Un AVIS D’EXPERT d’Elimane Prud’home, Sales Director chez Salt Security, une plateforme de protection des API.
La mission d’un RSSI est de donner à son entreprise les moyens de mener à bien des initiatives de croissance stratégiques, le tout en réduisant les risques. En ce sens, il doit sans cesse prendre en compte les conséquences de ces initiatives en matière de sécurité et peser leur éventuel impact sur :
- La vitesse de mise sur le marché, ou speed-to-market ;
- L’avantage concurrentiel de l’entreprise ;
- La réputation de la marque.
Pour veiller au bon fonctionnement de ces trois aspects et ainsi contribuer à la réussite de l’entreprise, les RSSI doivent mettre en œuvre une infrastructure de sécurité adaptée. Dans le paysage moderne, un nouveau domaine entièrement connecté à ces trois dynamiques a fait son émergence : l’utilisation des API comme moteur de l’innovation.
Les API ont le vent en poupe
En tant qu’initiatives de transformation numérique indispensables aux entreprises, les API sont génératrices d’innovation et de revenus. Services bancaires, mobiles et en ligne, applications de partage des informations numériques comme DoorDash, Uber, PayPal, Spotify, Netflix, Tesla… la liste est longue, et presque plus aucune marque ne peut se passer des API.
Conséquence de ce besoin, les entreprises ont augmenté leur cadence de développement et les volumes de livraison, qui atteignent des sommets inédits. Grâce aux API, les entreprises sont en mesure de développer et commercialiser des services avancés, avec à la clé de nouvelles opportunités commerciales, et donc de nouveaux revenus. Cette tendance, déjà accélérée par la numérisation, a explosé suite à la pandémie de Covid. Dans le contexte paralysant de la crise sanitaire, les entreprises ont dû déployer à la hâte des services à distance pour leurs employés et clients, et développer tout aussi rapidement des intégrations de produit en support d’une myriade d’appareils. Autant de solutions qui reposent là encore sur des API. Pas étonnant, donc, que Postman, une application de test des API, ait atteint un record de 20 millions d’utilisateurs plus tôt cette année.
Succès rimant bien souvent avec danger, la nature ultrasensible des données partagées par les API avec les clients, partenaires et employés en a fait une cible de choix pour des personnes mal intentionnées. Un risque dont sont bien conscients les RSSI.
Dans une étude publiée par AimPoint Group, W2 Communications et CISOs Connect, intitulée « The CISOs Report, Perspectives, Challenges and Plans for 2022 and Beyond », les RSSI interrogés identifient comme prioritaires les aspects suivants en matière d’amélioration de la sécurité :
- API : 42 % ;
- Applications sur le Cloud (SaaS) : 41 % ;
- Infrastructure Cloud (IaaS) : 38 %.
API et speed-to-market : une équipe gagnante
En toute logique, une commercialisation rapide des services entraîne des profits rapides. Pour certaines entreprises, la vitesse de mise sur le marché fait toute la différence, puisque c’est à cela que tient la bonne santé de leurs opérations. L’utilisation des API assure donc la compétitivité et le dynamisme des entreprises, qui doivent sans cesse évaluer ce que rapporte et ce que coûte la course à la mise sur le marché. Pour cela, elles doivent anticiper les obstacles susceptibles de ralentir le processus. Dans le cas des API, tout ce qui menace leur sécurité doit être pris au sérieux. De fait, pire que de ralentir les déploiements, les menaces peuvent aller jusqu’à les rendre impossibles.
En protégeant leurs API contre les acteurs malveillants, les entreprises garantissent à la fois leur vitesse de mise sur le marché, leurs opportunités de croissance et leur avantage concurrentiel.
Quand API rime avec avantage concurrentiel
Parmi les facteurs contribuant à l’avantage concurrentiel d’une entreprise, la capacité à commercialiser rapidement un produit (« speed-to-market »), arrive en première ligne. Dans leurs secteurs respectifs, les entreprises en tête de course ont la possibilité de se tailler une belle part de marché, et par là même de booster leurs bénéfices.
Dans les services financiers, l’avantage concurrentiel est un objectif commercial crucial, qui repose avant tout sur la transformation technologique. Les entreprises de la fintech ainsi que les initiatives « open banking » ont exacerbé les attentes des clients en proposant une innovation et des avantages inédits grâce à la simplicité de connexion entre applications mobiles et comptes bancaires.
Pour rester compétitives et consolider leur présence, les banques et institutions financières doivent continuellement se renouveler afin de proposer des services de pointe. Par le rôle d’accélérateur qu’elles jouent, les API donnent alors aux institutions une longueur d’avance sur la concurrence.
Néanmoins, les menaces pesant sur la sécurité, en regard de l’adhésion relative aux règlements, peuvent compromettre l’implémentation d’une API, et valoir à l’entreprise des amendes salées. Ainsi est-il de la responsabilité de ces dernières de garantir le transfert sécurisé des données financières de leurs clients, extrêmement précieuses, vers les applications émergentes. Les API constituent le point d’accès aux données personnelles et autres informations sensibles que convoitent les hackers à des fins personnelles, toujours au détriment de l’entreprise.
Réputation de la marque : avant tout une affaire de sécurité
Que serait l’avantage concurrentiel d’une marque sans sa réputation ? De tous les risques qu’implique une activité commerciale, ceux qui pèsent sur la réputation de la marque sont sans doute les plus dévastateurs, notamment parce que leur impact sera le plus durable. Une bonne réputation repose sur une image d’intégrité véhiculée par la marque, qui inspire confiance et fidélité à ses clients.
Sans les API, qui renforcent l’image d’une marque innovante et orientée client, il est impossible de construire les services à même d’améliorer sa réputation. Pour autant, lorsqu’une faille survient, tous les avantages que procurent les API s’envolent aussitôt, cédant la place à la méfiance et à l’inquiétude des clients, qui n’hésiteront pas à se tourner vers un concurrent.
Dans un contexte de déploiement effréné des API, toujours plus nombreuses, et compte tenu de la logique unique inhérente à leur exploitation, sécurisation et complexité vont de pair. Si les solutions de sécurité traditionnelles, telles que les WAF et passerelles d’API, parviennent souvent à neutraliser les attaques de base, elles ne font pas le poids face à la recrudescence et à la sophistication des attaques d’API. Des recherches récentes de Salt Security montrent que le trafic des attaques visant les API a plus que doublé par rapport au trafic global des API.
Sécurité des API : un coût inévitable
Si les RSSI entendent saisir les opportunités de croissance immenses que promettent les API, ils doivent impérativement sécuriser ces interfaces. Les API assurent l’interconnexion des plus précieux atouts d’une entreprise, à savoir les données sensibles essentielles à la livraison de leurs biens et services numériques.
Constat : toute entreprise qui développe des logiciels ne peut se passer d’une API. Pour ces entreprises, la protection des API est une évidence, il s’agit d’un coût inévitable dans un paysage en pleine transformation numérique. Sans une sécurité API dédiée pour protéger ces outils de connectivité indispensables, le risque pèse sur la totalité de l’entreprise. Vitesse de mise sur le marché, avantage concurrentiel et image de marque : plus rien n’est garanti.
Dernier point de taille, les DSI doivent mettre en place une approche collaborative de la sécurité des API, pour la simple raison que toutes les facettes de l’entreprise sont concernées. C’est pourquoi les DSI doivent endosser un rôle actif dans la formation des équipes, afin de les sensibiliser aux initiatives de sécurité des API et à leur importance dans la réduction des risques pesant sur l’entreprise. De même, ils doivent fournir des réponses et des analyses concrètes pour aider le reste de l’entreprise à atteindre les objectifs fixés en matière de sécurité.
Tous vous diront la même chose : la création d’une culture de la sécurité robuste et transversale est et sera toujours une priorité absolue. Pour générer un état d’esprit favorable à la sécurité, les leaders doivent donner la priorité aux relations, reconnaître la contribution de chacun et communiquer en permanence sur l’importance de la sécurité dans l’accomplissement des objectifs de l’entreprise.
