L'écosystème des API est mondial et en pleine expansion. Dans son Rapport 2021 sur l'état des API, Postman a rapporté que sa base d'utilisateurs s'étendait sur 234 pays et avait collectivement effectué 855 millions de requêtes API. Plus de la moitié des répondants à l'enquête Postman ont également indiqué qu'ils déployaient de nouvelles API en production une fois par jour, une fois par semaine ou une fois par mois. De même, Axway a rapporté que les entreprises axées sur les API construisent des API en quelques heures ou jours plutôt qu'en semaines ou mois, leur permettant de livrer plus de 40 projets numériques par an. Ces statistiques reflètent une cadence de livraison rapide et un paysage des API en mutation qui se traduit inévitablement par davantage d'API et une surface d'attaque API évolutive.
La prolifération significative des API s'est transformée en un étalement significatif des API, ce qui augmente les défis opérationnels et de sécurité pour les organisations. Plusieurs facteurs contribuent à l'étalement des API, notamment :
- L'adoption de modèles de conception cloud-native et d'architectures de microservices
- L'utilisation d'infrastructures cloud compatibles API
- Le support de populations d'utilisateurs (consommateurs et employés) de plus en plus mobiles, ainsi que des identités machine
- La consommation de services fournis en SaaS et d'applications mobiles
- Les intégrations avec les partenaires et les fournisseurs, communément appelées chaînes d'approvisionnement numériques
Les disparités de protocole API contribuent également à l'étalement des API, car plusieurs API peuvent devoir être construites ou intégrées pour prendre en charge divers clients et types de services. REST domine toujours une grande partie du paysage des API, mais GraphQL gagne également en adoption, tout comme gRPC au sein des architectures de microservices.
Comment en sommes-nous arrivés là ?
Il est pratiquement impossible pour une organisation de satisfaire tous les éléments d'une transaction client ou employé de bout en bout. Presque toutes les entités, quel que soit leur secteur d'activité, travaillent avec d'autres fournisseurs et partenaires pour faciliter les fonctionnalités ou échanger des données. Depuis leur adoption généralisée au début des années 2000, les API sont le principal mécanisme pour fournir des fonctionnalités et servir des données. L'étalement des API qui en résulte est un indicateur de l'efficacité des API pour la prestation de services.
L'étalement des API introduit des défis opérationnels et de sécurité importants pour les organisations. Les préoccupations urgentes incluent le risque d'abus de logique métier, d'exposition des données et d'impacts sur la confidentialité. Avec l'étalement des API, il y a aussi une forte probabilité qu'une organisation donnée ne comprenne qu'une fraction de sa consommation totale d'API. Ces défis ne peuvent pas être relevés en utilisant des approches traditionnelles comme les passerelles API ou les pare-feu d'applications web (WAF). En effet, la plupart des problèmes de sécurité API présentés dans le OWASP API Security Top 10 ne sont pas directement résolubles avec ces technologies.
Le défi de la gestion des actifs API
De nombreuses organisations adoptent l'infrastructure et les services cloud à divers degrés, et le calcul dans le cloud est devenu de plus en plus abstrait. Les organisations hébergent également encore un grand nombre de systèmes et d'applications dans des centres de données sur site. De plus, de nombreuses organisations adoptent d'autres « formes de cloud » au-delà de l'infrastructure en tant que service, y compris des plateformes de conteneurs gérés ou Kubernetes, des plateformes d'applications low-code, et des plateformes serverless ou fonction en tant que service. Certaines organisations consomment également fréquemment des offres de logiciel en tant que service pour soutenir leurs activités. Kubernetes lui-même est une infrastructure déclarative, avec laquelle on interagit via des API. Et la plupart des applications ou services développés aujourd'hui sont compatibles API ou API-first.
L'inventaire des API d'une organisation est également plus vaste que les API qu'elle gère via des passerelles API ou celles qu'elle publie officiellement au sein d'une suite de gestion des API. Souvent, ces API n'incluent que les API exposées sur Internet pour lesquelles une observabilité et un contrôle d'accès accrus sont souhaités. Ou, dans le cas de l'APIM, il peut s'agir uniquement des API qui sont commercialisées ou monétisées par l'organisation. Axway a indiqué que l'entreprise moyenne utilise trois offres différentes de gestion des API, ce nombre devant atteindre cinq pour certaines organisations d'ici 2023. Cette réalité de l'architecture d'entreprise et de la livraison d'API entraîne des angles morts pour les organisations en ce qui concerne la gestion unifiée des API, la visibilité et la gouvernance.
Le large éventail de types d'applications, de calcul et de services rend difficile pour les équipes de sécurité d'atteindre une visibilité et un contrôle universels. Même si une organisation pouvait obtenir une visibilité complète sur tous ses actifs, elle n'aurait pas le même niveau de visibilité sur l'ensemble de ses partenaires et fournisseurs et sur la chaîne d'approvisionnement numérique complète.
Maîtriser la prolifération
Obtenir une visibilité sur tous vos environnements est essentiel pour maîtriser la prolifération des API. Il ne suffit pas de déployer une passerelle API ou un proxy périmétrique — cela ne vous donnera pas une image complète de votre trafic API. Vos systèmes, applications et API, ainsi que les données avec lesquelles ils interagissent, s'étendent sur de nombreux environnements. La découverte de tous les actifs API exige que l'organisation collecte des données de télémétrie à plusieurs points de son architecture d'entreprise.
Pour faire face à la prolifération des API, les organisations doivent inévitablement rechercher de nouveaux outils qui :
- s'intègrent aux nombreuses piles technologiques et aux divers types de calcul utilisés dans tous les environnements
- fonctionnent en tandem avec les proxys et passerelles réseau préexistants pour appliquer le type d'atténuation le plus approprié, au point le plus pertinent d'une architecture, pour un exploit ou un abus d'API donné
- est fonctionnel « prêt à l'emploi »
- apprend en continu la spécificité des environnements et de la logique métier d'une organisation
Les plateformes de sécurité API réduisent vos risques
Les outils de sécurité API dédiés, et plus spécifiquement les plateformes qui offrent des capacités de sécurité sur l'ensemble du cycle de vie, aident les organisations confrontées au problème de la prolifération des API. L'inventaire des API d'une organisation donnée doit inclure toutes les API internes (privées), externes (publiques), partenaires et tierces. La découverte continue de toutes les API qu'une organisation construit, intègre ou consomme permet aux équipes API et aux équipes de sécurité de mieux comprendre leur risque de sécurité API relatif et de prioriser les contrôles de sécurité plus efficacement.
Cet état final ne peut être atteint qu'avec des outils de sécurité qui sont eux-mêmes à l'échelle du cloud et qui utilisent amplement l'IA/ML (c'est-à-dire l'assistance machine) pour analyser toutes les données de télémétrie API, produire des signaux significatifs pour les équipes informatiques et protéger les API en conséquence.
Chez Salt, nous aidons nos clients à maîtriser la prolifération de leurs API grâce à la découverte automatique d'API, la classification des données, la détection et la prévention des attaques API, et des tactiques de « shift-left » qui identifient les vulnérabilités des API en pré-production. Si vous souhaitez voir la plateforme en action, demandez une démonstration personnalisée.
