La sécurité des API est devenue le casse-tête des développeurs. Ces points de contact entre applications constituent autant de portes d’entrée potentielles pour les pirates. L’année dernière, Uber l’avait appris à ses dépens lorsqu’un hacker de seulement 18 ans était parvenu à infiltrer l’application via une API et accéder aux données personnelles des chauffeurs. Or avec le développement des services mobile et de l’IoT, les API se multiplient… sans toujours être sécurisées de manière optimale. Pour limiter le risque d’attaque, les entreprises doivent donc agir vite et bien.
Organiser la sécurité des API en interne
Première étape : s’organiser dès la conception des applications pour optimiser leur sécurité. Pour cela, les entreprises se convertissent progressivement au DevSecOps. Comprendre : les développeurs fournissent aux équipes de sécurité un fichier recensant les API. Et avant la mise en production. Ces dernières sont donc en capacité de modifier certaines failles de sécurité avant la mise sur le marché de l’appli. « C’est plus sécurisé et plus efficace », avance Matthieu Dierick, expert en cybersécurité chez F5. « Cela limite le drift, c’est-à-dire l’écart entre ce qui est publié et ce qui est protégé. » Les résultats ? « Dans le secteur bancaire, on est passé d’une moyenne de 21 jours entre la mise à jour d’une application et sa validation par les équipes de sécurité à 1 heure. »
Mais cela « demande une réorganisation des équipes, de nouveaux process à mettre en place », concède l’expert. Les équipes sont scindées en plusieurs groupes, chacun travaillant sur un micro-service nécessitant souvent des API. Plutôt que d’importantes mises à jour sur l’ensemble de l’application, chaque groupe développe ses modifications… qui nécessitent une validation des équipes de sécurité. Une stratégie des petits pas plus facile à implémenter dans les petites structures, qui ont des équipes restreintes.
L’intelligence artificielle à la rescousse
Une fois ces premiers remparts érigés, les éditeurs doivent encore sécuriser l’utilisation des API. Or « le seul moyen aujourd’hui de disposer d’une sécurité des API efficace, c’est l’intelligence artificielle », tranche Matthieu Dierick. Jérôme Renoux, directeur général France d’Akamai, vante « l’analyse comportementale » à laquelle procède l’IA pour « détecter les comportements déviants ou l’utilisation détournée d’une application ». Concrètement, l’IA se nourrit des logs relatifs à une utilisation classique de l’application et alerte les équipes de sécurité lorsqu’un utilisateur sort de ce schéma. « Cela peut concerner 2 connexions simultanées dans 2 régions différentes du monde, par exemple. Ou des mouvements de souris très rectilignes, symptomatiques des bots. »
Cela demande un certain apprentissage, le temps d’entraîner les algorithmes. « La mise en place est cruciale, concède Jérôme Renoux. Il faut combiner du bot management avec une surveillance évoluée, surtout si l’on souhaite une granularité très fine. » Mais l’avantage de l’intelligence artificielle, c’est que les machines apprennent vite. « Pour la plupart des applications, il faut compter seulement quelques heures pour qu’une IA soit opérationnelle », avance Matthieu Dierick. Une rapidité d’exécution sur laquelle l’humain ne peut pas s’aligner.