Aujourd’hui le graal pour toute marque, enseigne ou entreprise est de fournir à ses clients/utilisateurs la meilleure expérience numérique possible. Les interactions sur internet se doivent d’être simples, complètes, rapidement exécutables. Pour répondre à ces exigences d’instantanéité, les stratégies de développement basées sur les API (ou interface de programmation d'applications) se sont multipliées. On estime qu’actuellement une seule transaction sur le web ou sur un smartphone transite en moyenne par 35 systèmes ou composants technologiques différents, contre 22 il y a seulement cinq ans.
Les API sont désormais au cœur du fonctionnement du web : application météo, système de navigation, comparateur de prix tout transite par des API. Toutefois, connecter des services nécessite d’échanger de données ... parfois critiques. La politique de sécurisation des API est-elle optimale ? Les dernières fuites de données chez Facebook, Apple, Tinder, ... tendent à démontrer le contraire. Alors comment tirer pleinement profits des bénéfices offerts par les API tout en sécurisant les données des entreprises et de leurs utilisateurs ?
Multiplication des API et “go to market”
Selon Gartner, « les API sont aujourd'hui au cœur de l'architecture des applications car elles permettent une intégration peu poussée et aident au fonctionnement des applications mobiles et de nombreux appareils IoT ». Elles favorisent l'innovation interne en offrant l'agilité et la flexibilité nécessaires et permettent une mise sur le marché plus rapide de nouveaux services. Plus besoin de développer des fonctionnalités nécessaires au fonctionnement d’une application si elles existent déjà ailleurs, il suffit de les intégrer. Dans un monde où la technologie évolue en permanence pour répondre aux besoins des consommateurs et des utilisateurs, la capacité à fournir des services rapidement et à moindre coût est vitale.
Mécanisme de communication prépondérant et incontournable pour toute entreprise en phase de transformation digitale, les API s’appuient non seulement sur des données publiques mais également sur des données privées voir sensibles (n° de carte bancaire, n° de sécurité sociale, ...). Cette interconnexion de services et d’applications soulève de fait une question incontournable, comment assurer un accès permanent aux données quel que soit le lieu et le device en toute sécurité ?
Selon un audit sur la sécurité de 128 applications web, des failles graves ont été observées dans 60% des cas et la situation est très similaire pour les APIs.
Une fuite de données silencieuse
La grande majorité des attaques API restent invisibles et ne sont, de fait, détectées que très longtemps après, pourtant lorsqu'une API mal sécurisée conduit à une violation de données, les conséquences sont extrêmement dommageables.
En septembre 2018, Facebook a fait l’objet d’un détournement massif de données qui a affecté de 50 millions de comptes. Pire encore, ils ont admis qu'ils ne savaient pas quel type d'informations avait été volé à la suite de cette brèche. La vulnérabilité en question, qui a mis 20 mois avant d’être détectée et corrigée, était due à une fonctionnalité de « View As », une API qui permettait aux développeurs de mettre les pages en « mode utilisateur ». Ce n’est pas une première pour la firme de Menlo Park et c’est loin d’être un cas isolé. Les services postaux américains ont également connu quelques désagréments, en novembre 2018, suite à une vulnérabilité d'authentification dans l'API de suivi du courrier qui a permis à toute personne possédant un compte de visualiser les informations d’autres comptes. La même année, un manque de sécurisation d’une API utilisée par Salesforce a exposé les coordonnées des clients et les données des prospects.
Les API non sécurisées peuvent servir de porte dérobée à une application ? sécurisée, une authentification robuste au niveau de l'API est donc essentielle.
Et si le CIAM était la réponse ?
Porté par la généralisation des services Cloud, le CIAM (customer identity and access management) n’est désormais plus cantonné aux problématiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle de la transformation numérique des entreprises. La sécurité étant inhérente à toute solution de gestion des identités et des accès, elle s’appuie entre autres sur le protocole de délégation d'autorisation OAuth (« Open Authorization »), élément central de la sécurisation des API, qui permet à une application d’obtenir un accès limité à une ressource pour le compte d’un utilisateur... Des applications nécessitant une sécurité forte utilisent déjà le CIAM pour s'intégrer à plusieurs types d'identités de tiers, comme les banques, les opérateurs de réseaux mobiles ou le gouvernement - des acteurs qui exigent une vérification fine des identités numériques.
Par sa conception, le CIAM peut évaluer les politiques d'autorisation, construire les profils d'identité et créer les attributs nécessaires au fonctionnement des API tout en offrant une sécurité maximale.
.png)
