{"id":503145,"date":"2022-12-09T13:21:46","date_gmt":"2022-12-09T15:21:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/pourquoi-une-securite-api-robuste-est-elle-cruciale-dans-le-commerce-electronique\/"},"modified":"2022-12-09T13:21:48","modified_gmt":"2022-12-09T15:21:48","slug":"pourquoi-une-securite-api-robuste-est-elle-cruciale-dans-le-commerce-electronique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/pourquoi-une-securite-api-robuste-est-elle-cruciale-dans-le-commerce-electronique\/","title":{"rendered":"Pourquoi une s\u00e9curit\u00e9 API robuste est-elle cruciale dans le commerce \u00e9lectronique\u00a0?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les attaques d&#8217;API se multiplient.  L&#8217;une de leurs principales cibles est les entreprises de commerce \u00e9lectronique comme la v\u00f4tre. <\/p>\n<p>Les API sont un \u00e9l\u00e9ment essentiel de la fa\u00e7on dont les entreprises de commerce \u00e9lectronique acc\u00e9l\u00e8rent leur croissance dans le monde num\u00e9rique. <\/p>\n<p>Les plates-formes de commerce \u00e9lectronique utilisent des API \u00e0 tous les points de contact avec les clients, de l&#8217;affichage des produits \u00e0 la gestion de l&#8217;exp\u00e9dition.  En raison de leur utilisation accrue, les API sont des cibles attrayantes pour les pirates, comme le montrent les chiffres suivants\u00a0: <\/p>\n<ul>\n<li>Le trafic d&#8217;attaques d&#8217;API a augment\u00e9 de <a rel=\"nofollow noopener\" href=\"https:\/\/venturebeat.com\/business\/report-681-increase-in-api-attacks-for-customers-in-2021\/\" target=\"_blank\">681% en 2021 <\/a> <\/li>\n<li>77\u00a0% des d\u00e9taillants interrog\u00e9s ont connu des incidents de s\u00e9curit\u00e9 des API en 2021 &#8211; selon <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/api-security-disconnect-ecommerce-sector\" target=\"_blank\">S\u00e9curit\u00e9 sans nom<\/a><\/li>\n<\/ul>\n<p>S&#8217;il n&#8217;est pas trait\u00e9, l&#8217;abus d&#8217;API peut nuire \u00e0 votre r\u00e9putation, nuire aux consommateurs et affecter les r\u00e9sultats.  Ainsi <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/blog\/introduction-to-apptranas-enhanced-api-protection\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-ecommerce-api\" target=\"_blank\"><strong>S\u00e9curit\u00e9 des API<\/strong><\/a>  est digne de consid\u00e9ration pour les acteurs du commerce \u00e9lectronique.<\/p>\n<h2 style=\"text-align: left;\"><strong>Pourquoi les entreprises de commerce \u00e9lectronique ont-elles besoin d&#8217;API\u00a0?<\/strong><\/h2>\n<p>L&#8217;API permet aux d\u00e9taillants et aux plateformes de commerce \u00e9lectronique de g\u00e9rer facilement les listes de produits et les commandes.  Il a transform\u00e9 le site Web statique en un magasin sans t\u00eate enti\u00e8rement personnalisable.  Les d\u00e9taillants utilisent des API pour diverses fonctions, notamment la connexion, le catalogue de produits, l&#8217;exp\u00e9dition et l&#8217;abonnement. <\/p>\n<p>Il permet aux entreprises d&#8217;am\u00e9liorer l&#8217;exp\u00e9rience client.  Lors des achats, un service g\u00e8re les commandes ;  un autre calcule l&#8217;imp\u00f4t ;  un autre permet l&#8217;exp\u00e9dition, et ainsi de suite. <\/p>\n<p>Mais les clients n&#8217;ont aucune id\u00e9e de ce qui se passe derri\u00e8re l&#8217;\u00e9cran.  L&#8217;API connecte ces \u00e9l\u00e9ments d\u00e9coupl\u00e9s et aide \u00e0 partager les donn\u00e9es de mani\u00e8re transparente. <\/p>\n<h4 style=\"text-align: left;\"><strong>Principaux avantages des API dans le commerce \u00e9lectronique<\/strong><\/h4>\n<ul>\n<li>Il rationalise les op\u00e9rations et garantit des engagements client transparents<\/li>\n<li>Il est efficace pour la surveillance et l&#8217;analyse des donn\u00e9es, un facteur dynamique pour les d\u00e9taillants<\/li>\n<li>Il permet la communication avec les chatbots<\/li>\n<li>Connecte la plate-forme de commerce \u00e9lectronique avec des march\u00e9s tiers<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\"><strong>Pourquoi la s\u00e9curit\u00e9 des API est-elle cruciale pour le commerce \u00e9lectronique\u00a0?<\/strong><\/h2>\n<p>Les API sont faciles \u00e0 utiliser et \u00e0 int\u00e9grer pour les entreprises.  M\u00eame si la plupart des API ne sont pas destin\u00e9es \u00e0 un usage public, elles ont souvent un acc\u00e8s complet \u00e0 tous les actifs et informations sensibles. <\/p>\n<p>Les clients entrent des PII lors d&#8217;achats sur des sites en ligne tels que des e-mails, des mots de passe, des d\u00e9tails de carte de cr\u00e9dit et des num\u00e9ros de t\u00e9l\u00e9phone.  Ils partagent \u00e9galement les d\u00e9tails des transactions comme les bonus, les soldes et les r\u00e9compenses.  Cela augmente la possibilit\u00e9 pour les attaquants de voler les donn\u00e9es. <\/p>\n<p>Ils sont faciles \u00e0 exposer s&#8217;ils ne sont pas con\u00e7us et r\u00e9gl\u00e9s pour une s\u00e9curit\u00e9 robuste et continue.  Des tests de s\u00e9curit\u00e9 inad\u00e9quats et un manque de logique m\u00e9tier ont entra\u00een\u00e9 une augmentation globale des risques de s\u00e9curit\u00e9 des API.<\/p>\n<p>Les facteurs importants \u00e0 l&#8217;origine des probl\u00e8mes de s\u00e9curit\u00e9 des API sont<\/p>\n<h4 style=\"text-align: left;\"><strong>Faille d&#8217;authentification<\/strong><\/h4>\n<p>De nombreuses API ne v\u00e9rifient pas correctement si la demande provient d&#8217;un utilisateur l\u00e9gitime.  Les pirates trouvent des erreurs de codage dans l&#8217;authentification et augmentent les privil\u00e8ges.  Ils utilisent en outre des technologies \u00e9num\u00e9r\u00e9es pour compromettre les comptes des utilisateurs. <\/p>\n<p>Par exemple, certaines plates-formes de commerce \u00e9lectronique s&#8217;int\u00e8grent \u00e0 des syst\u00e8mes logistiques externes pour transmettre les d\u00e9tails d&#8217;exp\u00e9dition.  Dans cette situation, si la cha\u00eene d&#8217;authentification est insuffisante, l&#8217;API peut divulguer des PII via des attaques par relecture. <\/p>\n<h4 style=\"text-align: left;\"><strong>Attaques automatis\u00e9es <\/strong><\/h4>\n<p>Les attaques automatis\u00e9es contre les API non s\u00e9curis\u00e9es augmentent avec l&#8217;adoption g\u00e9n\u00e9ralis\u00e9e des API.  Plut\u00f4t que d&#8217;exploiter les vuln\u00e9rabilit\u00e9s du code des API, les pirates exploitent les failles de la logique m\u00e9tier au sein des API. <\/p>\n<p>Ils peuvent alimenter des scripts malveillants dans des bots pour acc\u00e9der aux d\u00e9tails de votre produit \u00e0 grande \u00e9chelle. <\/p>\n<p>Avec de mauvais bots submergeant votre site, votre v\u00e9ritable utilisateur ne peut pas acheter sur votre site.  Par exemple, ils peuvent saisir l&#8217;inventaire complet des produits \u00e0 forte demande en quelques secondes. <\/p>\n<p>Attaques volum\u00e9triques contre l&#8217;API eCommerce sans limitation de d\u00e9bit (n\u00b0\u00a04 en <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/blog\/critical-owasp-top-10-api-security-threats\/?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-ecommerce-api\" target=\"_blank\"><strong>Top 10 de la s\u00e9curit\u00e9 des API OWASP<\/strong><\/a>) peut emp\u00eacher les applications d&#8217;achat de r\u00e9pondre, ce qui entra\u00eene l&#8217;insatisfaction de l&#8217;utilisateur. <\/p>\n<h4 style=\"text-align: left;\"><strong>API Shadow et Zombie<\/strong><\/h4>\n<p>Pourtant, de nombreuses entreprises ont du mal \u00e0 s\u00e9parer les transactions r\u00e9elles des fausses.  Ils sont \u00e9galement pris au d\u00e9pourvu par des API fant\u00f4mes non prot\u00e9g\u00e9es.<\/p>\n<p>De m\u00eame, les API Zombie sont la m\u00e9thode d&#8217;attaque la plus courante.  Les API zombies peuvent ne plus \u00eatre surveill\u00e9es.  Ils peuvent contenir des codes malveillants ou exposer des donn\u00e9es ou des fonctionnalit\u00e9s sensibles. <\/p>\n<h4 style=\"text-align: left;\"><strong>API tierces<\/strong><\/h4>\n<p>Les entreprises de commerce \u00e9lectronique s&#8217;int\u00e8grent \u00e0 des tiers comme les syst\u00e8mes d&#8217;exp\u00e9dition et de paiement.  Les API tierces sont difficiles \u00e0 g\u00e9rer.  Ce sont ceux que les attaquants ciblent g\u00e9n\u00e9ralement.<\/p>\n<p>Par exemple, l&#8217;API de panier d&#8217;achat est une cible de choix car elle offre des points d&#8217;entr\u00e9e dans l&#8217;entreprise.  Un grand d\u00e9taillant britannique a subi des attaques plus de 1000 fois par jour sur cette API.  L&#8217;attaque a \u00e9t\u00e9 multipli\u00e9e par 10 lorsque des offres sp\u00e9ciales \u00e9taient en cours. <\/p>\n<h4 style=\"text-align: left;\"><strong>Outils de s\u00e9curit\u00e9 traditionnels<\/strong><\/h4>\n<p>La plupart des entreprises ne disposent pas de capacit\u00e9s de d\u00e9fense ad\u00e9quates pour se prot\u00e9ger contre les risques API en constante \u00e9volution.  Les menaces API sont hautement sophistiqu\u00e9es et persistantes, et les m\u00e9thodes traditionnelles sont inefficaces contre elles.<\/p>\n<p>Les passerelles WAF ou API h\u00e9rit\u00e9es ont besoin de plus de capacit\u00e9 en temps r\u00e9el pour distinguer les mauvaises activit\u00e9s des bonnes API.<\/p>\n<p>Les pirates peuvent manipuler les API de remise et de promotion pendant les heures de pointe.  Ces outils ont du mal \u00e0 se prot\u00e9ger contre de telles attaques. <\/p>\n<p>Vous aurez besoin d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.indusface.com\/api-protection.php?utm_source=thehackernews-sponsored-article&amp;utm_medium=referral&amp;utm_campaign=thehackernews-ecommerce-api\" target=\"_blank\"><strong>Solutions de protection d&#8217;API comme AppTrana<\/strong><\/a>  pour prot\u00e9ger votre site Web et les informations sensibles de vos clients. <\/p>\n<h2 style=\"text-align: left;\"><strong>Meilleures pratiques de s\u00e9curit\u00e9 des API pour le commerce \u00e9lectronique<\/strong><\/h2>\n<p>Les menaces de l&#8217;API \u00e0 la s\u00e9curit\u00e9 du commerce \u00e9lectronique sont potentiellement d\u00e9vastatrices pour les d\u00e9taillants et les clients.  Pour cette raison, vous devez prendre les mesures appropri\u00e9es pour y rem\u00e9dier.<\/p>\n<h4 style=\"text-align: left;\"><strong>D\u00e9couverte d&#8217;API<\/strong><\/h4>\n<p>La premi\u00e8re \u00e9tape consiste \u00e0 comprendre ce que vous avez dans votre paysage d&#8217;API.  Un inventaire de toutes les API, y compris les API non document\u00e9es, est essentiel si vous souhaitez s\u00e9curiser ce que vous ne savez pas.<\/p>\n<p>La d\u00e9couverte d&#8217;API implique la recherche et l&#8217;inventaire des API. <a rel=\"nofollow noopener\" href=\"https:\/\/nonamesecurity.com\/api-security-disconnect-ecommerce-sector\" target=\"_blank\">67 % des d\u00e9taillants interrog\u00e9s<\/a> disent qu&#8217;ils manquent de visibilit\u00e9 sur l&#8217;inventaire des API.  Une bonne solution de s\u00e9curit\u00e9 d&#8217;API offre de solides fonctionnalit\u00e9s de d\u00e9couverte d&#8217;API.  Il inventorie automatiquement toutes les API, y compris les API Zombie et shadow. <\/p>\n<p>Assurez-vous que les API zombies sont d\u00e9sactiv\u00e9es.  Une fois que le dernier client a cess\u00e9 de s&#8217;int\u00e9grer \u00e0 une API obsol\u00e8te, assurez-vous que l&#8217;API est d\u00e9sactiv\u00e9e.  Si vous allez publier de la documentation sur l&#8217;API en externe, assurez-vous qu&#8217;elle est valide et test\u00e9e, et qu&#8217;elle n&#8217;expose pas de vuln\u00e9rabilit\u00e9s.<\/p>\n<h4 style=\"text-align: left;\"><strong>Tests de s\u00e9curit\u00e9 API et tests de p\u00e9n\u00e9tration<\/strong><\/h4>\n<p>Int\u00e9grez la s\u00e9curit\u00e9 des API d\u00e8s le d\u00e9but du processus de d\u00e9veloppement.  L&#8217;am\u00e9lioration de la s\u00e9curit\u00e9 et la gestion des vuln\u00e9rabilit\u00e9s sont des aspects cl\u00e9s du d\u00e9veloppement de votre API.  Utilisez des scanners de s\u00e9curit\u00e9 API (par exemple, Infinite API Scanner) pour des analyses de vuln\u00e9rabilit\u00e9 API fluides.  Assurez-vous de corriger imm\u00e9diatement les vuln\u00e9rabilit\u00e9s identifi\u00e9es. <\/p>\n<p>En plus des outils d&#8217;analyse API automatis\u00e9s, les tests manuels d&#8217;intrusion sont essentiels.  Il vous aide \u00e0 d\u00e9tecter les erreurs de configuration qui pourraient autrement passer inaper\u00e7ues.<\/p>\n<h4 style=\"text-align: left;\"><strong>Authentification et autorisation appropri\u00e9es<\/strong><\/h4>\n<p>Valider l&#8217;identit\u00e9 des acheteurs et n&#8217;autoriser l&#8217;acc\u00e8s qu&#8217;aux ressources sp\u00e9cifiques pour lesquelles ils ont l&#8217;autorisation est essentiel dans la s\u00e9curit\u00e9 des API. <\/p>\n<p>OAuth 2.0, les cl\u00e9s API et l&#8217;authentification bas\u00e9e sur les jetons sont quelques m\u00e9thodes d&#8217;authentification API pour v\u00e9rifier l&#8217;identit\u00e9 des utilisateurs.<\/p>\n<h4 style=\"text-align: left;\"><strong>Limitation du d\u00e9bit de l&#8217;API<\/strong><\/h4>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/content.salt.security\/state-api-report.html\" target=\"_blank\">Les donn\u00e9es<\/a>, il y avait 28 points de terminaison d&#8217;API en 2020 et 89 en 2021, soit une multiplication par trois des points de terminaison d&#8217;API.  Une augmentation similaire des appels API est logique.  Il y a eu une augmentation de 141\u00a0% des appels d&#8217;API au premier semestre 2021. Il y a eu une augmentation correspondante des surfaces d&#8217;attaque.<\/p>\n<p>Les attaquants peuvent rendre les sites de commerce \u00e9lectronique indisponibles pour les acheteurs l\u00e9gitimes avec des attaques DDoS.  Avec la limitation du d\u00e9bit de l&#8217;API, vous pouvez limiter le nombre de requ\u00eates provenant de ressources syst\u00e8me \u00e9crasantes.  Il peut limiter la demande qui d\u00e9passe les limites.  Il vous permet de rendre votre site disponible pour les acheteurs sans impact sur les performances. <\/p>\n<h2 style=\"text-align: left;\"><strong>Comportement et analyse de l&#8217;API<\/strong><\/h2>\n<p>Tirez parti de la solution de protection des API pour rechercher un comportement anormal dans le trafic des API.  La diff\u00e9renciation du trafic malveillant du trafic API normal peut aider \u00e0 d\u00e9tecter les attaques en cours. <\/p>\n<p>Il met \u00e9galement en \u00e9vidence les mauvais comportements du syst\u00e8me et d&#8217;autres interruptions malveillantes de votre service.  Il analyse les m\u00e9tadonn\u00e9es du trafic pour identifier la source de l&#8217;attaque.  Vous pouvez utiliser ces informations pour arr\u00eater l&#8217;incident et r\u00e9soudre le probl\u00e8me dans l&#8217;API.<\/p>\n<h4 style=\"text-align: left;\"><strong>Conseils pour prot\u00e9ger votre site de commerce \u00e9lectronique<\/strong><\/h4>\n<ul style=\"text-align: left;\">\n<li>Assurez-vous que toutes les int\u00e9grations et plugins tiers sont r\u00e9guli\u00e8rement inspect\u00e9s<\/li>\n<li>Aidez vos clients \u00e0 cr\u00e9er des mots de passe forts et uniques<\/li>\n<li>Assurez-vous que seules les donn\u00e9es client n\u00e9cessaires sont stock\u00e9es<\/li>\n<li>Gardez toujours votre site \u00e0 jour<\/li>\n<li>S\u00e9curisez votre site Web avec HTTPS<\/li>\n<li>Gardez une sauvegarde de vos donn\u00e9es<\/li>\n<\/ul>\n<h4 style=\"text-align: left;\"><strong>S\u00e9curit\u00e9 du commerce \u00e9lectronique\u00a0: planifiez \u00e0 l&#8217;avance pour rester en s\u00e9curit\u00e9<\/strong><\/h4>\n<p>Une augmentation de l&#8217;utilisation des API a augment\u00e9 la surface d&#8217;attaque, ce qui rend les entreprises de commerce \u00e9lectronique vuln\u00e9rables.  Il appelle \u00e0 l&#8217;exigence imm\u00e9diate d&#8217;att\u00e9nuer les risques de s\u00e9curit\u00e9 des API mentionn\u00e9s ci-dessus.<\/p>\n<p>Ne pas s\u00e9curiser une plateforme de commerce \u00e9lectronique peut avoir un impact direct sur les ventes.  Cela ruine votre r\u00e9putation.  Prenez des mesures imm\u00e9diates pour gagner votre plate-forme de s\u00e9curit\u00e9 API.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/why-is-robust-api-security-crucial-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les attaques d&#8217;API se multiplient. L&#8217;une de leurs principales cibles est les entreprises de commerce \u00e9lectronique comme la v\u00f4tre. Les API sont un \u00e9l\u00e9ment essentiel de la fa\u00e7on dont les entreprises de commerce \u00e9lectronique acc\u00e9l\u00e8rent leur croissance dans le monde num\u00e9rique. Les plates-formes de commerce \u00e9lectronique utilisent des API \u00e0 tous les points de contact [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":503146,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,4168,3899,23214,4158,4165,4161,429,5568,3935,4157,4159,4171,4170,4167,4160,4163,4162,2147,4578,1835,4172,4169,196,4166,4164],"class_list":["post-503145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-comment-pirater","tag-commerce","tag-cruciale","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-electronique","tag-estelle","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pourquoi","tag-robuste","tag-securite","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/503145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=503145"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/503145\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/503146"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=503145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=503145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=503145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}