API SECURITY
Les API (Application Progamming Interface) sont des interfaces de communication permettant à des applications d'échanger des services ou des données.
Ces API utilisent soit le protocole simple d'accès aux objets (SOAP) soit le protocole « Representational State Transfer » (REST).
Avec la transformation numérique, les API sont devenues incontournable et leur nombre ne cesse de croitre.
En effet, les applications (web ou mobiles), les plateformes web, les environnement cloud ou hybride utilisent tous des API pour échanger des données afin de les rendre accessible aux utilisateurs. De plus, les API sont utilisées également pour les communications entre des objets connectés – IoT.
Ceci dit, étant donné que les API peuvent véhiculer des données sensibles, voire personnelles, ces API sont devenus « le premier vecteur d’attaque » selon le cabinet Gartner (étude 2021).
Les cybercriminels sont de plus en plus enclins à exploiter des vulnérabilités des API (développées en REST ou SOAP) car il existe plusieurs angles d’attaque. Par exemple : failles de sécurité au niveau du code source, schéma de l’API non disponible, injection SQL, le cross site scripting (XSS), Utilisation de composants qui ont des vulnérabilités connues. D’autant plus, que la réglementation RGPD exige de sécuriser les données en transit (lorsqu’elles sont véhiculées par les requêtes http/Https). Voir Chapitre IV, Section 2, Article 32.
Ainsi, la sécurité des API doit faire partie d’une vraie stratégie en matière de cybersécurité.
Nous avons donc sélectionné une solution d’API, permettant de répondre à ces enjeux de sécurité de manière continue (car les vulnérabilités évoluent sans cesse…).
Nous conseillons vivement de mettre en place une plateforme type « Proxy » permettant de :
Contrôler le schéma de l’API : Détection des attaques au niveau des API : validation & authentification des « requêtes » API http/https ; flux entrant et sortant,
Inspection approfondie des paquets http/https « Deep Packet Inspection » : ouverture du paquet de communication et analyse des métadonnées afin de les comparer au schéma de l’API et l’identification d’anomalie,
Détection des vulnérabilités : en cas d’anomalie détectée, alerter les équipes de sécurité en temps réel, voire bloquer la requête si criticité avérée,
Contrôler les flux latéraux en interne entre les micro services, et les flux sortant pour éviter la fuite de données,
Exportation des logs pour être en conformité avec la réglementation et au besoin envoyer ces informations vers des outils de SIEM et/ou de big data.
