Les API facilitent l'interaction client… et les attaques externes. Voici comment protéger ces interfaces

Pour offrir à leurs clients une expérience de service fluide, les entreprises comptent désormais largement sur les interfaces de programmation d'applications (API). Elles sont devenues incontournables dans les processus de rationalisation des interactions clients, tant en interne qu'en externe. Omniprésentes, elles sont utilisées par près de la moitié des applications web dans le monde.

À mesure que les entreprises développent leur activité cloud et basculent vers DevOps, elles recourent davantage à la conteneurisation et à des microservices qui, tous, reposent sur les API. Ce virage permet de demeurer pertinent et concurrentiel sur les marchés numériques mais le nombre d'interactions et de points de contact que supposent les intégrations API rend nos applications et nos données plus vulnérables que jamais. 

Les API auto-documentent souvent leur implémentation et leur structure interne et, malheureusement, ces informations peuvent être utilisées par les cybercriminels. À cela s’ajoutent d'autres vulnérabilités existent :

• Le manque de chiffrement
• Les authentifications insuffisantes
• Les défauts de logique commerciale
• Les terminaux non-sécurisées

Les API constituent par conséquent une perspective attrayante pour les cybercriminels potentiels. Selon notre enquête 2018 menée auprès de 250 professionnels de l'informatique sur la sécurité des API, les principales préoccupations relatives aux API sont :

• 39,2 % - Les attaques de bots et les attaques DDoS
• 24,4 % - Le renforcement des mécanismes d'authentification
• 14,8 % - L'inspection du contenu de l'API pour détecter les attaques
• 13,6 % - La nécessité de profiler les attaques

Quelles sont donc les bonnes pratiques à mettre en œuvre pour répondre à ces préoccupations et rester protégé face à des cybermenaces de plus en plus sophistiquées ?

• Authentification - Vous devez déterminer avec précision l'identité d'un utilisateur. Il s'agit désormais d'un défi, compte-tenu des méthodes avancées utilisées par les pirates informatiques pour masquer leur véritable identité.
• Autorisation - Une fois l'utilisateur identifié, il convient de déterminer s'il est - ou non - autorisé à accéder à certaines ressources. À moins d'être, par exemple, un administrateur autorisé, il ne doit pouvoir accéder aux ressources qu'en lecture seule.
• Validation - Vous devez pouvoir valider les appels API au regard des schémas et des structures attendues, tout en analysant les charges utiles. Cette validation est vitale pour stopper les attaques courantes telles que les injections de code et les attaques par analyseur.

Un firewall d'application web (WAF) est l'élément central d’une cyberprotection efficace : il vous permet de répondre à ces impératifs en appliquant un ensemble de règles pour les échanges entre applications. Les WAF sont fréquemment utilisés pour sécuriser les plateformes API car ils sont très efficaces pour stopper les exploits et neutraliser les attaques DDoS de la couche applicative.

Certains fournisseurs tels qu'Imperva offrent également une protection API spécifique. En utilisant votre fichier de spécifications OpenAPI DevOps, Imperva API Security génère automatiquement un modèle de sécurité positif, pour que seul le trafic légitime puisse accéder à vos API. Comme annoncé récemment, notre solution API Security s'intègre parfaitement à la plateforme de gestion des API de Red Hat 3scale. 

Pour sécuriser leurs API, les équipes de cybersécurité doivent donc appliquer les bonnes pratiques en la matière mais aussi aller plus loin en utilisant des solutions avancées comme API Security d'Imperva pour gérer les environnements API ambigus et les menaces dynamiques qui y sont associées. 

Pour vous inscrire et venir rencontrer Ecritel & Imperva, c'est simple et gratuit, il vous suffit de cliquer ici 

POURQUOI VENIR AU CLOUD EXPO EUROPE ?

Cloud Expo Europe Paris est l’allié qui vous permettra d’explorer de nouvelles opportunités d’innovation et de transformation mais aussi de gagner en agilité comme en efficacité dans le management de vos projets.

Ecritel, spécialiste des services d’hébergement infogéré & sécurisé en haute-disponibilité, sera accompagné d'Imperva, partenaire expert en sécurité. 

Chaque équipe, composée d'experts, sera présente et à votre écoute pour échanger, répondre à toutes les questions que vous pouvez vous poser sur le Cloud -privé, public, hybride-, sur la sécurité des données et des applications, pour vous conseiller les architectures, le CDN, le WAF, etc... 

N'hésitez pas à nous contacter en amont de cet événement via ce formulaire ou par mail contact@ecritel.net ou par télephone 01 40 61 20 00 !