ARTICLE
6 principes d’une stratégie holistique de sécurité des API
INTRODUCTION
Alors que l’expérience utilisateur est le visage de vos applications, les API sont l’épine dorsale de votre organisation. Une erreur commune que de nombreuses entreprises ont commise dans le passé est de considérer une API comme étant uniquement la couche d’interface au-dessus d’une application. Dans cet article, nous allons explorer 6 principes d’une approche holistique et bien équilibrée de la sécurité des API.
1. Comprendre vos API et vos points d’accès
Il est fort probable que, si vous essayez, vous ne puissiez pas identifier chaque point d’accès d’API dans votre environnement à l’heure actuelle. Mais malheureusement, vous ne pourrez peut-être pas en dire autant des acteurs malveillants. Si un point d’accès existe, il peut être utilisé comme moyen d’entrer.
En outre, en proposant des API publiques, vous vous exposez à recevoir des requêtes d’une myriade de clients, de partenaires et d’applications. Cela ouvre également votre organisation à la compromission. Il existe un certain nombre de contrôles des risques qui doivent être pris en compte pour protéger votre organisation contre les attaques qui peuvent conduire à des violations et à la fraude.
2. Trouver un équilibre entre innovation et sécurité
C’est un combat classique. D’un côté, l’envie d’être audacieux, de repousser les limites, de faire ce que vos concurrents ne peuvent pas faire est la clé de voûte de toute entreprise prospère. Mais d’un autre côté, la sécurité n’est pas toujours compatible avec les dernières innovations.
RAPPORT FORRESTER
L’insécurité des API : la menace qui plane sur vos logiciels
Consultez le nouveau rapport Forrester qui examine de plus près les sujets abordés dans cet article.
1. Concevoir une stratégie de gouvernance des API pour chaque type d’API afin de définir les contrôles de sécurité appropriés.
2. Mettre en œuvre des politiques de sécurité des API qui peuvent être appliquées de manière cohérente partout où des API sont déployées.
3. S’adapter aux menaces émergentes, aux comportements anormaux et aux utilisateurs malveillants qui tentent d’exploiter ou d’abuser des API à l’aide de l’IA pour diminuer la charge des équipes de sécurité.
Selon votre secteur d’activité, les normes de conformité varient, certaines exigeant une sécurité plus stricte que d’autres. Quoi qu’il en soit, il est essentiel que votre dispositif de sécurité des API soit suffisamment robuste pour faire face à un barrage de vecteurs de menaces
3. Gérer les risques tout au long du cycle de développement
Les tests de sécurité des API ne sont pas une opération ponctuelle. Les tests avant, pendant et après le déploiement sont essentiels. En intégrant des tests à chaque étape du développement, vous aurez beaucoup plus d’occasions d’identifier les faiblesses et les vulnérabilités avant qu’une violation ne se produise. Et si les outils de test spécifiques à la sécurité sont excellents, n’oubliez pas non plus la modélisation des cas d’utilisation de la sécurité.
4. Des protections en couches de l’infrastructure back-end au client final
Des clients externes à l’infrastructure interne, chaque partie de l’architecture doit disposer de ses propres mesures de protection. |
En réfléchissant à la protection de la couche API, il est utile de classer d’abord vos API en deux catégories : internes et externes. Les API internes sont plus faciles à sécuriser, car le fournisseur d’API peut coordonner les mesures de sécurité avec les équipes d’application. Pour les API externes, le calcul du risque est différent. Cela ne signifie pas pour autant que vous n’avez pas de chance. Vous pouvez (et devez) toujours mettre en place des protections au niveau des API qui remplissent trois fonctions :
1. Réduire les risques de violation de la sécurité grâce à des renseignements en temps réel sur les menaces et à des mécanismes de contrôle d’accès tels que des jetons de session renforcés.
2. Établir des modèles de base de trafic normal et anormal.
3. Restreindre l’utilisation de l’API et fournir un contrôle granulaire de tous les agrégateurs approuvés.
Au niveau de la production, le simple volume de trafic provenant de l’étalement des API nécessite l’utilisation de l’IA pour détecter les comportements anormaux et les utilisateurs malveillants.
5. Disposer des bonnes stratégies et des bons outils
Il n’existe aucun aliment unique qui nous nourrit pleinement, et il n’existe aucun outil de sécurité unique qui protège entièrement les API. Vous devez plutôt développer une stratégie qui utilise un écosystème d’outils bien équilibré dans le cadre d’une architecture de sécurité holistique.
Les outils que vous devriez envisager sont les suivants :
- Une passerelle API
- Des tests de sécurité des applications (SAST et DAST)
- Un WAF
- Bot management
En outre, la découverte des API et la microsegmentation sont des capacités essentielles de l’écosystème.
6. De la sécurité dans les pipelines de développement et de déploiement
Vous avez probablement compris que la sécurité des API peut devenir complexe, en raison de la diversité des technologies, des couches, des conceptions et des contextes dans lesquels les API sont utilisées. Il existe cependant des moyens d’atténuer cette complexité.
Lorsque vous abordez la question de la sécurité de votre API, prenez d’abord du recul et regardez la situation dans son ensemble.
La sécurité doit s’inscrire dans le même cycle de vie continu que les applications elles-mêmes, ce qui signifie une intégration étroite dans les pipelines CI/CD, la fourniture de services et les écosystèmes de surveillance des événements.
En outre, les pratiques de sécurité éprouvées s’appliquent toujours :- architectures de refus par défaut, cryptage fort et accès avec le moins de privilèges possible.
En savoir plus
ARTICLE
Sécurisation des API : 10 bonnes pratiques pour assurer la sécurité de vos données et de votre infrastructure
Les organisations qui mettent leurs API à la disposition du public doivent établir des pratiques de sécurité optimales.
RAPPORT
La prolifération continue des API : défis et opportunités dans une économie axée sur les API
Apprenez à utiliser le Top 10 de l’OWASP comme base pour un développement plus sûr et une meilleure sécurité des applications.
E-BOOK
Sécurité des API : Considérations clés pour la protection des API
Vos API se sentent-elles exposées ? Découvrez comment vous pouvez vous élever au-dessus des menaces invisibles.