La sécurité des API est dans tous les esprits : après tout, les API ouvrent toujours des interfaces accessibles au réseau qui n’avaient peut-être pas été exposées auparavant. S’assurer que cela ne crée pas de nouveaux risques signifie que la sécurisation des API est un aspect essentiel de la gestion des API.
La sécurité des API a toujours également été un problème technique, mais elle commence beaucoup plus tôt que lors de la simple « sécurisation d’une API ». Cela doit faire partie de l’état d’esprit général des API et de la façon dont une organisation gère les API tout au long de leur cycle de vie.
Les problèmes de sécurité des API peuvent créer un risque énorme et peuvent être très coûteux, mais il y a toujours un flux constant d’informations sur les problèmes de sécurité liés aux API. Commencer le parcours de sécurité de l’API en examinant des problèmes typiques est un exercice éducatif.
Les dix premiers
Afin d’aider à identifier les problèmes communs, l’Open Web Application Security Project (OWASP) a lancé le projet de sécurité de l’API OWASP qui a créé le Top 10 de la sécurité des API. Ces dix premiers représentent les problèmes de sécurité les plus courants avec les API :
- API1 : 2019 Autorisation au niveau des objets brisés
- API2 : 2019 Authentification de l’utilisateur interrompue
- API3:2019 Exposition excessive des données
- API4:2019 Manque de ressources et limitation de débit
- API5:2019 Autorisation de niveau de fonction cassée
- API6 : 2019 Affectation de masse
- API7:2019 Mauvaise configuration de la sécurité
- API8:2019 Injection
- API9:2019 Mauvaise gestion des actifs
- API10:2019 Journalisation et surveillance insuffisantes
Les concepteurs et développeurs d’API devraient avoir au moins un bref aperçu des dix premiers pour comprendre à quoi ressemblent les erreurs typiques. Cela aidera à éviter ces erreurs. Mais cela peut aussi aider à avoir un regard un peu plus structuré sur les catégories d’erreurs qui sont généralement commises.
Catégoriser les dix premiers
Isabelle Mauny, Field CTO et co-fondatrice de 42Crunch, parle fréquemment du top dix et via apisecurity.io donne un aperçu des dix principaux problèmes.
Pour rendre les problèmes un peu plus faciles à comprendre, ils peuvent être regroupés. Les catégories suivantes peuvent être créées et elles indiquent quels problèmes font partie de chaque catégorie :
- Authentification et autorisation (API1, API2, API4, API5)
- Protection des données (API3, API6, API8)
- Gouvernance et opérations (API7, API9, API10)
La plupart des failles de sécurité des API sont associées à plusieurs catégories et problèmes. Par exemple, la violation de l’API Parler présentait six des dix principaux problèmes (ils couvraient les trois catégories), ce qui montre généralement que ces violations sont souvent causées par un manque général de sensibilisation à la sécurité de l’API et aux dix principaux problèmes de l’OWASP en particulier.
Gestion de la sécurité des API
Isabelle Mauny explique que la sécurité commence beaucoup plus tôt que lorsque la « sécurisation d’une API » est relativement tardive dans le processus de développement. Cela devrait faire partie de la conception de l’API (par exemple, s’assurer que les données problématiques ne sont même pas exposées dans l’API) et doit donc faire partie de l’état d’esprit général et du processus de conception et de développement des API.
À cette fin, « API First » peut aider à améliorer les pratiques de sécurité des API. En développant des contrats d’API et en les discutant dès le début du processus de conception et de développement, les problèmes de sécurité des API peuvent être découverts et résolus dès le début.
Traiter la sécurité comme un aspect important tout au long du cycle de vie de l’API vous aidera à vous assurer qu’il ne s’agit pas simplement d’une réflexion après coup et que, dès le début, la sécurité fait partie de l’image pour chaque API.
Si vous souhaitez en savoir plus sur la gestion de la sécurité des API dans le cadre de vos pratiques générales de gestion des API, regardez la vidéo suivante où Isabelle Mauny parle du top dix OWASP, des trois catégories, de la violation de l’API Parler et de la façon dont pour améliorer la façon dont les organisations abordent la sécurité des API.