Les API ou interface de programmation facilitant l’interaction du consommateur avec les données que le fournisseur veut partager à ce dernier permettent de connecter entre elles différentes applications.
Les APIs ont été mises au grand jour par Microsoft en 1985 et se sont largement répandues depuis les années 2000 dans l’ensemble des entreprises. Les APIs se sont donc très largement généralisées dans le secteur bancaire avec l’open banking ( l’API permettant aux développeurs de concevoir des plateformes plus facilement), mais aussi l’ensemble des entreprises espérant améliorer à la fois les relations clients et les processus entre entreprises. En 2019, un nouveau cap est passé avec la DSP2 (directive européenne sur les services de paiements), qui oblige les banques à mettre en place une API sécurisée avec les différentes technologies tel que l’authentification forte. Dans le but d’accompagner la montée exponentielle du e-commerce (80 milliards d’euros aujourd’hui) nécessitant une sécurité haute pour éviter les fraudes.
La généralisations des APIs présente aussi un danger pour la fuite des données qu’elle peut occasionner si elle est mal protégée. L’étude Gartner révèle que celles-ci seront de plus en plus potentiellement exposées à des failles de sécurité.
L’étude Gartner estime même que les fuites de données via API devraient se classer au rang numéro 1 des causes de fuites de données d’ici à 2022. Un chiffre alarmant pour des systèmes présents dans les secteurs les plus sensibles en termes de données (banques, assurances, santé et réseaux sociaux ou messageries privées où les utilisateurs s’échangent potentiellement des données très sensibles).
De plus on connait l’aspect massif de l’exploitation de ces APIs par des organismes malveillants. L’équipe Alcees rappelle alors qu’en septembre 2018, Facebook avait connu un incident d’une douzaine de jours occasionné par une défaillance de contrôle d’accès sur son API. En conséquence, les photos personnelles de près de 7 millions d’utilisateurs avaient fuité pendant quelques jours. Ce qui semble inadmissible pour une plateforme proposant des messageries privées.
Heureusement, des mesures de sécurité “privacy by design” existent pour réduire les conséquences de ce type d’aléa. C’est le bon moment pour se les approprier et faire mieux face à l’avenir.
Afin d’améliorer la distribution en ligne des solutions financières de proximité au service des clients des banques et des assurances, Alcees a développé entre autres, une offre-conseil dédiée à la sécurisation d’API depuis la conception.
Le but est de permettre l’implémentation de mesures de sécurité et contrôles conformes aux standards de sécurité les plus élevés. Bien entendu, ces mesures seront aussi alignées aux corpus sécurité des nouveaux standards apportés par la directive européenne sur les services de paiements (DSP2).
Pour en savoir plus, rien de plus simple : contactez notre équipe commerciale qui se fera une joie de vous présenter une gamme complète de solutions de sécurisation de produits et services financiers en ligne !