Le mandat d'un RSSI est de permettre à l'entreprise d'avancer sur les initiatives de croissance clés tout en réduisant les risques. À cette fin, il doit continuellement évaluer et peser les implications en matière de sécurité de nombreuses initiatives stratégiques, en pesant finalement l'impact potentiel sur :
- La rapidité de mise sur le marché
- L'avantage concurrentiel
- La réputation de la marque
En se concentrant sur la manière dont leur infrastructure de sécurité aide ou entrave la réalisation de ces trois objectifs, les RSSI contribuent au succès de l'entreprise. Dans le paysage actuel, un nouveau domaine a émergé, intrinsèquement lié à ces trois dynamiques d'entreprise : l'utilisation des API pour stimuler l'innovation.
Les API envahissent le monde
Les API sont essentielles pour que les entreprises puissent soutenir leurs initiatives de transformation numérique innovantes et génératrices de revenus. Services bancaires ouverts, services mobiles et en ligne, applications de partage d'informations numériques, DoorDash, Uber, PayPal, Spotify, Netflix, Tesla — la liste est longue — toutes nécessitent des API pour fonctionner.
Les entreprises développent et déploient des API plus rapidement et en plus grande quantité que jamais. Les API leur permettent de créer et de commercialiser des services avancés, ouvrant de nouvelles voies commerciales et sources de revenus. La numérisation a accéléré cette tendance, et la Covid a accéléré sa mise en œuvre. Les entreprises ont dû rapidement déployer des services à distance pour les employés et les clients et créer des intégrations de produits pour prendre en charge une myriade d'appareils — tout cela nécessitant des API. Il n'est pas étonnant que la plateforme d'API publique Postman ait atteint un record de 20 millions d'utilisateurs plus tôt cette année.
Cependant, parce que les API partagent des données très sensibles avec les clients, les partenaires et les employés, elles sont également devenues une cible très attrayante pour les attaquants. Les RSSI ont reconnu le risque.
Selon une nouvelle étude publiée par AimPoint Group, W2 Communications et CISOs Connect, Le rapport des RSSI, Perspectives, défis et plans pour 2022 et au-delà, les RSSI ont identifié les composants informatiques suivants comme étant ceux nécessitant le plus d'améliorations en matière de sécurité :
- API — 42 %
- Applications cloud (SaaS) — 41 %
- Infrastructure cloud (IaaS) — 38 %
Les API accélèrent la mise sur le marché
Plus une entreprise peut commercialiser rapidement de nouveaux services, plus les avantages sont rapides. Pour certaines entreprises (pendant la Covid), la rapidité de mise sur le marché a fait la différence entre maintenir l'activité et cesser les opérations. L'utilisation des API a garanti que les organisations restaient opérationnelles.
Les entreprises doivent toujours évaluer la valeur et les coûts en termes de gain ou de perte dans la course à la rapidité de mise sur le marché. Elles doivent prendre en compte les obstacles qui pourraient entraver cette rapidité. Dans le cas des API, les menaces de sécurité constituent un obstacle énorme. Elles peuvent ralentir les déploiements ou — pire encore — les rendre irréalisables.
En protégeant les API de l'exploitation, les entreprises garantissent leur capacité à accélérer la mise sur le marché, à saisir les opportunités de croissance et à maintenir leur avantage concurrentiel.
Les API offrent un avantage concurrentiel
La rapidité de mise sur le marché est un facteur sous-jacent important qui contribue à l'avantage concurrentiel d'une organisation. En tant que pionniers du secteur, les entreprises ont l'opportunité d'acquérir la part du lion d'un marché et de ses profits.
Dans les services financiers, l'avantage concurrentiel est un objectif commercial crucial, et la transformation technologique en est la composante stratégique essentielle. Les entreprises FinTech ont stimulé les attentes des clients, et l'open banking est dans leur sillage, offrant des innovations et des commodités inimaginables en liant facilement les applications mobiles aux comptes bancaires.
Les institutions bancaires et financières doivent rester à la pointe de ces services pour être compétitives et pertinentes. Les API sont le moteur de ces capacités et permettent aux institutions de prendre une longueur d'avance sur la concurrence.
Cependant, les menaces de sécurité et le manque de conformité réglementaire peuvent compromettre la réussite de la mise en œuvre des API et entraîner des amendes coûteuses. Les entreprises doivent garantir la sécurité des échanges entre les applications émergentes et les précieuses données financières des clients. Les API représentent le point d'accès aux informations personnelles identifiables (PII) et à d'autres actifs de données importants que les attaquants ciblent pour leur propre profit et au détriment de l'entreprise.
Une approche de sécurité adéquate protège la réputation de la marque
Sans réputation de marque, les entreprises perdent leur avantage concurrentiel. Parmi tous les domaines de risque commercial, la réputation de la marque est peut-être le plus important et peut avoir l'impact le plus durable. Une réputation de marque positive véhicule l'intégrité, inspire confiance et engendre la fidélité des clients.
Les API contribuent à des services qui peuvent améliorer la réputation d'une marque en la rendant visionnaire et orientée client. Cependant, si ces API sont compromises, tous ces avantages se dissipent en un instant, remplacés par la méfiance, la peur et l'attrition des clients.
Pourtant, le déploiement croissant et rapide des API, combiné à leur logique métier unique, rend leur sécurisation complexe. Les solutions de sécurité traditionnelles, telles que les WAF et les passerelles API, peuvent être efficaces contre les attaques simples, mais ne protègent pas contre la quantité et la complexité croissantes des attaques d'API. Des recherches récentes montrent que le trafic d'attaques d'API augmente à plus du double du rythme du trafic API global.
Sécurité API dédiée — le coût incontournable des affaires
Les opportunités de croissance financière promises par les API sont immenses, mais pour en tirer parti, les RSSI doivent assurer la protection de leurs API. Les API soutiennent l'interconnectivité des joyaux de la couronne d'une entreprise — les données essentielles et sensibles dont les entreprises ont besoin pour fournir leurs biens et services numériques.
Toute entreprise qui développe des logiciels est devenue une entreprise pilotée par les API. Pour les entreprises pilotées par les API, la protection de ces API n'est plus une question — c'est simplement le coût incontournable des affaires dans un environnement numérique transformé. Sans une sécurité API dédiée pour protéger ces outils de connectivité cruciaux, les entreprises mettent tout en péril — la rapidité de mise sur le marché, l'avantage concurrentiel et la marque elle-même.
Enfin et surtout, les RSSI doivent adopter une approche collaborative de la sécurité des API. Les API touchent tous les domaines de l'entreprise. Les RSSI doivent jouer un rôle actif dans la formation des équipes sur leurs initiatives de sécurité des API et leur importance dans la réduction des risques de l'entreprise. Les RSSI doivent fournir les réponses et les éclaircissements qui donnent les moyens aux autres d'atteindre les objectifs de sécurité.
Tous les RSSI vous diront que la création d'une culture de la sécurité forte et transversale reste leur priorité numéro un. Pour instaurer cette mentalité de sécurité, les dirigeants doivent prioriser les relations, reconnaître la contribution de chacun à la sécurité, et communiquer continuellement l'importance vitale de la sécurité pour atteindre les objectifs commerciaux globaux.
Cet article a été publié pour la première fois dans Forbes en tant que contribution du Forbes Technology Council.
Pour en savoir plus sur la façon dont Salt peut aider à défendre votre organisation contre les risques liés aux API, vous pouvez contacter un représentant ou planifier une démo personnalisée.
