dan Hotels a également été très impressionnée par la capacité d'API Security à présenter de grandes quantités d'informations sur l'activité des API et les menaces.
« Lorsque vous n'avez pas d'informations, vous ne pouvez pas avoir de conversation ou résoudre les problèmes », explique Yossi Gabay. « Dès que vous comprenez ce qu'une API est censée faire et que vous comparez cela à ce qui se passe réellement, vous pouvez impliquer toutes les parties concernées pour résoudre les problèmes. »
Services gérés
Dan Hotels constate une valeur significative dans les services gérés d'API Security.
Yossi Gabay explique : « L'objectif de notre équipe est souvent partagé entre la cybersécurité et le soutien aux activités génératrices de revenus. Être en mesure d'engager un service géré qui nous alerte de manière proactive quand de nouveaux risques API sont identifiés est donc vraiment important pour nous. Cela nous donne accès à des personnes à la pointe de ces questions de sécurité des API, également très engagées et avec lesquelles il est facile de travailler. »
Venez les découvrir
Vous souhaitez découvrir comment notre produit de sécurité API peut vous aider ? Essayez-le vous-même ; découvrez API Security d'Akamai.
