BLOG | BUREAU DU CTO

L'inversion de l'API est la transformation numérique dont les entreprises ont besoin pour participer et être compétitives dans une économie des API

Rajesh Narayanan Miniature
Rajesh Narayanan
Publié le 18 octobre 2022


Motivation, défis et opportunités

Les interfaces de programmation d’applications (API), et par conséquent l’économie des API, deviennent rapidement les catalyseurs de la transformation numérique. Bien que la plupart des entreprises comprennent le fonctionnement d’une API, rares sont celles qui l’ont adoptée comme moyen d’augmenter leur propre valeur commerciale. L’économie des API fait référence à tous les modèles commerciaux, pratiques et actifs qui stimuleront l’économie numérique à mesure que de plus en plus d’entreprises externaliseront leurs services via les API. Essentiellement, l’économie des API permet à une entreprise d’exposer en toute sécurité ses services et ses données, générant ainsi de la valeur pour l’entreprise.

Toutes les entreprises détiennent des données et fournissent des services associés qui ont intrinsèquement de la valeur, mais qui ne sont généralement disponibles qu’en interne à l’organisation. Mais pour participer et être compétitive efficacement dans cette économie des API, une entreprise doit également envisager de se transformer en inversant certaines de ces API. Dans le rapport « Comment les API créent de la croissance en inversant l’entreprise », Benzell et al. décrivent comment l’exposition des API privées augmente la valeur d’une organisation. Nous avons étendu l'expression à « Inverser l'API », un processus par lequel une entreprise externalise une API privée en la rendant disponible en tant qu'API partenaire ou publique .

Récapitulatif rapide sur les API

Les API permettent aux développeurs de créer des applications et des produits avec facilité et agilité. Ils facilitent l’intégration rapide de logiciels provenant de différentes parties d’une entreprise et interagissent avec les services fournis via des API partenaires ou des API publiques.

Les API peuvent également permettre l’intégration de nouveaux services entre les entreprises en autorisant l’accès aux données et l’échange de capacités partagées. C’est dans cet accès aux données que les API offrent les opportunités les plus attractives tout en posant les plus grands défis et risques. Les API permettent aux utilisateurs d’accéder aux données de différents services de manière sécurisée, sans avoir à passer par les mesures de sécurité de chaque fournisseur de services individuel. Mais une conception incorrecte des API peut amener l’organisation à exposer par inadvertance des données, ce qui conduit aux nombreux défis que nous observons dans le secteur aujourd’hui.

Selon le rapport State of the API 2022 de Postman, « l'intégration avec les systèmes internes » était la principale raison pour laquelle les organisations ont décidé d'utiliser des API, qui constituent le moyen le plus simple pour les entreprises de participer à l'économie numérique. Ceci est important car les outils d’intégration deviennent alors un point crucial lorsque les entreprises choisissent leur technologie de choix pour une stratégie API-first.

Motivation des entreprises

L'exemple le plus classique d'activation d'API privées destinées à être consommées par un écosystème plus large est Amazon Web Services (AWS). Amazon a vu une opportunité de permettre aux clients d'utiliser sa propre infrastructure informatique en libre-service et à la demande. Ce n’était pas une nouveauté pour eux car ils disposaient déjà de tous les outils de libre-service et d’automatisation pour les développeurs internes. Ce fut l'occasion pour Amazon de stimuler la croissance de son activité et a conduit à la naissance du cloud computing tel que nous le connaissons aujourd'hui. Alors que les sceptiques affirmaient que les entreprises n’adopteraient jamais le cloud, au cours des 15 années qui ont suivi son introduction, le cloud computing est devenu une industrie d’environ 1 000 milliards de dollars et la valorisation d’Amazon a été multipliée par plus de 10 en une décennie, en grande partie grâce au succès d’AWS. Cela a stimulé la création d’un nouveau secteur vertical.

Mais les entreprises n’ont pas encore reconnu tout le potentiel des API pour accroître la valeur commerciale. Bien qu’il puisse y avoir plusieurs raisons de négliger la perspective d’un rendement accru, la motivation impérieuse est la cybersécurité. La protection des actifs d'une organisation étant la priorité absolue du service informatique, la plupart des organisations introduisent des bonnes pratiques et des flux de travail onéreux qui limitent l'agilité de l'entreprise et, en fin de compte, restreignent les bénéfices. Mais l’objectif de la sécurité devrait être de libérer la valeur latente d’une entreprise et non de la restreindre.

Qualification des API pour l'inversion

« Inverser l’API » n’est pas seulement une question technique consistant à la rendre disponible à d’autres personnes en dehors de l’organisation. La granularité de l’exposition d’une API (GRAPE) amène l’entreprise à se demander si une API peut être inversée en toute sécurité. Dans un « test de raisin », une entreprise doit déterminer si elle expose par inadvertance des données qui pourraient être considérées comme concurrentielles ou des données qui pourraient aller à l'encontre de la gouvernance, des risques et de la conformité (GRC), et dans quelle mesure l'API est conçue d'un point de vue de sécurité. En substance, les entreprises ne veulent pas laisser de « raisins » à cueillir.

Une fois qu'une API passe cet audit, il s'agit toujours d'une décision commerciale de rendre les données disponibles via une API partenaire ou publique , et l'objectif de l'organisation informatique doit être de donner à l'entreprise les outils pour le faire de manière sûre et sécurisée. Nous devons permettre aux développeurs de créer davantage de valeur en étant aussi précis que possible pour exposer divers services qui seraient généralement concentrés au sein de l’entreprise. Ces API pourraient être testées avec des clients et partenaires externes « amis », mais ce processus est si onéreux aujourd’hui que la plupart des entreprises refusent de suivre cette voie. La solution consiste pour les équipes GRC et de sécurité à fournir des garde-fous qui empêchent tout événement fâcheux de se produire tout en favorisant l’autonomie.

Défis – essentiellement techniques

Alors, où allons-nous à partir d’ici ? En supposant que la valeur commerciale de l’inversion d’une API soit comprise et que le test du raisin soit réussi, il reste encore des défis techniques à relever.

  • La sécurité informe tout : la GRC et la sécurité sont bénéfiques car les API ont un côté sombre. Les pirates recherchent des API à utiliser dans leurs attaques. Les acteurs malveillants sont motivés et persistants, employant de nombreuses techniques et improvisant constamment pour contourner la sécurité des API. Les entreprises qui ne disposent pas des meilleures pratiques de sécurité appropriées auront du mal à rendre leurs API privées publiques.

  • Découverte et audit des API : nettoyer une entreprise des API perdues, orphelines ou non sécurisées est un problème difficile. Les développeurs quittent leurs groupes ou organisations sans nettoyer les services qu’ils développent et testent. Même les équipes de développement de logiciels les plus disciplinées commettent l'erreur de laisser les services fonctionner bien au-delà des étapes de développement, de test et de fin de vie. Un autre problème avec les API est la documentation lorsque les nouveaux développeurs ne connaissent pas tout le potentiel des données renvoyées. Cela renvoie encore une fois à la sécurité.

  • Connectivité — Même si une entreprise trouve une motivation convaincante pour exploiter ses API privées pour des clients ou des partenaires externes, connecter une API derrière trois couches de pare-feu dans une entreprise est une tâche ardue. Même si les unités commerciales peuvent prendre plusieurs mois pour valider et justifier le retour sur investissement nécessaire pour rendre cela pratique, on ne peut pas simplement prendre une API interne et la rendre publique ; la connectivité est également un processus. Par conséquent, l’agilité en souffre et les développeurs ne peuvent pas innover à un rythme rapide.

En fin de compte, nous devons comprendre que l’agilité commerciale dans un environnement non fiable est extrêmement difficile. Les processus informatiques sont informés, définis et dictés par différentes préoccupations de sécurité. Ils existent pour une raison et ne peuvent être contournés.

Opportunité : l'entreprise EST la plateforme

Une fois qu’une entreprise réfléchit à la manière de rivaliser dans l’économie des API, la nécessité d’inverser ses API devient une décision naturelle. L’étape logique suivante consiste à imaginer l’intégralité de leur entreprise comme une plateforme et à envisager des moyens de travailler vers cet objectif.

Kristin R. Moyer, vice-présidente et analyste distinguée chez Gartner, a déclaré : « L'économie des API est un outil permettant de transformer une entreprise ou une organisation en une plateforme. « Les plateformes multiplient la création de valeur car elles permettent aux écosystèmes commerciaux à l’intérieur et à l’extérieur de l’entreprise de réaliser des correspondances entre les utilisateurs et de faciliter la création et/ou l’échange de biens, de services et de monnaie sociale afin que tous les participants soient en mesure de capturer de la valeur. » ( Mulesoft )

Accompagner une entreprise dans ce parcours n’est pas sans défis, et c’est là que les fournisseurs partagent la responsabilité avec les organisations informatiques. L’entreprise doit comprendre quels aspects de ses actifs internes peuvent ou vont bénéficier à la communauté au sens large et accroître leur valeur. L’écosystème des fournisseurs doit fournir des outils et des technologies qui aident les entreprises à inverser les API en toute sécurité et à libérer la valeur de l’entreprise en tant que plateforme.