Et si la reussite de l’experience client dependait de la securisation des API ?

Pour fournir a ses clients et utilisateurs la meilleure experience numerique possible, les strategies de developpement basees sur les API se paraissent multipliees. Mais quelles bonnes pratiques de securite adopter ?

On estime qu’actuellement une seule transaction via la toile ou via 1 smartphone transite en moyenne via 35 systemes ou composants technologiques multiples, contre 22 Il existe juste cinq ans.

Les API (ou interface de programmation d’applications) seront desormais au c?ur du fonctionnement du web : application meteo, systeme de navigation, comparateur tarifaire tout transite par des API. Toutefois, connecter des services necessite d’echanger de donnees. des fois critiques. J’ai politique de securisation des API est-elle optimale ? Mes dernieres fuites de precisions chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors De quelle fai§on tirer pleinement profits des benefices offerts avec des API bien en securisant les precisions des firmes et de leurs utilisateurs ?

Multiplication des API et “go to market”

Selon Gartner, « Mes API seront Actuellement au c?ur de l’architecture des applications car elles peuvent permettre une integration sans couplage fort et aident au fonctionnement des applications mobiles et de nombreux appareils IoT ». Elles favorisent l’innovation interne en offrant l’agilite et la flexibilite necessaires et permettent une mise via le marche plus rapide de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, vous pourrez des integrer. Dans un monde ou la technologie evolue chaque jour pour satisfaire a toutes les besoins des consommateurs et des utilisateurs, la capacite a fournir des services rapidement et a moindre cout reste vitale.

Mecanisme de communication preponderant et incontournable pour toute firme en phase de transformation digitale, les API s’appuient non seulement concernant des precisions publiques mais egalement sur des informations privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve aussi une question incontournable, De quelle fai§on garantir un acces permanent aux precisions peu importe la zone et le device en toute securite ?

Selon un audit dans J’ai securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et ca est tres similaire pour les API.

Une fuite de informations silencieuse

J’ai grande majorite des attaques API restent invisibles et ne sont, de fait, detectees que fort un moment apres, pourtant lorsqu’une API mal securisee conduit a une violation de precisions, des consequences seront tres dommageables.

En septembre 2018, Facebook a fait l’objet d’un detournement massif de donnees qui possi?de affecte environ 50 millions de comptes. Pire bien, ils ont admis qu’ils ne savaient gui?re quel type d’informations avait ete vole a J’ai suite de cette breche. La vulnerabilite proprement dit, qui a enfile 20 mois avant d’etre detectee et corrigee, etait due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est nullement une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Mes services postaux americains ont egalement connu des desagrements, en novembre 2018, suite a une vulnerabilite d’authentification dans l’API de suivi du courrier qui a permis a toute personne possedant un compte de visualiser les renseignements d’autres comptes. Notre meme annee, un tracas de securisation d’une API utilisee via Salesforce a expose les coordonnees des application ldssingles clients et les donnees des prospects.

Mes API non securisees peuvent servir de a derobee a une application ? securisee, une authentification robuste au niveau de l’API est donc essentielle.

Et si le CIAM etait la reponse ?

Porte par la generalisation des services cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne aux problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle une transformation numerique des entreprises. J’ai securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie par exemple sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central d’une securisation des API, qui permet a une application d’obtenir un acces limite a une ressource concernant le compte d’un utilisateur. Des applications necessitant une securite forte utilisent deja le CIAM pour s’integrer a quelques types d’identites de tiers, comme des banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.

Par sa conception, le CIAM peut evaluer les politiques d’autorisation, construire les profils d’identite et creer les attributs necessaires au fonctionnement des API bien en offrant une securite maximale.

[1] Source : Wavestone : Bilan de la securite des e-boutiques internet en France