Les développeurs lancent des logiciels pour suivre la présence numérique croissante des utilisateurs. Beaucoup de ces programmes reposent sur des interfaces de programmation d’applications (API). Selon IBM, les API permettent aux entreprises de connecter les données et les fonctionnalités de leurs applications à celles d’autres entreprises. Les API permettent aux entreprises de fournir et d’améliorer plus facilement les produits et services numériques sur lesquels les utilisateurs comptent.
Il n’est donc pas surprenant que les API se soient développées ces dernières années. Postman a observé que ses collections, ou dossiers dans lesquels les développeurs d’API regroupent leurs demandes d’API, ont doublé, passant de 17,4 millions à 34,9 millions entre janvier 2019 et janvier 2020 seulement. En janvier 2021, le nombre de collections Postman avait dépassé les 46 millions.
Ces chiffres reflètent la valeur des API pour permettre des services numériques tels que la fourniture d’expériences multi-appareils pour les consommateurs, par exemple. Le passage aux microservices et aux déploiements cloud a également considérablement augmenté l’utilisation des API.
Les défis de la sécurisation des API
Les API peuvent soutenir les intérêts commerciaux des organisations et révolutionner les expériences des clients à l’ère numérique, mais elles doivent toujours être sécurisées. Cependant, c’est plus facile à dire qu’à faire. Une application pilotée par API peut s’appuyer sur des milliers de microservices, a noté Forbes, ce qui rend difficile pour les équipes de sécurité et d’autres parties prenantes clés le suivi de leurs API.
Non seulement cela, mais les organisations ont également du mal avec les moyens qu’elles utilisent pour sécuriser leurs API. Dans un rapport de 2020, Forrester a découvert que les contrôles de sécurité basés sur le périmètre ne protégeaient pas de manière adéquate les API des organisations contre les attaques numériques, des événements dont la gravité, la sophistication et la fréquence ne cessent de croître. Le CSO a noté que les API représenteront 90 % de la surface d’attaque d’ici la fin de 2021, par exemple, tandis que Gartner a longtemps prédit que les API deviendraient le vecteur d’attaque d’application le plus fréquent d’ici 2022. Il n’est donc pas surprenant que seulement 2 % des professionnels de l’informatique d’entreprise ont déclaré qu’ils étaient totalement confiants dans la capacité de leur employeur à gérer les accès non autorisés, les risques de conformité et d’autres problèmes de sécurité des API, selon Help Net Security.
Sur la recommandation pour la confiance zéro
Reconnaissant les défis évoqués ci-dessus, certains proposent la confiance zéro comme réponse possible à la sécurité des API. Parmi eux se trouve Jason Needham, PDG de Cloudentitty. Voici ce qu’il a dit à Help Net Security :
À mesure que les points de terminaison d’API se multiplient, les entreprises doivent normaliser et améliorer les contrôles qu’elles utilisent pour protéger ces données, en appliquant une approche de confiance zéro à l’accès aux API et à l’échange de données. Cela va au-delà de la simple authentification. Nous devons passer à un modèle où chaque transaction d’API est autorisée de manière dynamique et facilement auditée pour la conformité, et surveillée pour toute activité suspecte.
Pour que les organisations soient en mesure d’auditer la conformité de leurs API et de surveiller les anomalies, elles doivent se concentrer sur la refonte de leur processus de découverte d’API. Les équipes informatiques et de sécurité doivent cesser de créer manuellement des inventaires d’API, car ces processus sont sujets aux erreurs humaines, prennent beaucoup de temps et ne sont presque jamais terminés. Selon les termes de Salt Security, « la découverte automatisée des points de terminaison, des paramètres et des types de données d’API est cruciale pour toutes les organisations ».
Comment les organisations peuvent combiner la confiance zéro et la sécurité des API
Les organisations ne peuvent pas allier confiance zéro et sécurité des API à la volée. Ils ont besoin d’une stratégie de sécurité API complète qui respecte certains des principes fondamentaux de la confiance zéro. VentureBeat a noté qu’une telle stratégie devrait inclure les éléments suivants :
- Gouvernance: Zero Trust peut aider la gouvernance des API à évoluer en équilibrant le besoin de conformité avec les nouvelles fonctionnalités de sécurité des API et des points de terminaison.
- La gestion: Le personnel d’Infosec peut imposer une confiance zéro dans la sécurité des API en implémentant le principe du moindre privilège et de la micro-segmentation à chaque étape du cycle de vie du développement logiciel (SDLC) ainsi que le processus d’intégration continue/livraison continue (CI/CD). Cette surveillance contribuera à garantir que la sécurité de l’API devient une partie intégrante du SDLC et non une réflexion après coup.
- Le degré: La sécurité ne doit pas nécessairement s’arrêter au processus de codage de l’API. Dans un esprit de confiance zéro, les équipes de sécurité peuvent appliquer partout les principes de « refus par défaut » et forcer l’authentification de tous les utilisateurs et appareils liés aux API.
Les limites de Zero Trust pour la sécurité des API
Zero Trust peut aider les organisations à renforcer la sécurité de leur API, notamment en mettant en place un service d’authentification central pour approuver les demandes. Même ainsi, la confiance zéro a ses limites. Selon les termes de Security Boulevard, « la confiance zéro ne fonctionnera pas de manière universelle sur les API. La gestion de la sécurité pour le service d’authentification n’est pas en mesure d’agir seule comme une application totalement zéro confiance. »
Le problème ici est que Zero Trust et Zero Trust Network Access (ZTNA) ne partagent pas nécessairement les mêmes priorités que les API. Selon Salt Security, la confiance zéro vise à restreindre l’accès, tandis que les API nécessitent un accès réseau pour fonctionner.
Où cela laisse-t-il les organisations ?
La confiance zéro est une bonne stratégie de sécurité. Cependant, les équipes infosec ne peuvent pas protéger leurs API en utilisant uniquement des contrôles d’accès. Ils doivent envisager la possibilité de compléter leurs efforts de confiance zéro avec d’autres initiatives conçues pour protéger leurs API de manière plus complète, telles que la détection d’anomalies et le blocage dynamique pour se défendre contre les menaces émergentes.