Toutes les organisations n’ont pas de stratégie de sécurité des API en place. Utiliser le modèle Zero Trust dans la sécurité des API est un moyen de protéger les API et de réduire leurs chances d’être attaquées.

Les API constituent un maillon essentiel pour les interactions technologiques, permettant non seulement des connexions entre les applications modernes, mais aussi un moyen de travailler avec l’infrastructure héritée. Cependant, ce tissu connectif est une cible propice aux attaques. Le fournisseur de réseau de diffusion de contenu Akamai a signalé une augmentation de 167% des attaques d’applications web entre 2021 et 2022, et Gartner a prédit que les API deviendront le principal vecteur d’attaque des applications web en 2023.

Une façon d’atténuer les attaques contre les API consiste à mettre en œuvre le Zero Trust pour sécuriser les API.  Le modèle Zero Trust suppose que les utilisateurs et les appareils ne sont pas dignes de confiance par défaut. L’authentification et l’autorisation continues vérifient ensuite si un appareil ou un utilisateur reste digne de confiance. Même dans ce cas, seul un accès minimum est accordé pendant une période limitée.

Voici quatre façons d’utiliser la stratégie Zero Trust pour maintenir la sécurité des API.

1. Sécurité des API : Inventaire, évaluation et correction des API

 Le Zero Trust nécessite une compréhension de la surface d’attaque existante. Ainsi, la première étape pour sécuriser les API consiste à découvrir et à inventorier toutes les API utilisées, les évaluer pour leur utilisation continue ainsi que pour les risques et les vulnérabilités potentiels, et corriger tout problème identifié, si nécessaire.

Les outils de découverte des API aident à trouver et à évaluer toutes les API au sein de l’infrastructure informatique, qu’il s’agisse d’API accessibles au public, internes ou connectées à des applications héritées. Ces outils peuvent également découvrir des API fonctionnelles connectées à des applications désactivées.

Après les phases de découverte et d’inventaire, déterminez si les API concernées doivent continuer à être utilisées, évaluez leur niveau de sécurité et déterminez comment les sécuriser à l’avenir. Ensuite, corrigez les API vulnérables ou désactivez celles qui ne sont plus nécessaires.

2. Sécurité des API : Évaluation de l’accès aux données des API et contrôle des politiques

Une fois l’inventaire établi, documentez et gérez les données auxquelles les API ont accès. Utilisez des outils tels que des logiciels de gestion de base de données cloud pour obtenir des informations sur les données auxquelles les API accèdent actuellement. Réaffectez ou resserrez les droits d’accès aux données des API au besoin via des mécanismes de contrôle d’accès dans la base de données.

Créez et appliquez des politiques du Zero Trust pour les API. Par exemple, utilisez des politiques de sécurité des données pour contrôler l’accès aux données. Dans une politique, précisez quels utilisateurs et rôles peuvent accéder à différents types de données, quand ils peuvent y accéder et où ils peuvent y accéder. Utilisez ces informations pour vous assurer que seules les API actives et sécurisées accèdent aux données auxquelles elles sont autorisées au sein de l’infrastructure.

De plus, envisagez d’enquêter plus avant sur les données auxquelles les API désactivées accèdent, ou de les détruire afin de réduire les risques.

3. Authentification et autorisation des API

L’authentification et l’autorisation sont des principes importants pour la mise en œuvre du modèle  Zero Trust.

Examinez comment les utilisateurs et les appareils peuvent interagir avec les API. Considérez chaque API comme une ressource et exigez que les utilisateurs et les appareils s’authentifient et soient autorisés avant de permettre l’accès.

L’accès aux API devrait utiliser des politiques d’accès granulaires  du Zero Trust, telles que le principe du moindre privilège. Ainsi que Pour authentifier le trafic des API, mettez en œuvre des normes telles que OpenID et OAuth 2.0. Parmi les méthodes d’authentification supplémentaires à prendre en compte, on peut citer les clés d’API, l’authentification HTTP et les jetons web JSON. La meilleure méthode d’authentification des API varie en fonction d’une API spécifique et de ses utilisations. Par exemple, les clés d’API sont souvent utilisées pour des requêtes d’API plus simples et ne sont pas aussi sécurisées que OAuth ou les jetons web JSON.

4. Limitation du débit des API

Mettez en place une limitation du débit des API pour aider à prévenir les attaques contre les API, telles que les attaques par déni de service distribué (DDoS). Les attaquants malveillants utilisent des attaques DDoS pour submerger les services API avec une surcharge d’appels d’API. Les attaques DDoS plus sophistiquées utilisent des bots pour effectuer des appels d’API plus intensifs en CPU ou en mémoire afin de dégrader les services.

Plus précisément, la limitation brute-force du débit restreint le nombre d’appels d’API par minute ou par heure en utilisant une limite supérieure prédéfinie – tout ce qui dépasse cette limite est automatiquement rejeté. Une limitation du débit plus sophistiquée restreint les appels d’API en fonction du jour, de l’heure, de la géolocalisation ou de la fréquence d’utilisation.

Pour une protection supplémentaire des API, mettez en œuvre d’autres meilleures pratiques de sécurité des API, telles que le chiffrement des demandes et des réponses, l’enregistrement des API dans un registre d’API et la sécurisation des clés d’API.