Pour fournir a ses clients et utilisateurs la meilleure experience virtuel possible, les strategies de developpement basees sur les API se sont multipliees. Mais quelles bonnes pratiques de securite adopter ?
On estime qu’actuellement une seule transaction sur le web ou dans votre smartphone transite en moyenne via 35 systemes ou composants technologiques differents, contre 22 il y a seulement cinq ans.
Mes API (ou interface de programmation d’applications) seront desormais au c?ur du fonctionnement du internet : application meteo, systeme de navigation, comparateur de prix tout transite par des API. Toutefois, connecter des prestations necessite d’echanger de informations. quelquefois critiques. La politique de securisation des API est-elle optimale ? Mes dernieres fuites de donnees chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors comment tirer pleinement profits des benefices offerts par les API bien en securisant nos informations des entreprises ainsi que leurs utilisateurs ?
Multiplication des API et “go to market”
Selon Gartner, “Les API sont de nos jours au c?ur de l’architecture des applications car elles peuvent permettre une integration sans couplage extri?mement et aident au fonctionnement des applications mobiles ainsi que nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et Notre flexibilite necessaires et peuvent permettre une mise dans le marche plus rapide de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, il suffit de les integrer. Dans un monde ou la technologie evolue constamment pour satisfaire aux minichat besoins des consommateurs et des utilisateurs, la capacite a fournir des prestations promptement et a moindre cout est vitale.
Mecanisme de communication preponderant et incontournable concernant toute boutique en phase de transformation digitale, les API s’appuient non seulement via des precisions publiques mais egalement sur des donnees privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve aussi une question incontournable, comment assurer un acces permanent a toutes les informations peu importe le lieu et le device en toute marketing ?
Selon votre audit dans J’ai securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et la situation est tres similaire pour les API.
Une fuite de informations silencieuse
J’ai grande majorite des attaques API restent invisibles et ne semblent, du coup, detectees que tres un certain temps apres, pourtant lorsqu’une API mal securisee conduit a une violation de donnees, nos consequences paraissent reellement dommageables.
En septembre 2018, Facebook a fait l’objet d’un detournement massif de donnees qui possi?de affecte environ 50 millions de comptes. Pire i nouveau, ils ont admis qu’ils ne savaient nullement quel type d’informations avait ete vole a Notre suite de votre breche. J’ai vulnerabilite proprement dit, qui possi?de enfile 20 mois avant d’etre detectee et corrigee, etait due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est pas une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Mes services postaux americains ont egalement connu des desagrements, en novembre 2018, suite a une vulnerabilite d’authentification au sein d’ l’API de suivi du courrier qui a permis a toute personne possedant un compte de visualiser les informations d’autres comptes. Notre aussi annee, un manque de securisation d’une API utilisee avec Salesforce a expose les coordonnees de la clienti?le et les donnees des prospects.
Les API non securisees peuvent servir de porte derobee a une application ? securisee, une authentification robuste par rapport i l’API est donc essentielle.
Et si le CIAM etait la reponse ?
Porte par la generalisation des prestations cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne aux problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle d’une transformation numerique des entreprises. J’ai securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie ou autre sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central en securisation des API, qui permet a une application d’obtenir un acces limite a une ressource pour le compte d’un utilisateur. Plusieurs applications necessitant une securite forte utilisent deja le CIAM pour s’integrer a diverses types d’identites de tiers, comme des banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.
Par sa conception, le CIAM est en mesure de evaluer les politiques d’autorisation, construire nos profils d’identite et creer les attributs necessaires au fonctionnement des API tout en offrant une securite maximale.
[1] Source : Wavestone : Bilan une securite des sites web en France
