En 2010, Kin Lane, sur son blog API Evangelist, lançait l’idée que les interfaces de programmation d’applications (API) « sont le moteur d’Internet et de notre économie« . Une décennie plus tard, nous vérifions partout la prescience de cette déclaration.
Les API sécurisées comme moteur de l’économie numérique
En effet, des utilisateurs jusqu’aux robots informatiques et aux applications, en passant par une myriade de services dans le Cloud, tout le monde exploite les API pour mettre en œuvre un éventail large et croissant, de fonctionnalités au service de l'infrastructure numérique moderne.
Mais l’essor des API et les avantages qu’elles procurent, implique également un risque lié à l’exposition des données, pouvant ainsi mettre à mal la continuité de l’entreprise et la confiance des utilisateurs. Ainsi durant l’été 2021, en raison d’un problème impliquant l’API ODdata sur le portail Microsoft Power Apps, les données sensibles de grandes entreprises américaines et de différentes administrations ont été exposées. En outre, le rapport IBM Security X-Force Cloud Threat Landscape 2021 laisse entendre que les API seraient impliquées dans deux tiers des incidents de cybersécurité examinés.
En parallèle, à l’ère de la transformation numérique et du développement des API, l'architecture « Zero-Trust » (ZTA) ou “Confiance Zéro” est apparue comme une approche essentielle pour maintenir la sécurité de l'infrastructure des entreprises Le décret relatif à la cybersécurité signé par le président Biden l’année dernière exigeait ce type d’architecture « Confiance Zéro » au sein de certaines administrations. A la suite de ce décret, de nombreuses entreprises ont également inscrit la mise en œuvre de ce type d’architecture à leur feuille de route. Dans ce contexte, l’association de technologies basées sur les API et de la ZTA pourrait être décisive dans la lutte contre les cyberattaques incessantes.
S'attaquer aux vulnérabilités des API
Jusqu’à présent, les entreprises ont souvent abordé la sécurité en plaçant leur infrastructure et leurs applications de confiance dans un périmètre défini avec pour priorité essentielle de protéger les actifs et les réseaux de l'entreprise contre tout accès externe non autorisé. Malheureusement, ce n'est pas parce que les hôtes qui partagent une zone de confiance sont nominalement protégés des hackers extérieurs à l’entreprise qu'ils sont suffisamment protégés les uns des autres. De fait, les systèmes se retrouvaient exposés à un risque d'attaque plus important, les intrus se faisant passer pour des utilisateurs internes afin de franchir la sécurité du périmètre avant de se déplacer ensuite librement sur le réseau. Un hacker pouvait ainsi accéder aux ressources internes de la victime et voler des informations. Le périmètre ne constitue plus une barrière efficace contre les intrusions, que ce soit en raison des ressources de plus en plus déplacées vers le cloud ou du recours massif au télétravail.
Les API constituent des points d'entrée majeurs dans les systèmes et continueront à être des éléments clé de la gestion d'accès aux données. Mais leur mécanisme de défense habituel - l'utilisation de clés d'API pour limiter l'accès à une certaine API – a montré ses limites, notamment parce que les clés peuvent être volées ou déjà en circulation. Cette faiblesse, désormais identifiée, rend plus difficile la validation de l'identité réelle de l'appelant lorsqu'il soumet une API. Pour assurer la sécurité des entreprises, des techniques puissantes d’authentification et la garantie d'une configuration correcte de l'API sont devenues essentielles. Et l’approche ZTA peut justement fournir cette couche supplémentaire de protection.
Néanmoins, il est essentiel de se rappeler qu’une architecture ZTA n'est pas une architecture d'infrastructure informatique autonome. Il s'agit d'une approche qui reconnaît que les attaques peuvent provenir de l'intérieur comme de l'extérieur du réseau et que, par conséquent, on ne peut faire confiance à personne, pas même aux robots. L’approche “Confiance Zéro” comprend un ensemble de bonnes pratiques visant à renforcer la sécurité par une protection plus élaborée des actifs de l’entreprise. Pour les amateurs de science-fiction, disons que les actifs doivent être considérés comme des champs de force autour de chaque personnage et qu’il est plus utile d’envisager une protection individuelle que de chercher à protéger le vaisseau entier.
L’accessibilité au cœur des enjeux
Mettre en place une infrastructure ZTA signifie que les entités internes et externes sont traitées comme une seule et même entité. Aucune ne peut avoir accès aux ressources tant qu'elle n'a pas été validée et qu'elle n'a pas démontré qu'elle est bien celle qu'elle prétend être, conformément aux règles de l'entreprise. Cette rigueur s’applique à l’ensemble des ressources et des communications, qui doivent être régies par des restrictions d'accès bien définies. Les applications et les services doivent constamment authentifier toute entité qui tente d'accéder à une ressource.
Les organisations doivent donc se concentrer sur certaines considérations essentielles, comme notamment définir s'il est acceptable que chaque acteur accède à telle ou telle information à partir d'un endroit donné, où qu’il soit situé. Est-ce que ce microservice peut-il accepter des données provenant d'un autre microservice ?
L’approche ZTA dispose de deux moyens de base pour établir et gouverner les politiques relatives à ces décisions. Tout d’abord, des points de décision de politique (PDP) utilisés pour modéliser et gouverner les politiques, par ailleurs, des points d'application (PEP) mettant ces décisions en application. Pour ce faire, une passerelle API est une technique efficace pour les organisations qui utilisent un grand nombre d'API. Et les entreprises qui s’appuient sur une passerelle API pour accélérer leurs efforts en matière de ZTA devraient dès à présent adopter une solution d'accès et d'autorisation pour les API basées sur des jetons (par exemple, OAuth ou OpenID Connect). En associant les deux, à savoir une passerelle API et une stratégie basée sur des jetons pour l'accès et l'autorisation des API, il est possible de mettre en œuvre la stratégie du moindre privilège, un concept de sécurité qui limite le niveau d'accès d’un utilisateur à la seule réalisation de la tâche à accomplir.
Pour être en mesure de répondre aux exigences de sécurité complexes des entreprises et s'adapter à l'avenir, l’infrastructure ZTA qui utilise des API, un accès et une autorisation basés sur des jetons en plus de passerelles API, peut être personnalisée grâce à une application distribuée des politiques. À l'ère des installations multi-cloud, sur site et distribuées, ces capacités vont se révéler de plus en plus importantes pour quiconque cherche à améliorer la sécurité des API à court et à long terme.