Top 3 des bonnes pratiques en matière de sécurité des API
Vous vous sentez exposé ? Découvrez comment vous pouvez vous élever au-dessus des menaces invisibles.
INTRODUCTION
Pour les organisations qui souhaitent prospérer dans la nouvelle économie numérique, le statu quo n’est tout simplement pas de mise. Les contrôles de sécurité traditionnels sont statiques et rigides. Ils ont été conçus à l’époque de la communication client-serveur avec des parcours d’utilisateurs et des flux de trafic prévisibles, bien avant que les API ne deviennent omniprésentes et la pierre angulaire des expériences numériques d’aujourd’hui.
Si les efforts déployés pour moderniser la sécurité en y intégrant les principes de confiance zéro, d’accès au moindre privilège et d’authentification/autorisation ont porté leurs fruits, la donne a changé. Les acteurs du domaine des applications qui vous encouragent en effectuant des transactions sur vos propriétés numériques ne sont plus des utilisateurs au sens traditionnel du terme. De plus en plus, ces « utilisateurs » sont des appels d’API de logique commerciale, qui peuvent provenir de partenaires ou d’agrégateurs autant que de clients ou de prospects. De plus, l’importance des API fait qu’elles deviennent une cible majeure pour les attaquants.
Les organisations qui veulent survivre doivent sécuriser leurs API et atténuer les risques involontaires et imprévus dans un tissu numérique distribué et en constante évolution. Les organisations ayant pour objectif de prospérer doivent concentrer leurs efforts stratégiques dans quelques domaines clés afin de mettre en place une plateforme de sécurité des API prévisible, évolutive et autodéfensive.
Sécurité traditionnelle et sécurité moderne
Les contrôles de sécurité traditionnels sont largement déployés, utilisés par des organisations du monde entier pour protéger les secrets commerciaux et les données des clients. Les entreprises utilisent des systèmes de chiffrement-déchiffrement pour garantir la confidentialité et empêcher le vol de données en restreignant l’accès aux informations sensibles. Les contrôles de sécurité tels que la limitation du débit aident les entreprises à prévenir les attaques par déni de service (DoS) et à réduire le ratissage Web en leur permettant de limiter le nombre et la fréquence des demandes à des modèles de trafic normaux et attendus. En outre, les entreprises utilisent souvent une combinaison d’outils de sécurité, tels que les pare-feu d’applications Web (Web Application Firewall — WAF), l’analyse statique du code et les tests dynamiques de sécurité des applications pour atténuer de nombreuses menaces courantes, comme celles du Top 10 de l’OWASP.
Pourtant, dans le monde numérique d’aujourd’hui, les mesures de sécurité traditionnelles ne suffisent pas. C’est pourquoi de nombreuses organisations adoptent des contrôles de sécurité modernes tels que l’authentification (AuthN), l’autorisation (AuthZ) et l’inspection du trafic pour leurs applications distribuées.
Les organisations utilisent l’authentification multifactorielle, les certificats électroniques, la biométrie et d’autres méthodes pour confirmer l’identité des personnes et des appareils et s’assurer que seuls les utilisateurs légitimes et les machines de confiance peuvent accéder à leurs données. L’autorisation consiste simplement à accorder les permissions appropriées aux utilisateurs authentifiés, en veillant à ce qu’ils puissent accéder à tous les fichiers et données dont ils ont besoin pour faire leur travail, tout en les empêchant de voir d’autres informations dont ils ne devraient pas avoir connaissance. L’inspection du trafic permet aux entreprises de minimiser les risques en examinant le trafic des applications et en identifiant les activités inhabituelles et les menaces potentielles, tout en fournissant les informations nécessaires à la comptabilité ou à la réponse aux incidents.
Si ces contrôles sont largement déployés et bien compris par les équipes chargées de la sécurité et des risques, leur mise en œuvre au sein d’une multitude points de contact numériques constitue un défi crucial.
L’évolution vers la sécurité adaptative
La sécurité est de plus en plus axée sur l’identité et la vérification. Les entreprises utilisent des méthodes telles que la confiance zéro et l’accès au moindre privilège pour accroître la rigueur de leur sécurité, en ne faisant confiance par défaut ni aux utilisateurs ni aux appareils et en limitant leur accès au strict minimum d’informations dont ils ont besoin, dans de nombreux cas grâce à une modélisation prédéterminée des cas d’utilisation. Les entreprises utilisent également des méthodes telles que l’analyse comportementale pour détecter les comportements suspects susceptibles d’indiquer des menaces de la part d’utilisateurs malveillants, et des contrôles basés sur le risque pour renforcer le processus d’authentification, en le rendant plus rigoureux à mesure que le niveau de menace perçu augmente.
Figure 1 : l’internet des objets connecte le monde qui nous entoure et alimente notre mode de vie moderne.
Cependant, les organisations exploitent aujourd’hui des architectures complexes et interconnectées, ce qui complique leur capacité à appliquer de manière cohérente des politiques de sécurité telles que AuthN et AuthZ. L’informatique est submergée par la prolifération des outils et le défi de gérer des environnements hétérogènes, et les « utilisateurs » sont probablement des API, des services ou des machines plutôt que des êtres humains. La complexité et l’interconnexion croissantes de l’architecture exigent un changement de paradigme dans la gestion des risques. Ce qu’il faut, c’est une visibilité multiplateforme associée à l’intelligence artificielle (IA) et à l’apprentissage automatique (AA) pour que les organisations puissent corréler les données à l’échelle.
Figure 2 : les WAF sont un contrôle de sécurité stratégique qui a évolué au fil du temps.
« Les technologies d’applications multiplateformes permettent aux organisations de mieux s’adapter aux changements inattendus d’un marché en constante évolution. »1
Sécurité adaptative basée sur l’identité
Un ensemble de base de services d’application multiplateformes associé à un modèle d’exploitation positif est essentiel pour toute plateforme de sécurité, en particulier pour la protection des API. Ces services applicatifs de base peuvent inclure la confiance zéro et la gestion basée sur le risque, ainsi que la microsegmentation, qui isole les services et leur accès au sein du centre de données ou de l’environnement en nuage. La défense en profondeur native, un autre élément essentiel, fournit plusieurs couches de contrôles de sécurité dans une plateforme afin de créer une résilience au cas où un contrôle de sécurité ne parviendrait pas à dissuader un attaquant motivé.
Une forte isolation de l’espace de noms sépare les ressources pour une plus grande sécurité, et la gestion des secrets applique de manière cohérente les politiques de sécurité pour la communication de machine à machine qui est de plus en plus courante dans les architectures modernes.
Figure 3 : autorité d’identité pour AuthN et AuthZ dans le cadre de services d’applications multiplateformes.
Un modèle d’exploitation de sécurité positive permet aux organisations de découvrir dynamiquement de nouveaux points de terminaison d’API, de les protéger automatiquement grâce à une détection des anomalies basée sur l’IA/ML, et d’appliquer systématiquement les politiques tout au long du cycle de vie des applications, en réduisant les risques et les effets secondaires involontaires d’une architecture hautement décentralisée et interconnectée.
Une plateforme évolutive permettant de fournir ces services de manière cohérente, quel que soit l’endroit où se trouvent l’infrastructure et les API sous-jacentes, permettra aux équipes de sécurité de concentrer leurs efforts sur la gestion stratégique des risques plutôt que sur les défis tactiques quotidiens liés au maintien de la politique de sécurité dans un cycle dynamique de mise à jour des applications comportant de nombreuses connexions à l’écosystème.
Figure 4 : un modèle opérationnel de sécurité positive permet une protection automatisée et des défenses adaptatives.
« Les organisations qui adoptent la sécurité basée sur l’identité seront en mesure de gérer les menaces de manière contextuelle et de poursuivre leur modernisation tout en équilibrant efficacement les risques et les performances ».1
Top 3 des bonnes pratiques en matière de sécurité des API
Pour que les entreprises prospèrent dans la nouvelle économie numérique, leurs équipes chargées de la sécurité et des risques doivent concentrer leurs efforts stratégiques dans trois domaines afin de contribuer à la mise en place d’une plateforme de sécurité API prévisible, évolutive et autodéfensive :
1. Sécurité basée sur l’identité
Évoluez vers une sécurité adaptative basée sur l’identité.
2. Services multiplateformes
Déployez des services d’application multiplateformes pour garantir la cohérence, l’observabilité et l’obtention d’informations exploitables.
3. Protection automatisée
Tirez parti de l’IA/AA pour une protection automatisée continue.
Pour en savoir plus, lisez l’e-book : « Meilleures pratiques en matière de sécurité des API : Considérations clés pour la protection des API »
En savoir plus
E-BOOK
Meilleures pratiques en matière de sécurité des API : Considérations clés pour la protection des API
Découvrez pourquoi les contrôles de sécurité existants peuvent être insuffisants pour protéger de façon adéquate les API dans un cycle de vie d’application en constante évolution comportant une multitude d’intégrations tierces.
BLOG
L’état des stratégies applicatives 2022 : l’avenir des entreprises est adaptatif
Découvrez comment les entreprises rendent leurs activités numériques plus réactives et mieux adaptées pour servir leurs clients, partenaires et employés, aujourd’hui comme à l’avenir.
SIMULATION
F5 Distributed Cloud WAAP Simulator Hub : Protection des API
Rendez-vous sur le F5 Simulator Hub pour en savoir plus sur la solution F5 Distributed Cloud WAAP.
RAPPORT FORRESTER
L’insécurité des API : la menace qui plane sur vos logiciels
Concevoir et mettre en place une sécurité des API descendante et de bout en bout tout au long du cycle de vie logiciel.