Pour fournir a ses clients et utilisateurs la meilleure experience numerique possible, les strategies de developpement basees sur les API se sont multipliees. Mais quelles bonnes pratiques de securite adopter ?
On estime qu’actuellement une seule transaction via le web ou via un smartphone transite en moyenne via 35 systemes ou composants technologiques differents, contre 22 depuis juste cinq ans.
Les API (ou interface de programmation d’applications) paraissent desormais au c?ur du fonctionnement du web : application meteo, systeme de navigation, comparateur tarifaire bien transite avec des API. Toutefois, connecter des services necessite d’echanger de donnees. quelquefois critiques. Notre politique de securisation des API est-elle optimale ? Mes dernieres fuites de precisions chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors De quelle fai§on tirer pleinement profits des benefices offerts via nos API tout en securisant nos donnees des entreprises et de leurs utilisateurs ?
Multiplication des API et “go to market”
Selon Gartner, “Mes API paraissent maintenant au c?ur de l’architecture des applications car elles permettent une integration sans couplage vraiment et aident au fonctionnement des applications mobiles ainsi que nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et Notre flexibilite necessaires et peuvent permettre une mise sur le marche plus rapide de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, il faut juste des integrer. Dans un monde ou la technologie evolue constamment pour satisfaire aux besoins des consommateurs et des utilisateurs, la capacite a fournir des services rapidement et a moindre cout reste vitale.
Mecanisme de communication preponderant et incontournable pour toute boutique en phase de transformation digitale, les API s’appuient non seulement concernant des donnees publiques mais egalement via des donnees privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve aussi une question incontournable, De quelle fai§on assurer un acces permanent aux donnees quel que soit la zone et le device en toute marketing ?
Selon 1 audit via J’ai securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et ca est tres similaire pour les API.
Une fuite de informations silencieuse
Notre grande majorite des attaques API restent invisibles et ne sont, de fait, detectees que fort longtemps apres, pourtant lorsqu’une API mal securisee conduit a une violation de donnees, des consequences seront extremement dommageables.
En septembre 2018, Facebook a fait l’objet d’un detournement massif de precisions qui a affecte plus de 50 millions de comptes. Pire i nouveau, ils ont admis qu’ils ne savaient gui?re quel type d’informations avait ete vole a Notre suite de votre breche. La vulnerabilite proprement dit, qui possi?de mis 20 mois avant d’etre detectee et corrigee, est due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est gui?re une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Les services postaux americains ont egalement connu certains desagrements, en novembre 2018, suite a une vulnerabilite d’authentification au sein d’ l’API de suivi du courrier qui possi?de permis a toute personne possedant un compte de visualiser les precisions d’autres comptes. La aussi annee, une absence de securisation d’une API utilisee par Salesforce a expose les coordonnees de la clienti?le et les donnees des https://datingmentor.org/fr/countrymatch-review/ prospects.
Les API non securisees peuvent servir de porte derobee a une application ? securisee, une authentification robuste par rapport i l’API est donc essentielle.
Et si le CIAM etait la reponse ?
Porte par la generalisation des prestations cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne a toutes les problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle en transformation virtuel des entreprises. Notre securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie entre autres sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central une securisation des API, qui permet a une application d’obtenir un acces limite a une ressource concernant le compte d’un utilisateur. Plusieurs applications necessitant une securite forte utilisent deja le CIAM pour s’integrer a plusieurs types d’identites de tiers, comme nos banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.
Par sa conception, le CIAM pourra evaluer les politiques d’autorisation, construire les profils d’identite et creer les attributs necessaires au fonctionnement des API tout en offrant une securite maximale.
[1] Source : Wavestone : Bilan d’la securite des e-boutiques internet en France