Et si la reussite quelques notions client dependait une securisation des API ?

Et si la reussite quelques notions client dependait une securisation des API ?

Pour fournir a ses clients et utilisateurs la meilleure experience numerique possible, les strategies de developpement basees sur les API se sont multipliees. Mais quelles bonnes pratiques de securite adopter ?

On estime qu’actuellement une seule transaction dans le web ou via 1 smartphone transite en moyenne par 35 systemes ou composants technologiques differents, contre 22 depuis seulement cinq annees.

Mes API (ou interface de programmation d’applications) sont desormais au c?ur du fonctionnement du web : application meteo, systeme de navigation, comparateur tarifaire tout transite via des API. Toutefois, connecter des services necessite d’echanger de precisions. quelquefois critiques. La politique de securisation des API est-elle optimale ? Mes dernieres fuites de donnees chez Facebook, Apple, Tinder. tendent a demontrer le contraire. Alors De quelle fai§on tirer pleinement profits des benefices offerts via les API tout en securisant des informations des firmes ainsi que leurs utilisateurs ?

Multiplication des API et “go to market”

Selon Gartner, “Mes API sont tout i  l’heure au c?ur de l’architecture des applications car elles permettront une integration sans couplage tri?s et aident au fonctionnement des applications mobiles ainsi que nombreux appareils IoT”. Elles favorisent l’innovation interne en offrant l’agilite et Notre flexibilite necessaires et permettront une mise dans le marche plus pratique de nouveaux services. Plus besoin de developper des fonctionnalites necessaires au fonctionnement d’une application si elles existent deja ailleurs, il suffit de les integrer. Dans un monde ou la technologie evolue en permanence pour satisfaire a toutes les besoins des consommateurs et des utilisateurs, la capacite a fournir des services rapidement et a moindre cout reste vitale.

Mecanisme de communication preponderant et incontournable concernant toute boutique en phase de transformation digitale, les API s’appuient non seulement sur des informations publiques mais egalement concernant des informations privees voir sensibles (n° de carte bancaire, n° de securite sociale, . ). Cette interconnexion de services et d’applications souleve du coup une question incontournable, comment garantir un acces permanent a toutes les precisions qu’importe le lieu et le device en toute securite ?

Selon votre audit dans Notre securite de 128 applications web[1], des failles graves ont ete observees dans 60% des cas et la situation est tres similaire pour les API.

Une fuite de donnees silencieuse

La grande majorite des attaques API restent invisibles et ne sont, du coup, detectees que fort un moment apres, pourtant lorsqu’une API en gali?re securisee conduit a une violation de donnees, des consequences sont tres dommageables.

En septembre 2018, Facebook a fera l’objet d’un detournement massif de donnees qui a affecte environ 50 millions de comptes. Pire encore, ils ont admis qu’ils ne savaient pas quel type d’informations avait ete vole a Notre suite de cette breche. Notre vulnerabilite proprement dit, qui possi?de enfile 20 mois avant d’etre detectee et corrigee, etait due a une fonctionnalite de View As, une API qui permettait aux developpeurs de mettre les pages en mode utilisateur. Ce n’est pas une premiere pour la firme de Menlo Park et c’est loin d’etre un cas isole. Les services postaux americains ont egalement connu certains desagrements, en novembre 2018, suite a une vulnerabilite d’authentification au sein d’ l’API de suivi du courrier qui possi?de permis a toute personne possedant un compte de visualiser les precisions d’autres comptes. La aussi annee, un manque de securisation d’une API utilisee par Salesforce a expose les coordonnees de la clienti?le et les donnees des prospects.

Les API non securisees peuvent servir de porte http://datingmentor.org/fr/mate1-review/ derobee a une application ? securisee, une authentification robuste par rapport i  l’API est donc essentielle.

Et si le CIAM etait la reponse ?

Porte par la generalisation des services cloud, le CIAM (customer identity and access management) n’est desormais plus cantonne aux problematiques de provisioning utilisateur et d’authentification mais est devenu une composante essentielle d’la transformation numerique des firmes. Notre securite etant inherente a toute solution de gestion des identites et des acces, elle s’appuie par exemple sur le protocole de delegation d’autorisation OAuth (Open Authorization), element central une securisation des API, qui permet a une application d’obtenir un acces limite a une ressource pour le compte d’un utilisateur. Des applications necessitant une securite forte utilisent deja le CIAM pour s’integrer a quelques types d’identites de tiers, comme les banques, les operateurs de reseaux mobiles ou le gouvernement – des acteurs qui exigent une verification fine des identites numeriques.

Par sa conception, le CIAM est en mesure de evaluer les politiques d’autorisation, construire nos profils d’identite et creer les attributs necessaires au fonctionnement des API tout en offrant une securite maximale.

[1] Source : Wavestone : Bilan de la securite des e-boutiques internet en France

This entry was posted in mate1 connexion. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *