Le principal défi de la transformation digitale : la sécurité des APIs

Conscients du rôle majeur des APIs dans la modernisation et la transformation digitale des entreprises, il nous semble essentiel de revenir aujourd’hui sur les problématiques de sécurité des APIs.

L’importance de l’API

La transformation digitale d’une entreprise est la capacité de cette dernière d’intégrer de façon dynamique la technologie numérique dans tous les secteurs de son activité. Cette transformation digitale demande d’adresser aux bons utilisateurs la bonne donnée au travers d’une application. Pour beaucoup d’entreprises, leurs partenaires ou sous-contractants ont besoin de connaitre en temps réel des données tels que les prix, les stocks des produits etc…

L’API peut offrir les mêmes fonctionnalités qu’une interface graphique. Si on souhaite une API c’est que l’on n’imagine pas un humain qui manipule l’interface mais un programme automatisé. Prenons l’exemple du Cloud et de l’auto-scaling. Une personne qui héberge une application souhaite le faire d’une manière automatisée. Si le trafic devient trop important, il faut, au travers d’un orchestrateur, invoquer de nouvelles instances de l’application et les configurer automatiquement. Un administrateur ne peut pas humainement être derrière le clavier Un administrateur ne peut pas humainement être derrière un clavier 24h/24 et 7j/7 afin de réagir en cas de pic de charge. Les entreprises doivent donc être en mesure à la fois de fournir des interfaces pour qu’une donnée soit requêté automatiquement, mais aussi pour agir sur le système qui est mis à disposition. Et c’est là que l’API fait son entrée due à ce besoin d’automatisation en temps réel.

La sécurité nécessaire des APIs

Bien que la transformation numérique soit considérée comme bénéfique pour de nombreuses entreprises, celles-ci font face à un nouveau défi, puisqu’elles doivent désormais sécuriser cette nouvelle architecture informatique, les applications et les opérations qui se mettent en place.

Les entreprises appliquent actuellement le même modèle. Cependant, à mesure que le nombre d’APIs et d’applications web augmente sous l’effet de la transformation numérique, le risque d’avoir des failles au niveau des codes et des vulnérabilités exploitables par les pirates informatiques devient lui aussi de plus en plus élevé.

Les entreprises doivent impérativement procéder à une transformation numérique sécurisée. En effet, elle doit pouvoir garantir à l’utilisateur, une navigation sure, dans un environnement contrôlé dans lequel les données de l’utilisateur resteront privées et sécurisées. On constate que lors du développement d’applications et de codes internes, la précipitation augmente le risque de vulnérabilité. Pour faire face à la prolifération des menaces, la sécurité des APIs est primordiale.

Chef de produit chez Rohde & Schwarz Cybersecurity, Edouard Viot explique : « D’une manière générale, lorsqu’on parle « d’API Abuse », d’attaque sur les APIs, la plus grosse erreur est de faire confiance au logiciel client. Même s’il s’agit d’une application mobile, le pirate peut analyser son trafic réseau, que ce soit pour tricher sur son score à un jeu, mais aussi sur une application B2B pour modifier un prix, accéder aux données d’autres clients. Protéger des APIs et des sites Web présente quelques différences. Certaines vulnérabilités qui existent sur un site Web n’ont pas beaucoup de sens sur des APIs. Ainsi, l‘injection de code JavaScript des attaques Cross-Site Scripting (XSS) n’a pas d’effet sur les APIs car il n’y a pas de navigateur Web pour interpréter ce code. Par contre, d’autres vulnérabilités Web, comme l’injection SQL, existent aussi côté API. »

Protéger ses APIs à l’aide d’un WAF

R&S® Web Application Firewall, solution de pare feu applicatif Web de Rohde & Schwarz Cybersecurity, dispose de briques de gestion d’identifié assurant l’authentification des appelants. Il analyse aussi le contenu des requêtes adressées aux API. Doté de moteurs qui protègent contre les attaques Web, il comprend également des mécanismes de protection spécifiques aux APIs, soit pour les APIs développées par l’entreprise, soit des APIs non maîtrisées par l’entreprise avec un « parsing » de la donnée entrante de n’importe quel format, qu’il s’agisse de XML, REST, SOAP, Json, afin d’évaluer si la donnée envoyée correspond bien à la donnée attendue.

 

A propos de Rohde & Schwarz Cybersecurity

Rohde & Schwarz Cybersecurity est l’un des leaders en sécurité informatique qui protège les ressources numériques des entreprises et des institutions publiques au niveau mondial contre les cyberattaques. La société fournit des solutions innovantes de protection des données pour les environnements cloud, une sécuritéavancée pour les sites Web, les applications Web et les Web services, ainsi que le cryptage réseau, la sécurité des postes de travail et des appareils mobiles. Le portefeuille de produits certifiés et primés à de nombreuses reprises comprend également des pare-feu de nouvelle génération. Pour prévenir les cyberattaques de manière proactive plutôt que réactive, nos solutions informatiques de confiance sont développées selon l’approche de la sécurité by design.

Amaury le Roux - Marketing Assistant on Linkedin
Amaury le Roux - Marketing Assistant
Amaury est notre assistant marketing. Passionné par les nouvelles stratégies marketing, il participe activement à notre communication via notre blog, notre site web et nos réseaux sociaux. Il nous apporte tout son enthousiasme pour contribuer à la réussite de nos projets.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close