separateur

API : entre opportunités et insécurité

De plus en plus d’entreprises s’appuient sur des API publiques, partenaires ou privées. Objectif : gagner en efficacité. Revers de la médaille, des API mal configurées ou développées trop rapidement représentent aussi des portes ouvertes sur le réseau informatique des organisations.

Un Cloud n’est rien de plus qu’un regroupement d’API (interfaces de programmation) et de services. Cette combinaison permet de créer des plates-formes économiques, modulables et innovantes.  Nous sommes entrés dans une économie.

Publiée début 2018, une étude d’Imperva, menée auprès de 250 professionnels de la sécurité informatique, précisait qu’en moyenne, les entreprises gèrent 363 API différentes, et les deux tiers (69 %) exposent les API au public et à leurs partenaires. Pour 61 % des entreprises interrogées, elles sont essentielles à leur stratégie commerciale.

Elles sont même entrées dans les mœurs et nous en utilisons presque quotidiennement sans toujours sans nous en apercevoir. Elles sont en effet utilisées dans les traitements réalisés non seulement sur des données publiques (adresses d’agences, horaires des transports, etc.) mais aussi sur des données personnelles (tracking fitness, application Ameli et CAF, etc.) et des données sensibles (DSP2, achat en ligne, informations industrielles en mobilité, etc.).

Autant de données qui sont échangées en permanence. Seul bémol : la sécurité des données et la transparence opérationnelle restent des obstacles difficiles à gérer. Exploiter des données d’entreprise au travers d’API dans des environnements de cloud privé/public sans contrôles adéquats d’identité, d’accès, de vulnérabilité et de gestion de risque expose ces sources de données à de potentielles failles de sécurité.

Multiplication des failles de sécurité des API

La situation est d’autant plus préoccupante que la liste des entreprises dont les API présentent des vulnérabilités ne cesse de s’allonger. Les failles de sécurité dues à une mauvaise conception des API se sont multipliées ces dernières années. L’alerte avait pourtant été donnée en 2017. La catégorie des API pas assez sécurisées entrait pour la première fois dans le Top 10 de l’OWASP (Open Web Application Security Project).

Quelles sont les conséquences d’une faille au niveau d’une API ? Des cybercriminels peuvent infecter les réseaux des entreprises. Pas assez sécurisées, des API peuvent entrainer des fuites de données. Avec l’entrée en vigueur en mai 2018 du RGPD, les entreprises doivent donc mettre en place des procédures adaptées.

Ce règlement impose notamment la notion de Privacy by design. En un mot, dès la conception d’une application, d’un site web, d’un objet connecté et donc d’une API, les développeurs (en étroite relation avec les autres métiers, et en particulier le marketing) doivent limiter le traitement aux seules données personnelles « strictement nécessaire à leur activité ». Il convient également de s’assurer de leur confidentialité.

Mais la sécurité des API est compliquée à mettre en œuvre. Bien qu’il existe des tendances de conception communes à de nombreuses API, chaque infrastructure d’API fonctionne différemment même si la plupart utilisent l’architecture REST (Representational State Transfer) ou le protocole SOAP (Simple Object Access Protocol).

Il n’y a pas de « solution miracle » qui fonctionnera pour chaqu’une d’elle. Il faut de la méthode afin de mettre en place des processus de sécurité adaptés en fonction de l’architecture retenue pour accéder à un service web.

Une approche multicloud

Un certain nombre de fournisseurs offrent un large éventail de fonctionnalités de gestion des API dans le cloud. Mais comme les entreprises optent de plus en plus pour le multicloud, il n’est pas recommandé de se baser sur les outils d’un seul fournisseur. Si votre API se connecte à une application tierce, vous devez aussi vous intéresser à la manière dont cette application redistribue les informations vers Internet.

Pour la délégation des accès, il existe une norme ouverte nommée OAuth (Open Authorization). Elle permet aux utilisateurs d’accorder à des tiers l’accès à des ressources web sans avoir à partager leurs mots de passe.

Au final, les sécuriser nécessite une succession d’ingrédients allant du plus basique jusqu’au plus élaboré tout en tenant compte du besoin et du contexte. Elles doivent être gérées, gouvernées et sécurisées avec fondamentalement les mêmes politiques sur les différentes plateformes et entités du domaine.

Toutes les entreprises devraient appliquer ces règles de base pour renforcer la sécurité de leurs API :

  1. Renforcer l’authentification des utilisateurs
  2. Chiffrer les clés de l’API
  3. Limiter le taux de déploiement
  4. Les identifier

Rappelons que la sécurité doit être globale pour être efficace !

Ensemble sécurisons vos données

Dans la même catégorie