Les 3 meilleures pratiques en matière de sécurité des API
Améliorez vos défenses à mesure que vous faites évoluer votre tissu numérique
INTRODUCTION
Pour les organisations qui souhaitent prospérer dans la nouvelle économie numérique, le statu quo ne suffit tout simplement pas. Les contrôles de sécurité traditionnels sont statiques et inflexibles. Ils ont été conçus à l’époque de la communication client/serveur avec des parcours utilisateurs et des flux de trafic prévisibles, bien avant que les API ne deviennent omniprésentes et la pierre angulaire des expériences numériques d’aujourd’hui.
Bien que les efforts visant à moderniser la sécurité en intégrant les principes de confiance zéro, d’accès au moindre privilège et d’authentification/autorisation aient porté leurs fruits, la donne a changé. Les acteurs du jeu d’application qui vous encouragent en effectuant des transactions sur vos propriétés numériques ne sont plus des utilisateurs au sens traditionnel du terme. De plus en plus, ces « utilisateurs » sont des appels de logique métier provenant d’API, qui peuvent provenir de partenaires ou d’intégrations d’écosystèmes autant que de clients ou de prospects. L’importance des API signifie également qu’elles constituent une cible beaucoup plus importante pour les attaquants.
Les organisations qui veulent survivre doivent sécuriser leurs API et atténuer les risques imprévus et involontaires dans une structure numérique distribuée et en constante évolution, qui couvre le centre de données, les clouds privés/publics et la périphérie. Les organisations qui souhaitent prospérer doivent concentrer leurs efforts stratégiques dans quelques domaines clés pour créer une plate-forme de sécurité API prévisible, évolutive et autodéfensive qui protège les points de contact numériques dans les environnements hybrides et multicloud.
Sécurité traditionnelle et sécurité moderne
Les contrôles de sécurité traditionnels sont largement déployés et utilisés par des organisations du monde entier pour protéger les secrets commerciaux et les données des clients. Les entreprises ont recours à l’inspection du trafic pour garantir la confidentialité et prévenir le vol de données en limitant l’accès aux informations sensibles. Les contrôles de sécurité tels que la limitation du débit dans les passerelles API contribuent à atténuer les attaques par déni de service (DoS). Les contrôles de scraping Web dans les pare-feu d'applications Web (WAF) empêchent la compromission d'informations sensibles telles que les prix. En outre, les organisations utilisent souvent une combinaison d’outils de sécurité, tels que l’analyse de code statique et les tests de sécurité dynamique des applications, pour faire face à de nombreux risques courants, tels que ceux du Top 10 de l’OWASP.
Cependant, dans le monde numérique d’aujourd’hui, les mesures de sécurité traditionnelles ne suffisent pas. C’est pourquoi de nombreuses organisations adoptent des contrôles de sécurité modernes, notamment l’authentification (AuthN), l’autorisation (AuthZ) et l’inspection dynamique du trafic pour leurs applications distribuées.
Les organisations utilisent l’authentification multifacteur, les certificats à clé publique, la biométrie et d’autres méthodes pour confirmer l’identité des personnes et des appareils et pour s’assurer que seuls les utilisateurs légitimes et les machines de confiance peuvent accéder à leurs données. L'autorisation consiste simplement à accorder des autorisations appropriées aux utilisateurs authentifiés, en s'assurant qu'ils peuvent accéder à tous les fichiers et données dont ils ont besoin pour faire leur travail tout en les empêchant de voir d'autres informations auxquelles ils ne devraient pas avoir accès. L'inspection du trafic permet aux entreprises de minimiser les risques en examinant le trafic des applications dans leurs chaînes d'inspection de sécurité et en identifiant les activités inhabituelles et les menaces potentielles, ainsi qu'en fournissant toutes les informations nécessaires à la comptabilité ou à la réponse aux incidents.
Bien que ces contrôles soient largement déployés et bien compris par les équipes de sécurité et de gestion des risques, leur mise en œuvre sur une multitude de points de contact numériques, du cœur du centre de données à la périphérie du client, constitue un défi crucial.
L'évolution vers la sécurité adaptative
La sécurité est de plus en plus axée sur l’identité et la vérification. Les organisations utilisent des méthodes telles que le zero trust et l’accès au moindre privilège pour augmenter la rigueur de leur sécurité, en ne faisant confiance ni aux utilisateurs ni aux appareils par défaut et en limitant leur accès au strict minimum d’informations dont elles ont besoin, dans de nombreux cas via une modélisation de cas d’utilisation prédéterminée. Les entreprises utilisent également des méthodes telles que l’analyse comportementale pour détecter les comportements suspects pouvant indiquer des menaces potentielles de la part d’utilisateurs malveillants, ainsi que des contrôles basés sur les risques pour intensifier le processus d’authentification, le rendant plus strict à mesure que le niveau de menace perçu augmente.
Figure 1 : L’Internet des objets connecte le monde qui nous entoure et alimente notre mode de vie moderne.
Cependant, les organisations exploitent aujourd’hui des architectures complexes et interconnectées, ce qui complique leur capacité à appliquer de manière cohérente des politiques de sécurité telles qu’AuthN et AuthZ. L’informatique est submergée par la prolifération des outils et le défi de gérer des environnements hétérogènes, et les « utilisateurs » sont susceptibles d’être des API, des services ou des machines plutôt que des êtres humains. La complexité croissante et l’interconnexion de l’architecture nécessitent un changement de paradigme dans la gestion des risques. Ce dont les entreprises ont besoin, c’est d’une visibilité multiplateforme associée à l’intelligence artificielle (IA) et à l’apprentissage automatique (ML) afin de pouvoir corréler les informations sur les données à grande échelle et remédier rapidement aux menaces émergentes, des capacités désormais possibles dans les plateformes Web App et API Protection as-a-Service (WAAPaaS).
Figure 2 : Les WAF sont un contrôle de sécurité stratégique qui a évolué au fil du temps.
« La principale raison pour laquelle il faut choisir la sécurité en tant que service est la rapidité »1
Sécurité adaptative basée sur l'identité
Un ensemble de services d’application multiplateformes associé à un modèle d’exploitation positif est essentiel pour toute plate-forme de sécurité, en particulier lors de la protection des API. Ces services d’application de base peuvent inclure une gestion basée sur le risque et la confiance zéro ainsi que la microsegmentation, qui isole les services et l’accès à ceux-ci au sein du centre de données ou de l’environnement cloud. La défense en profondeur native, un autre élément clé, fournit plusieurs couches de contrôles de sécurité sur une plateforme pour créer une résilience au cas où un contrôle de sécurité ne parviendrait pas à dissuader un attaquant motivé.
L’isolation renforcée de l’espace de noms sépare les ressources pour une plus grande sécurité, et la gestion des secrets applique systématiquement les politiques de sécurité pour la communication de machine à machine, qui est de plus en plus courante dans les architectures modernes.
Figure 3 : Autorité d'identité pour AuthN et AuthZ dans le cadre de services d'application multiplateformes.
Un modèle opérationnel de sécurité positif permet aux organisations d'intégrer la sécurité dans les pipelines CI/CD, de découvrir dynamiquement de nouveaux points de terminaison d'API, d'appliquer le schéma d'API et les contrôles d'accès, ainsi que de protéger automatiquement la logique métier critique avec la détection d'anomalies basée sur l'IA/ML. Cela permet une application cohérente de la politique tout au long du cycle de vie de l'application, réduit les risques et les erreurs de configuration involontaires dans une architecture hautement décentralisée et interconnectée, et neutralise les utilisateurs malveillants.
Une plateforme capable d’évoluer pour fournir ces services de manière cohérente, quel que soit l’emplacement de l’infrastructure sous-jacente et des API, et d’automatiser des opérations telles que l’analyse des faux positifs et l’évaluation/le tri des risques, permettra aux équipes de sécurité de concentrer leurs efforts sur la gestion stratégique des risques plutôt que sur les défis tactiques quotidiens liés au maintien des politiques de sécurité dans tous les environnements et à la gestion d’un déluge d’alertes de sécurité qui peuvent ne pas correspondre à une action ou nécessiter une réponse aux incidents.
Figure 4 : Un modèle opérationnel de sécurité positif permet une protection automatisée et des défenses adaptatives.
« Les technologies de gestion des identités, notamment l’utilisation de l’authentification et de l’autorisation pour la sécurité des API, sont toujours considérées comme les approches les plus précieuses pour sécuriser les applications. »1
Les 3 meilleures pratiques en matière de sécurité des API
Pour que les organisations prospèrent dans la nouvelle économie numérique, leurs équipes de sécurité et de gestion des risques doivent concentrer leurs efforts stratégiques dans trois domaines pour contribuer à créer une plateforme de sécurité API prévisible, évolutive et autodéfensive :
1. Sécurité basée sur l'identité
Évoluez vers une sécurité adaptative basée sur l’identité.
2. Services multiplateformes
Déployez des services d’application multiplateformes pour plus de cohérence, d’observabilité et d’informations exploitables.
3. Protection automatisée
Exploitez l'IA/ML pour une protection automatisée continue .
En savoir plus
E-LIVRE
Bonnes pratiques en matière de sécurité des API : Considérations clés pour la protection des API
Une sécurité API réussie nécessite une vigilance sur plusieurs fronts.
RAPPORT
État de la stratégie d'application
Découvrez comment les entreprises rendent leurs activités numériques plus réactives et mieux adaptées pour servir leurs clients, partenaires et employés, aujourd’hui et à l’avenir.
RAPPORT FORRESTER
Les huit composants de la sécurité des API
Découvrez comment mettre en œuvre un programme de sécurité API holistique.