Ces interfaces sont devenues incontournables. Les API boostent les ventes. Des entreprises comme Salesforce génère 50 % de leur chiffre d’affaires rien que par le biais des API, eBay en génère 60 % et Expedia 90 %. Le cabinet Gartner avance même que d’ici 2023, 65 % des revenus des fournisseurs mondiaux de services d’infrastructure proviendront des services activés par les API, contre 15 % en 2018. Mais les API peuvent être aussi à l’origine de fuites de données…
Selon ProgrammableWeb - une organisation qui gère un répertoire mondial d'API - il y a plus de 13 000 interfaces ouvertes. Et ce nombre va exploser dans les prochaines années avec notamment des usages internes dans les entreprises.
Difficile en effet de s’en passer. Comme il est impossible d’être exhaustif, rappelons quelques-uns de leurs avantages en termes de business :
- Les API stimulent l'innovation en intégrant le contenu des partenaires pour créer des opportunités de ventes croisées et de ventes incitatives ;
- Elles créent de nouveaux secteurs d'activité et étendent les offres de produits en exploitant de nouvelles façons les données d'entreprise ;
- Elles renforcent la marque en offrant une expérience cohérente, familière et personnalisée sur l'ensemble de ses périphériques ;
- Elles améliorent les délais de commercialisation des nouveaux produits…
Ces quelques exemples confirment que cette API economy est basée sur la distribution de services web interconnectés. Mais ces interfaces sont aujourd’hui bien plus qu’un middleware permettant de connecter différents systèmes et applications. Elles ont un impact majeur sur la gouvernance des données des organisations. Leur stratégie de données doit être plus ouverte.
Elles jouent un rôle d’accélérateur de croissance pour toujours plus d’entreprises. Mais les API sont aussi de nouveaux points d’entrée vers les données les plus sensibles des entreprises.
Les attaques les plus récentes ciblant les API comprennent des campagnes de « credential stuffing » sur des systèmes de connexion, des botnets récupérant des données ou interrompant des services API via des attaques DDoS …
En avril 2018, les dossiers d’environ 37 millions clients directs ou indirects de Panera Bread (une chaîne américaine de boulangeries et de cafés) étaient accessibles en clair : nom, prénom, e-mail, numéro de téléphone, anniversaire, quatre derniers chiffres du numéro de carte de crédit enregistré, préférences et restrictions alimentaires. L’origine de cette fuite de données qui a duré au moins huit mois ? Une faille dans une API qui ne nécessitait pas d’authentification.
« Afin d’évaluer leur degré de vulnérabilité à ces nouvelles menaces, les entreprises doivent se poser les questions suivantes : connaissent-elles toutes les API utilisées dans leur organisation ? Peuvent-elles suivre le trafic vers chacune des API en question ? Peuvent-elles détecter un comportement anormal pour chacune d’entre elles ? Peuvent-elles détecter des attaques provenant de l’extérieur sur des données et des applications accessibles via ces API ? Connaissent-elles quels utilisateurs se connectent sur chacune des API ? », insiste Arnaud Gallut, Directeur des Ventes Europe du sud, Ping Identity, une entreprise spécialisée dans la sécurité des identités.