La multiplication incontrôlée des API désigne l’augmentation rapide et non maîtrisée du nombre d’API dans une organisation, due à la croissance exponentielle des API dans les architectures IT modernes et à leur utilisation dans des environnements numériques répartis à l’échelle mondiale. Cette explosion des API crée un défi croissant : En développant et déployant davantage d’API, souvent sans stratégie unifiée ni supervision centralisée, vous rendez leur gestion de plus en plus complexe. Nous recommandons d’établir un processus de gouvernance API et d’adopter les outils nécessaires pour relever les défis opérationnels et de sécurité majeurs que cette prolifération entraîne pour votre organisation.
Pourquoi la prolifération des API pose-t-elle problème ? L’adoption massive d’architectures modernes basées sur les microservices a largement favorisé la multiplication des API, qui relient les services modulaires et composants constituant les applications actuelles. Les API facilitent et accélèrent les cycles de développement en vous permettant d’intégrer facilement des données existantes, de réutiliser des fonctionnalités ou d’accéder à des services tiers, sans repartir de zéro.
De plus, 94 % des organisations déploient leurs applications dans plusieurs environnements, utilisant les API pour connecter la plupart de ces services et ensembles de données disparates, répartis sur des plateformes et emplacements variés. Cette fragmentation complique fortement la garantie d’une qualité, d’une visibilité et d’une sécurité uniformes des API. Pour beaucoup d’organisations, garder un inventaire API complet et actualisé est devenu un défi ardu.
Nous examinons ici les concepts clés de la gouvernance des API. Poursuivez votre lecture pour comprendre ce qu’est la gouvernance des API et en quoi elle se distingue de la gestion et de la sécurité des API. Vous découvrirez aussi les trois modèles de gouvernance des API et des stratégies éprouvées à adopter.
La gouvernance des API regroupe les politiques et normes qui définissent comment vous concevez, construisez, sécurisez, surveillez et entretenez vos API. Nous visons à garantir la qualité, la cohérence, la sécurité et la conformité réglementaire des API. Cela inclut tous les types d’API, celles que vous développez en interne ainsi que celles fournies par des partenaires ou prestataires tiers.
De plus, à mesure que vous adoptez des stratégies modernes API-first, qui conçoivent les applications en partant des services et des API, vous devez impérativement renforcer la gouvernance pour garantir cohérence, sécurité et conformité dès le niveau de l’API.
Nous devons gérer tout le cycle de vie des API en couvrant les aspects suivants :
Gouverner, gérer et sécuriser les API sont trois aspects étroitement liés mais distincts. Nous recommandons d’implémenter d’abord la gouvernance pour que vous déployiez les pratiques de gestion et de sécurité des API de façon cohérente.
La gestion des API consiste à appliquer des politiques de gouvernance des API en utilisant des outils comme un portail développeur, une passerelle API et un logiciel de gestion du cycle de vie des API. Nous regroupons souvent ces éléments au sein d’une plateforme de gestion d’API. Les politiques de gouvernance précisent à la fois les exigences pour les outils — par exemple, l’imposition de plateformes standardisées pour toutes les équipes — et les pratiques opérationnelles, comme la gestion des clés API et des identifiants.
La sécurité des API applique les exigences de sécurité et de conformité définies par les politiques de gouvernance des API. Certaines organisations utilisent des outils dédiés à la sécurité des API, mais vous constatez de plus en plus l’adoption de solutions de protection des applications web et des API (WAAP) pour bénéficier d’une protection plus large et intégrée. Les politiques de gouvernance définissent les exigences minimales de sécurité pour les API, incluant les contrôles de base à mettre en place et les directives de configuration, par exemple comment configurer les passerelles API, les WAF ou les solutions de protection API pour contrer toutes les formes d’attaques possibles. Elles prennent en compte les listes OWASP Top 10 des menaces pour les applications web, les API et les attaques automatisées, tout en encourageant les bonnes pratiques d’hygiène des API, telles que ne pas utiliser de clés API codées en dur ou incorporées dans le code source de bibliothèques clientes.
Nous distinguons trois modèles de gouvernance d'API : centralisé, décentralisé et application adaptative :
La gouvernance centralisée revient à une équipe centrale qui définit, examine et approuve toutes les politiques de gouvernance. Les avantages de cette méthode : elle garantit les politiques les plus strictes et assure une cohérence dans toute l’organisation. En revanche, une approche rigide et uniforme ne convient pas toujours ; elle freine les équipes de développement et pousse à des solutions de contournement ainsi qu’à l’apparition de « l’informatique fantôme ».
La gouvernance décentralisée offre aux équipes individuelles l’autonomie pour gérer leurs propres règles de gouvernance des API. Nous favorisons ainsi un développement accéléré et une flexibilité accrue, adaptés aux besoins spécifiques de chaque équipe. Pourtant, la décentralisation peut engendrer des politiques et contrôles des API désynchronisés dans l’organisation, ce qui complique l’intégration, génère des erreurs de configuration et crée des failles de conformité.
La gouvernance adaptative trouve un équilibre entre les deux modèles précédents. Une équipe centrale définit les politiques globales et gère l’infrastructure partagée, tandis que vous, en tant qu’équipe de développement, pouvez établir des politiques locales adaptées aux besoins spécifiques de vos applications et API. Cela inclut les exigences de conformité régionales, gouvernementales ou propres à un secteur. Dans la majorité des cas, la gouvernance adaptative combine les avantages des deux approches, en définissant clairement les politiques à suivre universellement tout en autorisant la flexibilité lorsque nécessaire.
F5 propose des solutions de gestion et de sécurité des API tout au long du cycle de vie des API, intégrées à la plateforme F5 Application Delivery and Security Platform (ADSP). La plateforme assure une livraison complète des API, associée à une découverte, une surveillance et une détection continues, ainsi qu’à des contrôles de sécurité pour appliquer des politiques essentielles qui garantissent un comportement conforme des API et les protègent contre les attaques. Nous proposons tout cela via une plateforme centralisée, vous offrant visibilité et gestion des politiques dans des environnements informatiques variés.