Un fournisseur de logiciels RH innovants sécurise ses API

Depuis 2015, HiBob a pour mission de transformer le fonctionnement des entreprises dans le monde du travail actuel. L'entreprise innovante permet cette transformation et offre l'environnement de travail de demain avec sa plateforme RH, Bob. Bob intègre toutes les complexités des processus RH dans un outil convivial et révolutionnaire qui profite à chaque employé de l'entreprise. Les entreprises qui utilisent Bob sont en mesure d'accélérer le recrutement, de retenir les meilleurs talents et d'accroître l'engagement des employés. En fournissant de telles capacités de transformation, la société a pu dépasser les 100 millions de dollars américains de chiffre d'affaires récurrent annuel moins de trois ans après avoir franchi la barre des 10 millions de dollars américains . Lorsque la société a reconnu la nécessité de renforcer la sécurité du développement et du déploiement des API, elle a trouvé la solution idéale : API Security d'Akamai.

Comme de nombreux innovateurs du secteur, HiBob adopte un processus de développement rapide fondé sur des API. Cette approche agile permet de proposer en permanence des fonctionnalités nouvelles et mises à jour à ses clients, qui sont plus de 3 500. Cependant, avec les changements incessants qui se produisent dans l'environnement de l'entreprise, la sécurité devient une tâche plus difficile. Conscient de la nécessité de combler cette lacune potentielle, HiBob a confié à ses développeurs et à ses équipes DevOps la responsabilité de la sécurité au même titre que son équipe dédiée.

Bien que ce fût une étape importante dans l'amélioration de sa position en matière de sécurité, HiBob avait également besoin de soutenir son équipe de sécurité, ses développeurs et ses équipes DevOps avec une meilleure compréhension du patrimoine API de l'entreprise. Comme l'explique Tamir Ronen, RSSI mondial chez HiBob, les entreprises utilisent les API comme principale technologie pour connecter les services et transmettre les données, mais de nombreuses entreprises ont du mal à sécuriser leurs API.

« Les attaques d'API ne sont pas basées sur des modèles. Par conséquent, les pare-feux d'applications Web (WAF) fournissent peu d'informations et une sécurité limitée en ce qui concerne la logique métier au cœur des API. De plus, les WAF ne sont pas utiles lorsqu'une nouvelle logique métier apparaît dans un nouveau processus », explique-t-il.

Les données sensibles des clients étant transférées via ses API, M. Ronen a vu le besoin d'une solution de sécurité conçue pour comprendre la logique métier des API et le transfert de données. « Une entreprise en pleine expansion comme la nôtre a besoin d'une meilleure visibilité sur ses API et d'un moyen de comprendre comment apporter et déployer des changements à la logique métier en toute sécurité », poursuit-il.

M. Ronen a trouvé la solution idéale : Akamai API Security. Selon lui, la caractéristique la plus importante est le chiffrement des données. « Nous pouvons chiffrer les données envoyées à Akamai Connected Cloud sans risquer de les exposer à des tiers. API Security apprend en toute sécurité l'utilisation des API et la logique métier en fonction des valeurs de hachage des données », explique-t-il.

Il apprécie également la fonctionnalité de détection des API, qui détecte les API non protégées et affiche une liste fréquemment mise à jour de ces API. « Dans un environnement au rythme rapide, la détection est essentielle, car une erreur dans le processus de développement peut créer une brèche si une API renvoie une charge utile avec des données qui ne devraient pas être là. Il en va de même pour les points de terminaison fantômes qui peuvent être des intermédiaires potentiels pour les risques qui évoluent en dehors de notre radar. »

La capacité d'analyse comportementale, qui détecte les menaces et l'exploitation de logique sur l'ensemble des API HiBob, et déclenche des réponses pour les atténuer, est tout aussi importante. « L'analyse comportementale est essentielle pour suivre les problèmes liés aux API dans notre environnement en constante évolution », explique M. Ronen.

De même, la possibilité de tirer parti d'API Security ShadowHunt, un service géré de recherche de menaces optimisé par les analystes experts d'Akamai spécialisés dans la recherche de menaces API, est primordiale.

Après un simple déploiement d'API Security, HiBob a compris son potentiel dès le premier jour. « Rien que la visibilité sur notre portefeuille d'API était incroyable », explique M. Ronen.

De plus, l'analyse comportementale s'est rapidement avérée bénéfique. Il est important pour HiBob de comprendre si quelque chose de suspect se produit dans les flux de travail de l'entreprise. Avec API Security, l'entreprise a pu créer une base de référence d'actions acceptables pour les utilisateurs. « Nous sommes automatiquement alertés de toute action dépassant cette base de référence, ce qui nous incite à enquêter. Non seulement nous savons quand faire le suivi d'un problème, mais nous avons réduit le temps d'analyse des problèmes et événements liés aux API de 25 % depuis que nous utilisons API Security », poursuit-il.

En outre, en travaillant en étroite collaboration avec les experts en recherche des menaces d'Akamai , M. Ronen et son équipe ont créé une alerte pour être averti si quelqu'un contourne le WAF de l'entreprise lorsqu'un appel API est effectué à partir d'une API publique.

Mais ce n'est pas tout. La solution Akamai aide les équipes de sécurité et DevOps à se réunir autour d'un langage commun en matière de sécurité des API sur le réseau et les points de terminaison. Ainsi, lorsque l'équipe de sécurité transmet des détails et des statistiques d'API Security sur le comportement d'une API donnée par rapport à l'utilisation des points de terminaison et au flux de données, l'équipe de développement peut réagir immédiatement. « Akamai API Security nous a aidés à sécuriser notre important parc d'API tout en favorisant une collaboration encore plus étroite et améliorée entre nos équipes de sécurité et de développement », conclut M. Ronen.

HiBob a pour mission de transformer la façon dont les entreprises fonctionnent dans le monde du travail actuel avec sa plateforme RH Bob. Ouvrant la voie vers l'environnement de travail de demain, Bob offre une technologie résiliente et agile qui intègre toutes les complexités des processus RH dans un outil convivial et révolutionnaire qui bénéficie à chaque employé de l'entreprise.

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche les expériences et les applications des utilisateurs tout en éloignant les menaces. Pour en savoir plus sur les solutions de Cloud Computing, de sécurité et de diffusion de contenu d'Akamai, rendez-vous sur akamai.com/fr et akamai.com/fr/blog, ou suivez Akamai Technologies sur X, (anciennement Twitter), et LinkedIn.