Dans l'économie numérique, où les flux de données et l'orientation client déterminent les processus métier des entreprises, les API occupent une place cruciale. Ils donnent accès aux données, systèmes et composants logiciels pertinents. Cependant, cela en fait également une cible intéressante pour les pirates. L'heure est à la confiance zéro dans les API.
Les pirates tentent de voler des données telles que des noms, des numéros de compte, des adresses e-mail et physiques en attaquant les API et le trafic API. Cependant, de par leur nature même, sécuriser les API et les intégrer dans une stratégie Zero Trust présente divers défis pour les organisations qui ont besoin de repenser leur approche de la sécurité.
Les pirates aiment attaquer les API
"C'est incroyable de voir combien de pilotes, même en Formule 1, pensent que les freins sont là pour ralentir la voiture." Avec cette boutade, le pilote de course Mario Andretti a un jour souligné le fait que les freins, au-delà de leur objectif évident, sont aussi là pour contrôler l'inclinaison et le poids d'une voiture et ainsi optimiser les virages. De même, l'application des politiques de sécurité informatique devrait idéalement affiner les processus sous-jacents plutôt que de les rendre plus compliqués et donc plus frustrants pour les utilisateurs.
Il existe des API partout où le parcours utilisateur doit être accéléré, simplifié ou amélioré : par exemple, pour effectuer des paiements par carte de crédit dans les processus de commande numériques, ou pour effectuer la maintenance à distance et les mises à jour des appareils. Selon l'affirmation, la sécurité devrait être "à bord" dans des scénarios d'application comme ceux-ci dès le départ, mais la réalité montre que les pirates utilisent les API à mauvais escient à leurs propres fins. Cela se produit encore et encore en raison de processus d'authentification et d'autorisation inadéquats.
API sans authentification en cours d'utilisation
Par exemple, au printemps dernier, les experts en sécurité des API de Salt Security ont découvert une API chez John Deere, une entreprise connue pour ses tracteurs, entre autres, que les pirates pouvaient appeler pour déterminer si un certain nom d'utilisateur était utilisé. Les experts ont automatisé une routine de requête qui leur a permis de déterminer en deux minutes laquelle des entreprises du Fortune 1000 avait des comptes John Deere, car l'API n'exigeait pas d'authentification ni ne limitait le nombre de requêtes. Environ 20 % des entreprises avaient un compte.
Un autre point de terminaison API a permis de soumettre un numéro d'identification de véhicule (VIN) et de récupérer une grande quantité de métadonnées sur l'appareil, le propriétaire et l'emplacement. Les pirates peuvent facilement obtenir des NIV sur des sites d'enchères généraux. Alors que l'API nécessitait une authentification, elle n'a pas réussi à autoriser correctement les expéditeurs de la demande d'API.
Aucune confiance tout au long du cycle de vie de l'API
Apparemment, la "Security by Design" en tant que base de la protection des données dans l'informatique est difficile à mettre en œuvre avec les API. Cela peut parfois être dû au fait que les processus de développement des API sont principalement basés sur des spécifications métiers et sont organisationnellement découplés des processus en sécurité informatique. Différents acteurs dans les entreprises développent et fournissent les API dont ils ont besoin pour leur objectif. Ou ils reprennent les interfaces d'autres entreprises. L'hypothèse selon laquelle ces API sont connectées à l'infrastructure réseau et donc à la structure de sécurité qui les entoure donne aux utilisateurs un faux sentiment de sécurité. Cependant, cela ne suffit généralement pas pour protéger les flux de données via les API à la fois à l'extérieur et à l'intérieur d'une entreprise.
Ce dernier nécessite notamment ses propres mesures de sécurité. Parce que tous les accès provenant de votre propre infrastructure ne sont pas automatiquement autorisés. Pour contrôler véritablement et efficacement les demandes, les technologies de sécurité doivent également prendre en compte les personnes, les processus et les schémas d'accès. De plus, le principe s'applique toujours : la confiance c'est bien, le contrôle c'est mieux. Zero Trust exige donc que chaque appareil et connexion s'authentifie à chaque fois qu'il est contacté afin d'obtenir un accès autorisé. Pour que cela réussisse de manière fiable avec les API également, des mesures de sécurité sont nécessaires tout au long du cycle de vie des interfaces. Pour éviter que les API ne deviennent des failles de sécurité, les entreprises doivent suivre ces cinq règles de base :
- Authentification et autorisation de bout en bout : Les processus associés ne doivent pas seulement avoir lieu directement au niveau de l'API ou de la passerelle. Ils doivent être répétés dans les applications sous-jacentes.
- Tirez parti des processus d'intégration continue/livraison continue : Les développeurs doivent vérifier comment ils peuvent intégrer les directives de sécurité dans leurs cycles de production et quels processus de validation ils peuvent automatiser avec CI/CD au cours de cela.
- Mettre en place des mesures de sécurité automatisées : Les équipes d'opérations de sécurité doivent s'assurer que les données échangées dans les communications API sont protégées tout au long de la transmission, à la fois au sein de l'infrastructure et avec d'autres systèmes. Pour ce faire, les processus doivent appliquer automatiquement des politiques, par exemple pour protéger les données contre l'accès où qu'elles se trouvent.
- Capturez tout de manière centralisée : Afin de mieux concilier sécurité informatique et développement d'applications, il est essentiel de consigner et d'analyser tous les processus et, si nécessaire, de vérifier les risques. L'endroit approprié pour cela est un référentiel central dans lequel les responsables peuvent suivre à tout moment tous les processus.
- Coopération avec la sécurité informatique : Les équipes de développement d'API doivent travailler avec les responsables de la sécurité informatique. Ensemble, ils peuvent déterminer l'efficacité des mesures existantes pour d'éventuels problèmes de sécurité des API et les étendre si nécessaire. Ils doivent également passer en revue divers scénarios de perte de données et élaborer un plan d'urgence. Dans tous les cas, il faut éviter une API shadow dont seuls les services qui l'utilisent connaissent l'existence.
Créer de la transparence et exercer un contrôle
La sécurité et l'échange de données peuvent représenter une contradiction, et cela vaut aussi et surtout pour les API : d'une part, les entreprises les utilisent pour décomposer les processus, ouvrir leurs structures, simplifier les processus pour les utilisateurs et étendre leur modèle économique. D'autre part, ils ne doivent pas perdre le contrôle du trafic de données à ce stade. Pour concilier les deux, les entreprises ont besoin de transparence. Toutes les personnes impliquées doivent s'assurer qu'elles connaissent et gèrent de manière fiable toutes les API qu'elles utilisent.
Les passerelles API peuvent les aider à découvrir automatiquement toutes les API de l'entreprise et à appliquer des politiques de sécurité. Une solution de gestion d'API efficace surveille qui utilise quelles API et alerte également le gestionnaire de tout comportement inhabituel ou suspect qui pourrait indiquer qu'une personne non autorisée est au travail. Les départements respectifs sont également impliqués dans la sécurité. En combinaison avec la gouvernance centralisée des API, les organisations peuvent intégrer la sécurité tout au long du cycle de vie d'une API et la protéger contre la falsification des communications non autorisées sans compromettre l'expérience utilisateur.
Plus sur Axway.com
À propos d'Axway
Axway donne un nouvel élan aux infrastructures informatiques existantes, aidant plus de 11.000 XNUMX clients dans le monde à s'appuyer sur ce qu'ils ont déjà et à réaliser la numérisation, de nouvelles opportunités commerciales et la croissance. La plate-forme de gestion d'API Amplify est la seule plate-forme ouverte et indépendante pour la gestion et la gouvernance des API entre les équipes, le cloud hybride et les solutions externes.