Les API sont-ils responsables des fuites de données ?

Les API  (Application Programming Interface) sont des interfaces de programmation applicatives permettant à différentes applications  de collaborer, d’échanger et de se communiquer entre elles des données et des services. Aucune intervention humaine n’est nécessaire.

Une API est  ainsi composée d’un ensemble de fonctions simplifiant, grâce à des programmes informatiques, l’accès aux services d’une application.

Cela vous semble abstrait ? Pourtant, vous utilisez déjà des API au quotidien. Il y a en a même probablement sur le site web de votre entreprise. Or, ce n’est pas sans poser des problèmes de cybersécurité.

API et cybersécurité

Quel est le rôle des API ?

Pour faire simple, les API sont massivement utilisées dans le domaine d’Internet. Les développeurs les mettent en place pour automatiser le lancement d’un programme sans avoir à se préoccuper de la complexité du fonctionnement d’une application.

Prenons un exemple. Un internaute veut utiliser un service de cartographie interactive (ex : Google Maps) sur un site web (ex : votre blog professionnel). L’API alors va permettre au serveur et au service d’échanger des informations. La carte s’affiche donc correctement sur l’ordinateur de l’utilisateur final.

Parce qu’elles sont modulables et flexibles, les API sont utilisées sur la plupart des sites web et des applications existantes, mais aussi dans les systèmes d’exploitation, les bases de données, l’open data… Gmail, Dropbox, Facebook, les appli météo, Adwords, Office 365… se servent  notamment d’API.

Un excellent retour sur investissement

Au vu des nombreux avantages apportés par cette technologie, il ne faut pas être devin pour savoir qu’elle va prendre de l’ampleur dans les prochaines années.

Les API sont notamment réputer pour faire décoller les ventes. Pour vous donner un ordre de grandeur, elles génèrent 90% du chiffre d’affaires d’Expédia, 60% de celui d’Ebay et la moitié de celui de Salesforce.

Plus de 13 000 interfaces sont déjà ouvertes (source: ProgrammableWeb) mais ce n’est qu’un début. Selon le cabinet Gartner, dans les 3 ans qui viennent, 65% du CA des fournisseurs mondiaux de services d’infrastructures émanera de services activés par des API. À titre de comparaison, en 2018, cette part ne dépassait pas les 15%.

Qui dit nouvelle technologie, dit failles de sécurité

Sans surprise, les pirates d’Internet adorent ce qui est déjà surnommé l’ « API Economy ». En effet, les API leur permettent d’accéder aux données personnelles et professionnelles les plus sensibles.

Mais les entreprises n’ont pas encore pris conscience de ces enjeux : un quart d’entre elles reconnaît ne pas avoir mis en place de système d’authentification pour les API. De plus, 38% ne le font que de temps en temps (source : F5 Labs, le laboratoire de recherche en cybermenaces de la société F5).

Ces pratiques sont très risquées ! Panara Bread, une chaîne de cafés américaine, en a fait l’amère expérience. En laissant un terminal API non authentifié exposé sur son site web, elle a permis la divulgation des informations personnelles de plus de 37 millions d’utilisateurs. Pendant huit mois, n’importe qui pouvait consulter les données de sa clientèle (date de naissance, régime alimentaire…), y compris les numéros de carte bleue !

L’impact financier mais aussi au niveau de l’image de marque peuvent être très lourd. Il ne faut pas oublier non plus qu’avec le RGPD, il y a une obligation légale concernant la sécurité des données.

Comment bien sécuriser les API ?

Voici 7 bonnes pratiques à mettre en place pour renforcer la cybersécurité de l’entreprise :

1) Dressez l’inventaire des API.

Vous ne pourrez pas évaluer votre degré de vulnérabilité aux menaces si vous ne connaissez pas toutes les API utilisées dans votre organisation.

2) Prévoyez une authentification pour chaque API.

Cela suppose :

  • De renforcer l’authentification pour les informations personnelles/sensibles.
  • D’ajouter un maillon de sécurité informatique en prévoyant un stockage séparé et fiable des identifiants.

3) Contrôlez les autorisations.

Elles doivent être verrouillées. Seules les personnes habilitées doivent pouvoir utiliser les API.

4) Gardez une trace de toutes les connexions.

Quels sont les utilisateurs qui se sont connectés aux API ? Ont-ils eu un comportement anormal ? Quelles sont les ressources transmises via les API ? En matière de cybersécurité, il est important d’effectuer un véritable suivi pour identifier facilement, le cas échéant, une défaillance.

5) Utilisez le chiffrement.

Les connexions doivent impérativement être cryptées, et les certificats doivent être validés.

6) Installez des outils de sécurité adaptés.

Un proxy ou un pare-feu pourront se charger de l’inspection, de la validation et de la limitation des requêtes API.

7) Testez en permanence votre sécurité informatique.

Il ne faut pas attendre d’être victime d’une cyberattaque pour découvrir une faille potentielle. Réalisez des tests continus pour traquer les vulnérabilités des API.

Les solutions de MDK Solutions

MDK Solution

Pour vous aider à sécuriser les API, nous vous proposons plusieurs offres. Ces dernières vous permettent de protéger vos données avec une Sauvegarde Automatique et un Chiffrement. Généralement, le chiffrement des données consiste à Chiffrer les données afin que seules les personnes pourvues de la clé « secrète » de chiffrement, et pour les Solutions plus robuste  d’un mot de passe et d’un élément physique, soient en mesure de les lire. Pour notre part, nous avons fait le choix d’ajouter l’Usage d’un Disque Virtuel sécurisé. Celui-ci permet d’ajouter une forte confidentialité. En effet, vos fichiers ne sont visibles que lorsque votre KryptKey est connecté à l’ordinateur. Attention tout de même à ne pas oublier de quitter l’application, pour le rendre invisible lors de la déconnexion de la clé.

Partager cette page
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin