Les API sont désormais des composants fondamentaux de l’architecture logicielle moderne, facilitant la communication entre les différentes applications logicielles.
Il est donc essentiel de comprendre leurs implications en matière de sécurité.
La découverte des API et l’évaluation des risques sont des étapes fondamentales de la protection de ces actifs.
Les outils traditionnels d’exploration du web ne sont pas adaptés aux API en raison de leur conception et de leur fonctionnement inhérents, ce qui rend nécessaire l’utilisation d’outils de découverte spécialisés pour identifier les vulnérabilités potentielles et les points d’accès non autorisés.
Surmonter les obstacles invisibles à la découverte d’API
Les API, de par leur nature, ne sont souvent pas visibles ou compréhensibles pour les personnes qui ne jouent pas un rôle technique, ce qui entraîne des problèmes de visibilité importants.
Lorsque les entreprises passent de systèmes traditionnels basés sur le web à des cadres centrés sur les API, elles perdent souvent leur visibilité opérationnelle.
Un manque de transparence peut entraver une surveillance et une gestion efficaces, rendant difficile le maintien d’un dispositif de sécurité complet.
Les API sont soumises à des changements fréquents et imprévisibles, davantage que les applications logicielles traditionnelles.
Les modifications rapides peuvent être motivées par l’évolution des besoins de l’entreprise, les progrès technologiques ou les demandes des utilisateurs.
Une telle volatilité nécessite une découverte et une évaluation des risques permanentes afin de maintenir les mesures de sécurité à jour.
Sans une approche dynamique, des failles de sécurité peuvent rapidement apparaître, exposant l’organisation à des violations potentielles.
La complexité des API composables
Les API sont conçues pour être flexibles et composables, ce qui permet aux consommateurs de mélanger et d’assortir différents composants de l’API pour créer de nouvelles fonctionnalités.
Si la flexibilité est bénéfique, elle introduit l’imprévisibilité, ce qui complique la tâche d’évaluation de la surface d’attaque des API.
La diversité des modes d’utilisation des API rend difficile la prévision des risques de sécurité potentiels, ce qui nécessite des stratégies de découverte et de surveillance plus complètes.
La création d’un inventaire d’API solide implique des décisions stratégiques sur les éléments à inclure et sur la manière de classer les API.
Plusieurs méthodes peuvent être employées :
- Comptage des domaines de premier niveau : Convient pour le suivi des modifications de l’API, mais risque de ne pas tenir compte des mises à jour plus fréquentes.
- Comptage des combinaisons de domaines, de méthodes et de chemins : Capture les changements détaillés, mais peut être trop complexe en raison de la grande variabilité.
- Compter les sous-domaines : Une approche équilibrée et efficace pour des organisations de taille variable.
- Comptage des spécifications OpenAPI et GraphQL : Utile lorsque des spécifications détaillées sont disponibles ou peuvent être générées par la surveillance.
- Comptage des VM ou des conteneurs de services API : Fournit une vue de haut niveau de l’environnement d’exécution mais manque de détails au niveau de la couche API.
- Compter les contrats d’intégration ou les accords de niveau de service (SLA) : Important pour comprendre les accords et obligations de service formels.
- L’enregistrement des activités spécifiques des utilisateurs : Il s’agit de suivre les interactions légitimes des utilisateurs et les activités malveillantes potentielles, ce qui permet de mieux comprendre les habitudes d’utilisation et les problèmes de sécurité.
Faire des choix intelligents avec les stratégies d’inventaire API
Le choix de la bonne méthode pour établir un inventaire des API dépend de l’équilibre entre la fréquence et la granularité des changements.
Alors que les domaines de premier niveau offrent une certaine stabilité, les combinaisons méthode/chemin d’accès permettent d’obtenir des informations détaillées, mais peuvent être inefficaces si elles sont trop utilisées.
Le comptage des sous-domaines est une solution intermédiaire, qui permet de s’adapter à différentes tailles d’organisation.
L’alignement des méthodes d’inventaire sur les spécifications OpenAPI ou GraphQL, lorsqu’elles existent, peut améliorer l’efficacité de la surveillance.
La découverte basée sur l’infrastructure offre un instantané de l’environnement d’exécution, mais peut ne pas refléter avec précision les activités de l’API en raison des services hébergés à plusieurs endroits.
Définissez vos indicateurs clés de performance pour suivre votre inventaire d’API
Il est important d’établir des indicateurs clés de performance (ICP) pour gérer les stocks d’API.
Les organisations doivent suivre le nombre total d’API
(X) et identifier celles qui nécessitent une attention immédiate
(Y).
Les indicateurs de performance clés permettent de surveiller et d’ajuster en permanence les mesures de sécurité, ce qui aide les organisations à maintenir une position proactive en matière de sécurité et à atténuer les risques potentiels.
Pourquoi votre inventaire API doit-il faire l’objet d’une attention constante ?
Compte tenu de l’évolution rapide des API, il est essentiel de maintenir un inventaire à jour.
Les processus de mise à jour manuelle sont souvent peu fiables et peuvent donner lieu à des oublis.
La surveillance continue, soit par le biais de systèmes d’exécution qui capturent le trafic réel des utilisateurs, soit par le biais de passerelles API renforcées, offre un meilleur contrôle et une meilleure visibilité sur le paysage des API.
La catégorisation des API en fonction de leur cycle de vie et de leur niveau de support est une approche pratique de la gestion de la sécurité des API :
- Les API « voyous » ou « non gérés » : Elles sont utilisées mais n’ont pas été examinées ou approuvées par les équipes de sécurité, ce qui présente des risques potentiels.
- API « interdites » ou « bannies » : API qui ont été examinées et explicitement interdites pour des raisons de sécurité.
- API « surveillées » ou « prises en charge » : activement entretenues et supervisées, afin de garantir leur conformité avec les politiques de sécurité.
- API « dépréciées » ou « zombies » : Les anciennes API qui ne sont plus prises en charge mais qui peuvent encore être accessibles, exposant potentiellement l’organisation à des vulnérabilités obsolètes.
Comment mesurer et hiérarchiser efficacement les risques liés à l’API ?
Pour gérer efficacement les risques liés aux API, il faut les classer par ordre de priorité en fonction de leur impact potentiel.
Compte tenu des ressources limitées des équipes de sécurité, l’évaluation des risques devient essentielle pour déterminer où allouer les efforts.
Une approche globale doit prendre en compte les menaces provenant de sources externes et internes, y compris les vulnérabilités au sein de la chaîne d’approvisionnement.
La mise en œuvre de mesures efficaces pour l’évaluation des risques aide les entreprises à conserver une vue d’ensemble claire de l’état de leur sécurité API :
- Agrégation des scores de risque : Le calcul du pourcentage du risque total pour chaque API permet d’établir un ordre de priorité pour celles qui nécessitent une attention immédiate.
La note de risque moyenne constitue un indicateur de performance clé précieux pour le suivi des améliorations de la sécurité au fil du temps.
- Résumé par groupe d’API : La décomposition des scores de risque par différents groupes d’API, tels que les API surveillées ou malveillantes, permet de mieux comprendre le respect des politiques et les lacunes potentielles en matière de sécurité, ce qui permet d’orienter plus efficacement les efforts de remédiation.
Utiliser des outils avancés pour renforcer la sécurité de votre API
Grâce à la disponibilité d’outils avancés et spécialisés, les entreprises peuvent désormais gérer efficacement la découverte et les risques liés aux API.
Les outils les plus récents permettent de créer rapidement un inventaire des API, contribuent au suivi continu des modifications et fournissent des mesures compréhensibles par l’ensemble de l’organisation.
L’adoption de ces outils permet de s’assurer que les mesures de sécurité évoluent au rythme des développements de l’API, protégeant ainsi l’organisation contre les menaces émergentes.