Un assureur de premier plan comble une lacune majeure dans la sécurité des API

Fondée en Israël en 1978, Clal Insurance and Finance est une compagnie d'assurance et d'épargne à long terme de premier plan, qui gère des actifs d'une valeur totale de 332 milliards de NIS* (90,87 milliards de dollars US). Par le biais de trois divisions distinctes, elle offre une gamme de services et de produits aux particuliers et aux entreprises. Les quelque 4 400 employés de Clal travaillent en collaboration avec 3 700 agents d'assurance, qui se consacrent tous à la fourniture d'un service de qualité et d'une assistance professionnelle aux clients.

L'entreprise mène une transformation digitale basée sur les API, qui favorise une innovation homogène et un avantage de premier plan dans l'échange de données avec les partenaires commerciaux, d'autres sociétés de technologie financière et ses clients. Cependant, cet écosystème d'API introduit également une nouvelle porte d'entrée pour les menaces potentielles, un problème particulièrement pressant en Israël, pays fréquemment ciblé par les cyber-attaques. En déployant Akamai API Security,Clal Insurance and Finance a atteint trois objectifs :

1. Découverte et inventaire automatisés de toutes les API
2. Processus de correction automatisé
3. Amélioration de la sécurité des API

Clal avait l'habitude de sécuriser ses sites Web à l'aide d'un gestionnaire de trafic, d'une solution de gestion des informations et des événements de sécurité et d'un pare-feu d'application Web d'une autre société. Mais ces mesures de sécurité n'étaient pas suffisantes face à l'envergure et à l'importance de son inventaire d'API.

L'écosystème de Clal est à l'origine d'innovations telles que Clal Express, un service Web qui permet aux clients d'éviter les frais de déplacement. C'est un service que l'entreprise souhaitait gérer et sécuriser à mesure que les API proliféraient au sein de l'organisation.

Lorsque la COVID-19 a frappé, Clal a déployé une solution API Gateway pour centraliser l'écosystème API que l'entreprise avait commencé à créer. « C'est à ce moment-là que j'ai réalisé que nous n'avions pas une vision claire des plus de 600 API exposées via nos sites Web, et des milliers d'autres dans l'entreprise », explique Haim Inger, directeur technique de Clal. 

Bien que la passerelle d'API fournisse des informations partielles sur l'environnement API, il ne s'agit pas d'une solution de sécurité. En fait, les entreprises qui utilisent une passerelle API doivent la sécuriser. « Lorsque nous avons commencé à chercher des solutions pour sécuriser notre passerelle API, j'ai constaté l'écart entre notre situation actuelle et celle que nous souhaitions avoir avec API Security »,poursuit Haim Inger.

Ayant besoin d'une visibilité sur leur portefeuille d'API et de la capacité de détecter toute menace ou abus dans leurs API, Haim Inger et son équipe de sécurité ont évalué des solutions. Outre la possibilité de vérifier les anomalies de transaction et de minimiser les changements de règles pour tenir compte du comportement des API, la solution devait être facile à déployer.

Après avoir évalué trois solutions, Haim Inger a choisi la solution Akamai API Security basée dans le cloud. « Je m'attendais à ce que le déploiement prenne des mois, mais à mon grand étonnement, nous l'avons intégré à F5, Splunk et à toutes nos API en seulement quatre jours », explique Haim Inger.

Immédiatement après le déploiement d'API Security, Clal s'est rendu compte de sa valeur. Contrairement aux solutions qui obligeraient l'équipe de sécurité de Clal à examiner chaque API et à rédiger des règles favorisant uniquement le comportement souhaité, la solution Akamai inventorie et évalue automatiquement l'état de l'écosystème d'API de Clal.

« Nous n'avons rien eu à faire pour comprendre l'état de notre parc d'API. Après avoir ingéré des données tokenisées sur nos API, la solution Akamai a automatiquement fourni des informations sur ce qui devait être corrigé et sur la manière de le faire », explique Haim Inger.

Depuis l'inventaire et l'analyse initiaux des API de Clal, Akamai API Security inventorie et analyse continuellement l'écosystème. « Le processus de détection est très important car il fournit une vision continue des API utilisées et de leur mode d'utilisation, et nous permet de fermer les API qui ne sont plus utilisées », explique Haim Inger.

La solution Akamai met également en évidence les vulnérabilités et les anomalies et les signale en permanence grâce à un audit des risques et à une analyse comportementale. Parmi les exemples, citons le transfert non sécurisé de données de cartes de crédit au sein d'une API, ou l'utilisation non autorisée d'une API par un partenaire de technologie financière. Dans tous les cas, API Security permet à Clal de s'assurer qu'aucune de ses API n'est un vecteur d'attaque.

Inger et son équipe ont également apprécié la possibilité de jumeler la solution avec API Security ShadowHunt,un service géré de recherche de menaces qui s'appuie sur les analystes experts d'Akamai spécialisés dans la recherche de menaces ciblant les API. 

« Nous sommes alertés, par exemple, sur des schémas inhabituels dans la manière ou la fréquence d'accès à nos API. Ces notifications nous permettent de remédier immédiatement à toute vulnérabilité et d'empêcher l'accès aux données de nos clients et leur compromission », explique Haim Inger.

Une vision précise de l'écosystème d'API et des notifications instantanées sur les problèmes potentiels contribuent non seulement à renforcer la posture de sécurité de Clal, mais aussi à consolider les partenariats et à assurer la continuité des activités. « Auparavant, nous fermions simplement notre ligne d'affaires avec un partenaire de technologie financière qui était attaqué. Aujourd'hui, nous pouvons remédier à la vulnérabilité des API et conserver nos partenariats importants », explique Haim Inger.

Maintenant dans leur deuxième année d'adoption d'API Security et de ShadowHunt,   Inger et son équipe sont satisfaits. « La solution et le service tiennent leurs promesses. De plus, API Security étant basé dans le cloud, nous n'avons pas besoin de le maintenir ou de le mettre à jour », poursuit Haim Inger.

Aussi, la vue à 360° qu'Akamai fournit sur les environnements de développement et de production de Clal, ainsi que les alertes de sécurité, sont inestimables. « Akamai nous aide à garantir la meilleure sécurité possible dans notre environnement API », conclut Haim Inger. 

Clal Holdings est une société détentrice qui détient principalement Clal Insurance and Finance et la société de cartes de crédit MAX. Les actions de Clal Insurance Enterprises Holdings sont détenues par le public, sans actionnaire majoritaire, et sont négociées à la Bourse de Tel-Aviv. Alrov Real Estate and Hotels Ltd. détient 14,1 % des actions de la société, tandis que Phoenix Group en détient 7 %, Harel Group 6,6 % et M. Shalom Shai (Dona Engineering & Construction Co. Ltd.) 5,1 %. En termes de primes brutes acquises, la part de marché du groupe est de 15 % du marché de l'assurance (en 2022), et le volume des actifs qu'il gère dépasse 332 milliards de NIS (en septembre 2023). En mars 2023, Clal a racheté Max à Warburg Pincus, un fonds d'investissement américain, et à ses partenaires. Le groupe Clal opère dans plusieurs domaines de l'assurance et de l'épargne à long terme, tels que les fonds de pension, de prévoyance et de formation continue, l'assurance générale (automobile et habitation), l'assurance maladie et les cartes de crédit. En outre, le groupe exerce une activité unique parmi les compagnies d'assurance dans le domaine des hypothèques et de l'assurance-crédit. Depuis 2023, le groupe est également actif dans le secteur des cartes de crédit. Le groupe Clal possède des agences d'assurance, des fonds de pension, des fonds de prévoyance, des fonds de formation et une société d'assurance-crédit. En décembre 2022, le groupe compte 4 403 employés au sein de Clal Insurance and Finance et des agences d'assurance, et 1 337 employés au sein de Max. Tout compte fait, Clal est l'un des principaux groupes d'assurance et d'épargne à long terme d'Israël.