Selon les prédictions de plusieurs spécialistes et sociétés de conseil, les API devraient devenir une cible e choix de plus en plus plébiscitée par les cybercriminels afin d'accéder à des informations confidentielles. D'après l'étude Gartner, d'ici à 2022, les API se positionneront en première ligne des causes de fuite de données. Retrouvez dans cet article concocté par l'équipe Alcees, sept conseils pour une API mieux sécurisé.

La généralisation de l'usage des APIs

Les API ou interface de programmation facilitant l’interaction du consommateur avec les données que le fournisseur veut partager à ce dernier permettent de connecter entre elles différentes applications.

Les APIs ont été mises au grand jour par Microsoft en 1985 et se sont largement répandues depuis les années 2000 dans l’ensemble des entreprises. Les APIs se sont donc très largement généralisées dans le secteur bancaire avec l’open banking ( l’API permettant aux développeurs de concevoir des plateformes plus facilement), mais aussi l’ensemble des entreprises espérant améliorer à la fois les relations clients et les processus entre entreprises. En 2019, un nouveau cap est passé avec la DSP2 (directive européenne sur les services de paiements), qui oblige les banques à mettre en place une API sécurisée avec les différentes technologies tel que l’authentification forte. Dans le but d’accompagner la montée exponentielle du e-commerce (80 milliards d’euros aujourd’hui) nécessitant une sécurité haute pour éviter les fraudes.

Les APIs, des failles présentes mettent en danger les données des utilisateurs et de l'entreprise

La généralisations des APIs présente aussi un danger pour la fuite des données qu’elle peut occasionner si elle est mal protégée. L’étude Gartner révèle que celles-ci seront de plus en plus potentiellement exposées à des failles de sécurité.

L’étude Gartner estime même que les fuites de données via API devraient se classer au rang numéro 1 des causes de fuites de données d’ici à 2022. Un chiffre alarmant pour des systèmes présents dans les secteurs les plus sensibles en termes de données (banques, assurances, santé et réseaux sociaux ou messageries privées où les utilisateurs s’échangent potentiellement des données très sensibles).

De plus on connait l’aspect massif de l’exploitation de ces APIs par des organismes malveillants. L’équipe Alcees rappelle alors qu’en septembre 2018, Facebook avait connu un incident d’une douzaine de jours occasionné par une défaillance de contrôle d’accès sur son API. En conséquence, les photos personnelles de près de 7 millions d’utilisateurs avaient fuité pendant quelques jours. Ce qui semble inadmissible pour une plateforme proposant des messageries privées. 

Heureusement, des mesures de sécurité “privacy by design” existent pour réduire les conséquences de ce type d’aléa. C’est le bon moment pour se les approprier et faire mieux face à l’avenir.

 

Sept conseils pour une API mieux sécurisée

  1. Gardez une architecture de sécurité simple pour éviter de négliger quelque point de sécurité rendant l’API invulnérable.
  2.  Offrez une authentification forte lors de l’utilisation des données avec une liste d’IPs des utilisateurs dits sûrs. Un attaquant ne pourra tout simplement pas accéder aux données et à l’API.
  3.  Testez régulièrement la sécurité de son API en essayant de l’attaquer.
  4. Assurez-vous de valider les APIs open sources venant d’une source externe.
  5. Assurez-vous de comprendre l’objet de l’utilisation des données de l’API en incluant dans l’architecture de l’API un moyen simple d’analyser l’utilisation de l’API.
  6. Limitez l’utilisation de l’API pour repérer plus vite les attaques et ainsi limiter la perte de données.
  7. Enfin, faites confiance à une entreprise externe qui va auditer votre API et vous accompagner pour la sécuriser dès la conception.

     

Alcees facilite l'accès aux solutions-conseils de sécurisation "privacy by design" pour vos APIs dédiées aux produits financiers

Afin d’améliorer la distribution en ligne des solutions financières de proximité  au service des clients des banques et des assurances, Alcees a développé entre autres, une offre-conseil dédiée à la sécurisation d’API depuis la conception.

Le but est de permettre l’implémentation de mesures de sécurité et contrôles conformes aux standards de sécurité les plus élevés. Bien entendu, ces mesures seront aussi alignées aux corpus sécurité des nouveaux standards apportés par la directive européenne sur les services de paiements (DSP2).

Pour en savoir plus, rien de plus simple : contactez notre équipe commerciale qui se fera une joie de vous présenter une gamme complète de solutions de sécurisation de produits et services financiers en ligne !