BLOG

Cinq domaines dans lesquels une meilleure protection des API renforce la sécurité dans les services financiers

Miniature de Joshua Goldfarb
Josué Goldfarb
Publié le 20 septembre 2023

La sécurité des API est un sujet brûlant aujourd’hui et pour une bonne raison. Si nous y réfléchissons, la plupart des organisations de services financiers ressemblent davantage à des entreprises technologiques. Ils sont constamment poussés à innover, à suivre le rythme des FinTechs qui repoussent les limites pour répondre aux demandes numériques des clients, voire à s’associer à elles. L’écosystème de services financiers évolué qui en résulte, qui intègre les FinTechs via des API, a conduit à une croissance significative du mouvement financier ouvert. Cela rend les institutions de services financiers plus dépendantes que jamais des API pour mener à bien leurs activités.

Sans surprise, à mesure que les banques ont pris conscience de l’importance des API, les attaquants ont également pris conscience de cette importance. Les API critiques pour l’entreprise sont constamment ciblées par les attaquants, qui se rendent compte qu’ils peuvent tirer profit ou bénéficier d’une autre manière de l’exploitation, de l’abus et/ou de la compromission des API. Dans le même temps, la surface d’attaque s’est considérablement élargie ces dernières années. Cela est dû en grande partie à la complexité accrue et à la difficulté accrue de gérer les environnements hybrides et multi-cloud qui ont envahi l’industrie. Tout cela crée des impacts commerciaux importants sous la forme de violations de données à grande échelle, de problèmes de conformité et d’amendes réglementaires.

Les nouvelles ne sont évidemment pas toutes mauvaises. Lorsque les organisations de services financiers travaillent avec un partenaire de confiance, elles peuvent mieux se protéger contre les menaces pesant sur leurs API. Examinons cinq domaines dans lesquels le bon partenaire de confiance peut contribuer à améliorer la sécurité des API.

  1. Développement: Les équipes de développement sont confrontées à un défi de taille. D’une part, ils sont confrontés à des délais stricts pour développer les fonctionnalités requises et les faire fonctionner. D’autre part, ils développent des API en fonction des exigences définies par l’équipe de sécurité. Il n’existe cependant aucun moyen réel de faire respecter ces exigences ou de les vérifier de quelque façon que ce soit. Bien sûr, le code peut être audité et révisé, mais il s’agit d’un processus fastidieux et chronophage, sujet aux erreurs humaines et aux oublis. Il s’agit également d’un processus qui passe le plus souvent au second plan par rapport à d’autres priorités brûlantes. Dans la plupart des entreprises, les développeurs sont généralement beaucoup plus nombreux que les professionnels de la sécurité, ce qui crée un problème d’échelle. Par conséquent, les bugs, les oublis et les vulnérabilités traversent le processus de développement et se retrouvent dans les API de production. Seule l’automatisation peut aider à faire évoluer les contrôles de sécurité, en évitant que l’équipe de sécurité ne fasse obstacle et ne ralentisse le rythme requis par l’entreprise. Travailler avec un partenaire de confiance pour appliquer automatiquement les schémas, les normes et les politiques est une meilleure solution.
  2. Contrôle d'accès : Croyez-le ou non, contrôler qui a quel accès aux API reste un défi. Si l’on considère la complexité des entreprises modernes, cela n’est peut-être pas si difficile à croire. La plupart des entreprises disposent de deux ou plusieurs fournisseurs de cloud, ainsi que d’environnements sur site et/ou de centres de données. En général, plusieurs équipes sont nécessaires pour gérer les piles de réseau, de technologie, de développement et de sécurité dans chacun de ces emplacements disparates. Il n’est donc pas surprenant que le contrôle (et la surveillance) de l’accès aux API soit devenu un sérieux défi. En fait, quatre des 10 meilleurs API Security de l'OWASP 2023 sont liés à l'authentification/autorisation. Le bon fournisseur de confiance peut contribuer à apporter de la simplicité à la complexité et du calme aux personnes dépassées. Cela permet à l’entreprise de se concentrer pleinement sur l’exploitation, la maintenance et la sécurisation de ces environnements, y compris un contrôle d’accès approprié.
  3. API malveillantes : Parfois, les processus formels prennent leur temps et les développeurs mettent en place de nouvelles infrastructures et de nouveaux points de terminaison pour respecter un délai de développement. Ou peut-être que l’infrastructure et les terminaux sont passés entre les mailles du filet et n’ont jamais été correctement inventoriés, gérés, surveillés et sécurisés. Quelle que soit la raison, des API malveillantes existent. Lorsqu’une API n’est pas connue, elle ne peut pas être inventoriée, gérée, surveillée et sécurisée. Un bon partenaire de confiance aidera l’entreprise non seulement à détecter les API inconnues, mais également à les sécuriser.
  4. Le WAF ne suffit pas : Il ne fait aucun doute que les pare-feu d’applications Web (WAF) sont un élément essentiel d’une pile de sécurité. Les WAF offrent une protection importante contre une grande variété de menaces. Mais ils n’ont jamais été conçus pour servir de solution miracle à toutes les sortes d’attaques lancées quotidiennement contre les API. De plus, les API évoluent rapidement, ce qui signifie qu’elles prennent en charge des classes de vulnérabilités entièrement nouvelles que les contrôles de sécurité peuvent ignorer. Aucune offre de partenaire de confiance n'est complète si elle ne fournit pas, en plus et intégrée au WAF , des fonctionnalités sophistiquées pour identifier et atténuer les vulnérabilités des API.
  5. Attaques sophistiquées : L’époque où les applications étaient ciblées par des attaques connues et courantes est révolue. Les attaquants sophistiqués lancent des attaques sophistiquées, à savoir celles qui passent inaperçues pour exposer des flux commerciaux sensibles, extraire des données, provoquer des fraudes, supprimer des applications et ruiner des réputations. Cela inclut à la fois les attaques manuelles et les attaques automatisées (bot). L’identification, la détection et l’atténuation de ces types d’attaques sophistiquées nécessitent un savoir-faire spécialisé. La défense contre les attaques les plus sophistiquées doit faire partie de l’offre de sécurité API de tout partenaire de confiance.

Cette liste n’est bien sûr pas exhaustive. Chaque organisation de services financiers doit revoir son registre des risques pour comprendre quels risques et menaces sont susceptibles d’avoir le plus grand impact sur l’entreprise. Ceux qui sont susceptibles d’avoir un impact plus grave peuvent se voir accorder une priorité plus élevée. Il est toutefois important de noter que de nombreux dirigeants ne savent peut-être pas comment évaluer le plus efficacement possible l’étendue réelle du risque de sécurité des API. C’est pourquoi il est d’autant plus important de travailler avec le bon partenaire. Les risques liés à la sécurité des API devraient, idéalement, figurer assez haut sur la liste, ce qui en fait un sujet prioritaire qui mérite un investissement. Cela implique de travailler avec le bon partenaire qui comprend l’importance de la sécurité des API et apporte avec lui les bonnes solutions.

Pour en savoir plus, consultez le site Cybersécurité pour les services bancaires et financiers .