Les APIs, des opportunités pour les entreprises comme pour les attaquants

Le succès des API dans le développement applicatif n’est pas à démontrer : elles sont devenues omniprésentes. Il y a une bonne raison à cela : elles permettent aux développeurs de connecter des applications et des services différents, ce qui simplifie et accélère le développement d’applications. Les API permettent également aux développeurs d’utiliser des fonctionnalités existantes sans avoir à les coder eux-mêmes, et sont donc susceptibles de leur faire gagner beaucoup de temps et d’efforts.

Las, les API sont également source de nouvelles opportunités pour des acteurs malveillants. En effet, elles peuvent être utilisées afin d’accéder à des données et des systèmes sensibles. Les acteurs malveillants pourraient notamment utiliser les API pour voler des données, en profitant par exemple de défauts de configuration ou de filtrage des données retournées en réponse à des requêtes. Sans compter l’exploitation de défauts dans le contrôle des identités et des accès. 

À cela s’ajoute la possibilité, pour des acteurs malveillants, de viser des API afin de lancer des attaques en déni de service distribué (DDoS) contre des systèmes et des applications. 

Pour éviter cela, des passerelles d’API peuvent aider, de même que l’adoption d’une approche sans confiance et l’application d’une stricte politique de moindre privilège. Sans compter le maintien d’un inventaire strict des API exposées par son système d’information, afin de lutter contre le phénomène de Shadow API. 

L’équilibre entre performances, fiabilité et sécurité peut sembler difficile à trouver, mais il n’y a là rien d’insurmontable ; et à plus forte raison si la sécurité est prise en compte tout au long du flux CI/CD. 

L’importance de la question de la sécurité des API a motivé le fait d’y consacrer ce nouveau numéro de notre magazine numérique Information Sécurité. Avec en prime un témoignage de Decathlon.

Téléchargez gratuitement
le magazine Information sécurité n° 27