Sécuriser les intégrations API du secteur du voyage chez Dan Hotels

La chaîne Dan Hotels dispose de nombreuses intégrations basées sur des API qui soutiennent son système interne de veille stratégique, ainsi que d'une collection croissante d'API externes avec des partenaires du secteur du voyage, y compris les principaux sites Web de voyage comme Expedia et Booking.com, les agences de voyages en ligne (OTA) et divers autres fournisseurs et agents plus petits. Bien que bon nombre de ces fonctions API soient centralisées dans la plateforme de gestion des propriétés Silverbyte de la société, l'équipe de sécurité a constaté qu'elle manquait de visibilité sur les façons spécifiques dont les partenaires accédaient à ses systèmes et interagissaient avec eux, ou sur toute capacité à régir ces activités. Après une frayeur lorsque deux des partenaires de voyage de l'entreprise ont été compromis, l'équipe a décidé qu'une approche plus sophistiquée et proactive de la sécurité des API était nécessaire. « Lorsque nous avons enquêté sur l'incident avec nos partenaires, nous avons réalisé à quel point nous avions peu de contrôle sur la façon dont nos API sont utilisées. Il était clair que des partenaires moins sûrs pouvaient mettre nos systèmes en danger », explique Yossi Gabay, vice-président des systèmes d'information chez Dan Hotels. Cette expérience a renforcé le sentiment d'urgence de l'entreprise à mettre en œuvre un ensemble plus sophistiqué de capacités de sécurité des API.

L'équipe technologique de Dan Hotels est confrontée quotidiennement à de nombreuses pressions concurrentes, couvrant la cybersécurité et d'autres fonctions opérationnelles critiques. C'est pourquoi elle recherchait une solution permettant de réduire les risques liés aux API sans pour autant submerger l'équipe de bruit et d'efforts manuels. Il était également important que l'approche aille au-delà des attaques évidentes pour couvrir des formes plus nuancées d'exploitation d'API provenant de partenaires.

Le modèle logiciel en tant que service (SaaS) d'API Security a permis à Dan Hotels d'obtenir une implémentation initiale en quelques heures. « L'intégration a été très facile, sans aucune friction inutile », note Yossi Gabay. « Nous n'étions pas surchargés de nouvelles tâches, il n'y avait donc aucune interférence avec nos opérations quotidiennes. » Une fois le système opérationnel, l'équipe API Security a collaboré avec l'équipe Dan Hotels pour affiner les sources de données et la configuration afin de répondre aux objectifs uniques de l'entreprise.

Étant donné que l'entreprise se concentre sur la détection des abus, les capacités d'analyse comportementale d'API Security la distinguent des autres options disponibles sur le marché. La plateforme API Security a pu cartographier les relations entre les utilisateurs et les ressources de l'API de la chaîne hôtelière, fournissant ainsi un contexte précieux. « Plutôt que de se concentrer uniquement sur le blocage des attaques, API Security a pu nous aider à comprendre ce qui se passait réellement et à nous concentrer sur les comportements indésirables qui, autrement, seraient passés inaperçus », explique Yossi Gabay.

L'équipe de Dan Hotels a également été très impressionnée par la capacité d'API Security à présenter de grandes quantités d'informations sur l'activité des API et les menaces. « Lorsque vous n'avez pas d'informations, vous ne pouvez pas avoir de conversation ou résoudre les problèmes », explique Yossi Gabay. « Dès que vous comprenez ce qu'une API est censée faire et que vous comparez cela à ce qui se passe réellement, vous pouvez impliquer toutes les parties concernées pour résoudre les problèmes. »

Bien que Dan Hotels dispose d'une expertise interne en matière de sécurité, l'entreprise estime que le service géré de recherche des menaces d'API Security est très utile. « L'attention de notre équipe est souvent partagée entre la cybersécurité et le soutien aux activités génératrices de revenus. Il est donc très important pour nous de pouvoir engager un service géré qui nous alerte de manière proactive lorsque de nouveaux risques liés à l'API sont identifiés », explique Yossi Gabay. « Cela nous donne accès à des personnes à la pointe de ces questions de sécurité des API, également très engagées et avec lesquelles il est facile de travailler. »

Dan Hotels est une chaîne hôtelière de luxe basée en Israël. La société gère plus de 4 000 chambres réparties dans 18 hôtels en Israël et en Inde, ainsi qu'une série d'autres services d'accueil tels que des salons d'aéroport et des services de restauration.

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Grâce à la plateforme de traitement la plus distribuée au monde, du cloud à la bordure de l'Internet, nos clients peuvent facilement développer et exécuter des applications, tandis que nous plaçons les expériences au plus près des utilisateurs et éloignons les menaces. Pour en savoir plus sur les solutions de sécurité, de calcul et de diffusion d'Akamai, rendez-vous sur akamai.com/fr et akamai.com/fr/blog, ou suivez Akamai Technologies sur X (anciennement Twitter) et LinkedIn.