Et si la reussite de l’experience client dependait une securisation des API ?

Pour fournir a ses clients et utilisateurs la meilleure experience numerique possible, les strategies de developpement basees i  propos des API se sont multipliees. Mais quelles bonnes pratiques de securite adopter ?

On estime qu’actuellement une seule transaction sur la toile ou sur un smartphone transite en moyenne avec 35 systemes ou composants technologiques differents, contre 22 il y a juste cinq ans.

Mes API (ou interface de programmation d’applications) seront desormais au c?ur du fonctionnement du web : application meteo, systeme de navigation, comparateur de tarifs bien transite avec des API. Toutefois, connecter des services necessite d’echanger de informations. desfois critiques. La politique de securisation des API est-elle optimale ? Les dernieres fuites de informations chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors comment tirer pleinement profits des benefices offerts par nos API tout en securisant des donnees des entreprises et de leurs utilisateurs ?

Multiplication des API et “go to market”

Selon Gartner, “Les API paraissent Actuellement au c?ur de l’architecture des applications car elles permettent une integration sans couplage extri?mement et aident au fonctionnement des applications mobiles et de nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et Notre flexibilite necessaires et permettent une mise sur le marche plus rapide de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, vous pourrez les integrer. Dans un monde ou la technologie evolue chaque jour pour repondre a toutes les besoins des consommateurs et des utilisateurs, la capacite a fournir des prestations facilement et a moindre cout reste vitale.

Mecanisme de communication preponderant et incontournable pour toute boutique en phase de transformation digitale, les API s’appuient non juste dans des donnees publiques mais egalement sur des donnees privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve de fait une question incontournable, comment assurer un acces permanent aux precisions qu’importe la zone et le device en toute marketing ?

Selon un audit concernant J’ai securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et la situation est tres similaire pour les API.

Une fuite de donnees silencieuse

La grande majorite des attaques API restent invisibles et ne semblent, de fait, detectees que tres un moment apres, pourtant lorsqu’une API en gali?re securisee conduit a une violation de precisions, nos consequences sont tres dommageables.

En septembre 2018, Facebook a fait l’objet d’un detournement massif de donnees qui possi?de affecte environ 50 millions de comptes. Pire encore, ils ont admis qu’ils ne savaient gui?re quel type d’informations avait ete vole a Notre suite de cette breche. La vulnerabilite proprement dit, qui a foutu 20 mois avant d’etre detectee et corrigee, est due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est pas une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Mes services postaux americains ont egalement connu plusieurs desagrements, en novembre 2018, suite a une vulnerabilite d’authentification dans l’API de suivi du courrier qui possi?de permis a toute personne possedant un compte de visualiser les renseignements d’autres comptes. La meme annee, une absence de securisation d’une API utilisee via Salesforce a expose les coordonnees des clients et les donnees des prospects.

Les API non securisees peuvent servir de porte derobee a une application ? securisee, une authentification robuste par rapport i  l’API est donc essentielle.

Et si le CIAM etait la reponse ?

Porte par la generalisation des prestations cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne a toutes les problematiques de provisioning utilisateur et d’authentification mais est devenu une composante rate my date rencontre connexion rencontrer essentielle d’une transformation virtuel des entreprises. Notre securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie par exemple sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central de la securisation des API, qui permet a une application d’obtenir un acces limite a une ressource pour le compte d’un utilisateur. Des applications necessitant une securite forte utilisent deja le CIAM Afin de s’integrer a plusieurs types d’identites de tiers, comme des banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.

Par sa conception, le CIAM peut evaluer les politiques d’autorisation, construire les profils d’identite et creer les attributs necessaires au fonctionnement des API tout en offrant une securite maximale.

[1] Source : Wavestone : Bilan d’une securite des e-boutiques web en France