Les choses à faire et à ne pas faire en matière de sécurité moderne des API
De nombreux responsables de la sécurité se trouvent dans une situation délicate lorsqu'il s'agit de sécurité des API. Bien qu'elles ne soient pas nouvelles, les API ont acquis une importance nettement plus stratégique au cours des derniers années. Un tel essor s'explique par les facteurs suivants :
Les utilisateurs interagissent avec les applications par le biais d'un ensemble de plus en plus diversifié d'interfaces utilisateur et de terminaux, qui reposent souvent sur une panoplie d'API communes.
Les pratiques DevOps et autres processus métier en évolution rapide ont besoin des API pour favoriser l'automatisation.
Les intégrations API entre partenaires commerciaux sont le seul moyen de répondre aux attentes des clients qui recherchent des expériences en ligne rapides et sans heurt.
Les développements de l'industrie tels que l'Internet des objets (IoT) augmentent, à différents niveaux, le nombre de terminaux connectés que les entreprises doivent gérer par programmation à l'aide des API.
API : Un atout stratégique, mais aussi un talon d'Achille
Ces développements du secteur se sont produits sur de nombreuses années à la vue de tous. Cela étant, de nombreux responsables de la sécurité commencent tout juste à se rendre compte que les API sont à la fois un atout stratégique et un point faible dans presque toutes leurs divisions stratégiques.
Reconnaître la nécessité d'adopter une approche stratégique de la sécurité des API est une première étape importante, mais y parvenir peut sembler complexe. D'une part, les API sont une cible mobile : elles apparaissent et disparaissent comme elles sont venues, et d'autre part, les processus de gouvernance des API sont souvent incohérents, voire inexistants.
Menaces API et menaces de sécurité traditionnelles
Les menaces API sont également très différentes des menaces traditionnelles pour la sécurité. Les vulnérabilités techniques et erreurs de configuration, comme celles figurant dans les dix principaux risques pour la sécurité des API selon l'OWASP,présentent une certaine similitude avec les vecteurs d'attaque que les équipes de sécurité ont l'habitude de combattre. Cependant, les API sont également sujettes à d'autres types d'abus, tels que l'exploitation de la logique métieret l'extraction agressive de données, qui diffèrent d'une attaque de sécurité traditionnelle.
Bien que l'adoption d'une approche stratégique de la sécurité des API ne soit pas une mince affaire, il ne s'agit pas non plus d'une tâche impossible.
Nous avons élaboré un petit guide appelé 8 choses à faire et à ne pas faire en matière de sécurité des API qui résume les meilleures pratiques et les enseignements tirés de nos recherches et de notre collaboration avec certaines des organisations axées sur les API comptant parmi les plus sophistiquées au monde. Ce guide vous présente les stratégies essentielles à mettre en œuvre , ainsi que les pièges à éviter , afin de vous aider à élaborer une stratégie de sécurité des API plus sophistiquée pour votre entreprise.
