{"id":455264,"date":"2022-11-09T17:58:27","date_gmt":"2022-11-09T19:58:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/top-5-des-mythes-sur-la-securite-des-api-qui-ecrasent-votre-entreprise\/"},"modified":"2022-11-09T17:58:29","modified_gmt":"2022-11-09T19:58:29","slug":"top-5-des-mythes-sur-la-securite-des-api-qui-ecrasent-votre-entreprise","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/top-5-des-mythes-sur-la-securite-des-api-qui-ecrasent-votre-entreprise\/","title":{"rendered":"Top 5 des mythes sur la s\u00e9curit\u00e9 des API qui \u00e9crasent votre entreprise"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Il existe plusieurs mythes et id\u00e9es fausses sur la s\u00e9curit\u00e9 des API.  Ces mythes sur la s\u00e9curisation des API \u00e9crasent votre entreprise. <\/p>\n<p>Pourquoi donc?  Parce que ces mythes creusent vos failles de s\u00e9curit\u00e9.  Cela permet aux attaquants d&#8217;abuser plus facilement des API.  Et les attaques d&#8217;API sont co\u00fbteuses.  Bien s\u00fbr, vous devrez supporter des pertes financi\u00e8res.  Mais il y a aussi d&#8217;autres cons\u00e9quences : <\/p>\n<ul>\n<li>Atteinte \u00e0 la r\u00e9putation <\/li>\n<li>Attrition de la client\u00e8le <\/li>\n<li>Perte de confiance des clients <\/li>\n<li>Difficult\u00e9 \u00e0 acqu\u00e9rir de nouveaux clients<\/li>\n<li>Frais juridiques <\/li>\n<li>Amendes et p\u00e9nalit\u00e9s massives en cas de non-conformit\u00e9<\/li>\n<\/ul>\n<p>Dans cet article, nous allons d\u00e9mystifier les 5 principaux mythes sur <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/blog\/20-api-security-tips-every-enterprise-should-implement\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-myths\" target=\"_blank\"><strong>s\u00e9curisation des API<\/strong> <\/a><\/p>\n<h2 style=\"text-align: left\"><strong>S\u00e9curisez mieux les API\u00a0: les 5 principaux mythes sur la s\u00e9curit\u00e9 des API d\u00e9mystifi\u00e9s <\/strong><\/h2>\n<h4 style=\"text-align: left\"><strong><br \/><\/strong><\/h4>\n<h4 style=\"text-align: left\"><strong>Mythe 1\u00a0: les passerelles d&#8217;API, les outils IAM existants et les WAF suffisent pour s\u00e9curiser l&#8217;API<\/strong><\/h4>\n<p><strong>R\u00e9alit\u00e9:<\/strong> <em>Celles-ci ne suffisent pas \u00e0 s\u00e9curiser vos API.  Ce sont des couches de s\u00e9curit\u00e9 API.  Ils doivent faire partie d&#8217;une solution de s\u00e9curit\u00e9 plus large. <\/em><\/p>\n<p>Les passerelles API surveillent les terminaux.  Ils offrent une visibilit\u00e9 sur l&#8217;utilisation de l&#8217;API.  Ils offrent un certain niveau de contr\u00f4le d&#8217;acc\u00e8s et des capacit\u00e9s de limitation de d\u00e9bit.  Ils autorisent et acheminent les appels d&#8217;API vers les bons services de backend.  Mais la plupart des passerelles API ne sont pas con\u00e7ues pour la s\u00e9curit\u00e9.  Les d\u00e9veloppeurs les utilisent \u00e0 des fins d&#8217;int\u00e9gration. <\/p>\n<p>Nous avons \u00e9galement des passerelles de s\u00e9curit\u00e9 API.  Mais ils ne peuvent que suivre et s\u00e9curiser le trafic nord-sud.  Le trafic nord-sud relie le front-end et le back-end.  Ce trafic passe par le WAF.  API Gateway n&#8217;est pas efficace pour s\u00e9curiser le trafic API est-ouest.  Ce trafic constitue les connexions entre les serveurs, les conteneurs et les services.  Ceux-ci ne passent pas par le WAF. <\/p>\n<p>De plus, il ne d\u00e9couvre pas tous les points de terminaison d&#8217;API.  Il ne peut pas identifier et classer diff\u00e9rents types de donn\u00e9es.  Il offre donc une visibilit\u00e9 limit\u00e9e.  C&#8217;est une mani\u00e8re plut\u00f4t unidimensionnelle de s\u00e9curiser vos API. <\/p>\n<p>Les outils IAM (Identity and Access Management) existants permettent d&#8217;autoriser et d&#8217;authentifier les identit\u00e9s des machines. <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/blog\/web-application-firewall-more-essential-than-ever\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-myths\" target=\"_blank\"><strong>WAF (pare-feu d&#8217;applications Web)<\/strong><\/a>  est un bouclier entre le trafic API et le serveur\/API.  Mais ces outils de s\u00e9curit\u00e9 n&#8217;offrent pas de visibilit\u00e9, ce qui est essentiel \u00e0 la s\u00e9curit\u00e9 des API.  Ils s&#8217;appuient sur des techniques de d\u00e9tection bas\u00e9es sur les signatures, qui ne peuvent pas s\u00e9curiser efficacement les API. <\/p>\n<p>Ces trois outils n&#8217;offrent que des barri\u00e8res de s\u00e9curit\u00e9 de bas niveau.  Ils ne sont pas \u00e9quip\u00e9s pour d\u00e9tecter les types \u00e9mergents de comportements malveillants.  Les attaquants peuvent facilement contourner ces d\u00e9fenses et mener des attaques API.  Ils doivent faire partie d&#8217;une solution de s\u00e9curit\u00e9 multicouche, coh\u00e9rente et sp\u00e9cifique \u00e0 l&#8217;API. <\/p>\n<h4 style=\"text-align: left\"><strong>Mythe 2 : la s\u00e9curit\u00e9 des API est simple <\/strong><\/h4>\n<p><strong>R\u00e9alit\u00e9: <\/strong><em>Le concept sous-jacent des API peut \u00eatre simple.  Cependant, la s\u00e9curit\u00e9 des API est beaucoup plus complexe<\/em>.<\/p>\n<p>Les API connectent deux programmes.  Mais cela ne signifie pas que les programmes interconnect\u00e9s sont automatiquement s\u00e9curis\u00e9s.  De par leur nature m\u00eame, les API exposent des donn\u00e9es et des actifs num\u00e9riques.  De plus, vous n&#8217;aurez peut-\u00eatre pas une visibilit\u00e9 compl\u00e8te sur toutes vos API.  Cela conduit \u00e0 des API fant\u00f4mes que les attaquants peuvent exploiter.  Cela \u00e9largit la surface d&#8217;attaque de l&#8217;API.  La s\u00e9curit\u00e9 de votre API sera insuffisante si vous ne la planifiez pas et ne l&#8217;ex\u00e9cutez pas correctement. <\/p>\n<p>Les solutions d&#8217;API simples ne sont pas efficaces dans le paysage num\u00e9rique agile.  Vous avez besoin de solutions de s\u00e9curit\u00e9 API avanc\u00e9es et mises \u00e0 niveau pour pr\u00e9venir les menaces. <\/p>\n<h4 style=\"text-align: left\"><strong>Mythe 3\u00a0: les d\u00e9veloppeurs int\u00e9greront toujours la s\u00e9curit\u00e9 dans les API <\/strong><\/h4>\n<p><strong>R\u00e9alit\u00e9: <\/strong><em>Les d\u00e9veloppeurs n&#8217;assurent pas automatiquement la s\u00e9curit\u00e9 d\u00e8s la conception. <\/em><\/p>\n<p>De plus en plus d&#8217;entreprises s&#8217;orientent vers une approche de d\u00e9calage vers la gauche.  Il a l&#8217;intention de trouver et de corriger les failles de s\u00e9curit\u00e9 le plus t\u00f4t possible dans le processus de d\u00e9veloppement.  Cela permet d&#8217;acc\u00e9l\u00e9rer la mise sur le march\u00e9 des API.  Cela vous permet \u00e9galement d&#8217;\u00e9viter les co\u00fbts suppl\u00e9mentaires li\u00e9s \u00e0 la correction des d\u00e9fauts \u00e0 des \u00e9tapes ult\u00e9rieures.<\/p>\n<p>L&#8217;adoption de cette approche ne garantit pas des API s\u00e9curis\u00e9es d\u00e8s la conception.  Les d\u00e9veloppeurs peuvent ne pas int\u00e9grer la s\u00e9curit\u00e9 dans chaque API par d\u00e9faut.  Il y a plusieurs raisons \u00e0 cela: <\/p>\n<ul>\n<li>Les outils de test statiques et dynamiques \u00e0 leur disposition ne sont pas sp\u00e9cifiques \u00e0 l&#8217;API.  Par cons\u00e9quent, il ne d\u00e9tecte pas efficacement les risques sp\u00e9cifiques \u00e0 l&#8217;API. <\/li>\n<li>M\u00eame les outils automatis\u00e9s ne peuvent pas trouver toutes les vuln\u00e9rabilit\u00e9s. <\/li>\n<li>Les d\u00e9veloppeurs ne sont pas au courant des derni\u00e8res meilleures pratiques. <\/li>\n<li>Ils n&#8217;utilisent pas l&#8217;IA ou l&#8217;analyse comportementale pour d\u00e9tecter les failles logiques et inconnues.<\/li>\n<\/ul>\n<p>Vous souhaitez cr\u00e9er des API s\u00e9curis\u00e9es d\u00e8s la conception\u00a0? <\/p>\n<p>Vous devez investir dans les meilleures solutions de s\u00e9curit\u00e9 API.  Et vous devez les int\u00e9grer le plus t\u00f4t possible dans le processus de d\u00e9veloppement.  De plus, vous devez continuer \u00e0 former vos d\u00e9veloppeurs aux derni\u00e8res meilleures pratiques.<\/p>\n<h4 style=\"text-align: left\"><strong>Mythe 4 : les fournisseurs de cloud s\u00e9curisent les API par d\u00e9faut <\/strong><\/h4>\n<p><strong>R\u00e9alit\u00e9: <\/strong><em>Pas toujours!  Et la s\u00e9curisation des API est une responsabilit\u00e9 partag\u00e9e.<\/em><\/p>\n<p>Les fournisseurs de cloud offriront un certain niveau de s\u00e9curit\u00e9.  Par exemple, ils peuvent fournir des passerelles API, des outils de gestion d&#8217;API, etc. Mais ces outils n&#8217;offrent pas le niveau de protection dont vous avez besoin. <\/p>\n<p>N&#8217;oubliez pas qu&#8217;ils doivent simplement s\u00e9curiser le cloud.  Vous \u00eates responsable des donn\u00e9es et des applications que vous ex\u00e9cutez dans le cloud.  Si vous utilisez des services cloud, vous devez investir dans des solutions multicouches pour s\u00e9curiser vos API. <\/p>\n<h4 style=\"text-align: left\"><strong>Mythe 5 : Zero Trust suffit pour s\u00e9curiser les API<\/strong><\/h4>\n<p><strong>R\u00e9alit\u00e9: <\/strong><em>Se concentrer uniquement sur la confiance z\u00e9ro vous pr\u00e9pare \u00e0 l&#8217;\u00e9chec <\/em><\/p>\n<p>La plupart des entreprises se concentrent uniquement sur des politiques de confiance z\u00e9ro pour s\u00e9curiser les API.  Cela n&#8217;am\u00e9liore pas beaucoup la s\u00e9curit\u00e9 de l&#8217;API.  Pourquoi?  De par leur nature, les API ont besoin d&#8217;un acc\u00e8s pour fonctionner correctement.  Mais les architectures Zero Trust limitent l&#8217;acc\u00e8s.  Les attaquants peuvent \u00e9galement d\u00e9tourner des sessions authentifi\u00e9es. <\/p>\n<h2 style=\"text-align: left\"><strong>Conclusion <\/strong><\/h2>\n<p>\u00c9vitez ces approches d\u00e9fectueuses de la s\u00e9curit\u00e9 de votre API.  Les attaquants \u00e9largissant leurs capacit\u00e9s, votre strat\u00e9gie de s\u00e9curit\u00e9 doit \u00e9galement \u00e9largir sa port\u00e9e. <\/p>\n<p>Les outils singuliers et les approches traditionnelles ne s\u00e9curisent pas efficacement les API.  Vous avez besoin de solutions enti\u00e8rement g\u00e9r\u00e9es, multicouches et ax\u00e9es sur l&#8217;API, telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/api-protection.php\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-api-myths\" target=\"_blank\"><strong>Protection de l&#8217;API industrielle<\/strong><\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/top-5-api-security-myths-that-are.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il existe plusieurs mythes et id\u00e9es fausses sur la s\u00e9curit\u00e9 des API. Ces mythes sur la s\u00e9curisation des API \u00e9crasent votre entreprise. Pourquoi donc? Parce que ces mythes creusent vos failles de s\u00e9curit\u00e9. Cela permet aux attaquants d&#8217;abuser plus facilement des API. Et les attaques d&#8217;API sont co\u00fbteuses. Bien s\u00fbr, vous devrez supporter des pertes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":455265,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,4168,4158,4165,4161,133,53343,5009,4157,4159,4171,4170,4167,4160,4484,4163,4162,364,1835,4172,4169,60,4378,4166,877,4164],"class_list":["post-455264","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-ecrasent","tag-entreprise","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mythes","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-qui","tag-securite","tag-securite-informatique","tag-securite-internet","tag-sur","tag-top","tag-violation-de-donnees","tag-votre","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/455264","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=455264"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/455264\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/455265"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=455264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=455264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=455264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}