Sécurité informatique : API et applications, le nouveau challenge des entreprises

APICybersécurité
Google Cloud API

Désormais, les API sont sur le devant de la scène et ce nouvel écosystème a un impact non négligeable sur Internet, son trafic et sa sécurité.

Internet a connu un changement sans précédent ces dernières années. Auparavant composé de sites web statiques, avec du texte, des images et parfois des vidéos, le Web s’est fortement développé depuis. On assiste à l’explosion des applications (et de leur économie) qui, pilotées par des API, nous aident dans tous les aspects de nos vies – aussi bien pour trouver l’âme sœur, réserver nos prochaines vacances, ouvrir sa serrure ou encore surveiller ses signes vitaux.

Aujourd’hui, notre vie est remplie de systèmes connectés. Désormais, les API sont sur le devant de la scène et ce nouvel écosystème a un impact non négligeable sur Internet, son trafic et sa sécurité.

Les API, une technologie et une économie en plein essor

Si les API sont devenues populaires, c’est parce qu’elles ont permis aux développeurs de séparer backend et frontend, et de proposer des applications avec une meilleure expérience utilisateur. Elles ont ainsi aidé les entreprises à faire évoluer leur business model en monétisant de nouvelles fonctionnalités.

C’est le cas du secteur bancaire, industrie monolithique avec des fournisseurs de services intégrés verticalement dans un paysage plus fragmenté. La nouvelle norme Open Banking (DSP2) illustre comment des start-ups peuvent offrir des services financiers modulaires facilement intégrables dans des applications plus complètes.

Des entreprises telles que TrueLayer ont industrialisé les API afin que les organisations, notamment les e-commerçants, puissent rajouter de nouveaux vendeurs sur une marketplace en quelques secondes ou proposer des solutions de paiement plus efficaces à leurs clients.

Autre exemple dans la logistique avec Shippo qui permet aux organisations d’intégrer des services pour lancer des livraisons, suivre les marchandises et rationaliser le processus de retour. Et bien sûr, tout repose sur des API permettant d’assurer l’interopérabilité entre différents systèmes hétérogènes.

Enfin, la croissance exponentielle des appareils connectés (montres, robots, etc) entraîne une hausse du nombre d’API pour les faire fonctionner. Autre aspect de ce phénomène, l’automatisation des tâches manuelles et répétitives.

L’Infrastructure-as-code est un exemple de l’utilisation des API qui remplacent ainsi les processus manuels utilisés auparavant pour gérer l’infrastructure Internet.

De nouvelles industries qui boostent les API et une sécurité à repenser

Les API ont favorisé la croissance globale du trafic Internet, comme a pu l’observer Cloudflare sur son réseau en 2021. Elles représentaient plus de la moitié du trafic généré par les utilisateurs finaux et les appareils connectés. Une hausse deux fois plus rapide que celle du trafic web traditionnel.

En 2021, l’industrie des logiciels enregistrait près de 40% du trafic des API. La seconde place est occupée par le secteur des crypto-monnaies (7%), suivi par la banque et le retail (6% et 5%).

Les secteurs de la banque et des services financiers assistent à l’arrivée de nouvelles plateformes qui agrègent les comptes de différents fournisseurs, rationalisent les transactions ou permettent d’investir directement via les applications, et ce grâce aux API.

Ces start-up challengent les grandes institutions en offrant des services mobiles innovants, obligeant ces dernières à moderniser rapidement leurs infrastructures et leurs applications.

Néanmoins, si le trafic des API a fortement augmenté, on observe qu’aujourd’hui elles reçoivent plus de requêtes malveillantes que les applications Web standard (10% contre 8%) les rendant ainsi plus sujettes aux cyber-menaces. Face à cet essor, la question de la sécurité des API reste donc centrale. Si pour les utilisateurs finaux, les applications sont une révolution, pour les développeurs, elles peuvent être un vrai casse-tête.

En effet, ils doivent gérer toute la complexité des API en arrière-plan, surveiller et authentifier chaque demande. Des tâches difficiles qui sont généralement confiées à un fournisseur de passerelle API (API Gateway). Malheureusement, ces passerelles laissent à désirer. Tout d’abord, elles représentent un certain coût. Ensuite, elles peuvent avoir un impact sur les performances.

Enfin, il existe des risques pour les données et la confidentialité vu le trafic généré par les API (et donc probablement envoyé par une passerelle tierce). Heureusement, des solutions pour gérer l’ensemble des fonctionnalités relatives à la sécurité, la gestion et surveillance des API afin d’assurer leur bon fonctionnement ont émergé ces dernières années.

En matière de sécurité, il est souvent difficile pour les entreprises de savoir si « elles ont en fait assez ». Toutefois, l’importance des bonnes pratiques de sécurité ne doit jamais être sous-estimée car des applications fiables et sécurisées garantissent le bon fonctionnement d’Internet. Et ce d’autant plus que les API et les applications sont désormais monnaie courante et soulèvent de nouveaux défis en matière de sécurité par rapport à un site web standard.

Aux entreprises de se doter de la bonne solution de sécurité afin de protéger les données des clients et leurs business ! Notre conseil est de repousser les attaques au plus proche de là où elles ont lieu tout en connectant les APIs aux plus proches de là où elles vont être utilisées, c’est-à-dire en périphérie du réseau sur “le Edge”.

Ainsi, l’intelligence de protection déportée sur ce Edge va permettre déployer les postures de sécurité des APIs à l”échelle mondiale tout en améliorant la performance pour les consommateurs de ces APIs. Protection des APIs et Edge Computing sont donc intimement liés pour garantir la sécurité et la performance.

Livres blancs A la Une