Cloud
Plus de la moitié des entreprises ne maitrisent pas leurs API
Par Laurent Delattre, publié le 20 novembre 2018
Alors que le nombre d’API proposées par les entreprises explose, la majorité des organisations avouent ne pas avoir de visibilité globale et n’être pas certaines de pouvoir détecter un usage malveillant de leurs API.
À l’époque des châteaux forts, on pouvait encore se dire que si les tours manquaient de sécurité, les remparts étaient là pour les protéger. Mais à l’ère des smartcities, c’est toutes les composantes de la ville qui doivent assurer leur propre protection en appliquant des normes de sécurité et en s’assurant que les dépendances complexes entre les habitations, les réseaux et les humains sont parfaitement maitrisées. Bizarrement ou pas, il en va exactement de même pour les systèmes informatiques. Quand leur périmètre s’arrêtait derrière le firewall, on pouvait – parfois – se permettre des libertés dans le code et dans la maitrise des échanges. Mais quand ce système d’information est étendu, distribué entre le datacenter interne, le cloud et autres infrastructures de prestataires et qu’en plus il utilise des services de type PaaS combinés à des applications éclatées en microservices accessibles via des API… il vaut mieux faire preuve de rigueur et maitriser la sécurité de chacun des points d’entrée que sont les API.
Or, selon une enquête réalisée par Ping Identity (éditeur d’une plateforme de cybersécurité) auprès de 100 experts en sécurité et IT interrogés à l’occasion de IDENTIFY 2018, évènement qui s’est tenu à San Francisco en octobre dernier et début novembre à New York, 45% d’entre eux avouent n’être pas certains de pouvoir détecter un usage nocif de leurs API. Plus de la moitié (51%) reconnaissent même qu’il n’est pas du tout certain que les équipes sécurité aient une vision global des APIs proposées par leur entreprise. En soi, les chiffres sont déjà alarmants. Ils deviennent carrément angoissants quand on sait que dans un même temps, le nombre d’API proposées par les entreprises a littéralement explosé. Toujours selon cette enquête 25% des personnes interrogées estiment en effet avoir plus de mille API et 35% en auraient entre 400 et mille. En janvier 2018, elles n’étaient que 7% à avoir plus de 1000 API et 39,2% à en avoir entre 400 et mille. Autrement dit, plus le temps passe, plus les risques de sécurité augmentent, 1000 API non maitrisées correspondant potentiellement à 1000 brèches dans le système d’information.
Pour Jason Bonds, vice-président, Intelligence at Ping Identity, la solution est simple : pour réussir dans un monde d’API, « les entreprises doivent passer d’une administration basique des API à une stratégie de cybersécurité holistique qui prend en compte l’intégralité de leur organisation ». Dans ce domaine, la première étape consiste très probablement à opter pour une solution d’API Management. Quand les systèmes d’information ne comptaient qu’une dizaine d’applications, on pouvait encore se permettre de faire l’impasse sur un référentiel applicatif. Aujourd’hui, avec plus de 1000 API à documenter, référencer et sécuriser en définissant clairement les droits d’accès, on ne peut clairement plus. Et c’est précisément le rôle des solutions d’API Management que d’aider les entreprises à mettre en place et maintenir à jour cette politique rigoureuse d’administration de leurs API.