Sécurisation des échanges via les interfaces de programmation applicative (API)
Dans notre engagement continue pour assurer la sécurité des données, chaque aspect revêt une importance cruciale.
Principe fondamental de la réglementation sur la protection des données à caractère personnel, la protection dite adéquate se déroule en deux phases.
D’une part, il s’agit de mettre en place un socle de sécurité répondant aux risques les plus courants, souvent assimilé à une hygiène informatique. D’autre part, il est primordial d’entreprendre une analyse des risques pour les individus d’un traitement donné, afin d’évaluer les mesures de sécurité nécessaires.
Dans un guide composé de 25 fiches, la CNIL explore les divers aspects et niveaux de sécurisation, et notamment, celles des API !
FOCUS : les subtilités de la sécurisation des échanges via les interfaces de programmation applicative (API)
Une API, de quoi parle-t-on ?
Une Interface de programmation applicative (API) est un ensemble de règles, protocoles et outils permettant à différents logiciels de communiquer entre eux. En d’autres termes, une API est une interface qui facilite l’interaction entre un programme informatique et un autre programme ou service en utilisant des requêtes prédéfinies et des formats de données spécifiques. Elles sont centrales dans le secteur du développement logiciel puisque permettant l’intégration de différentes applications, services, et le partage, l’échange de données.
Pourquoi sécuriser les API est crucial ?
Point de passage et cible privilégiée pour les cyber-attaques, l’utilisation des API nécessite une attention particulière en matière de sécurité. Inscrire ses API dans la politique de sécurisation de son système d’information, assurer une sécurisation adaptée, pour garantir la confidentialité et l’intégrité des données échangées, tout en maintenant la confiance des utilisateurs.
Il s’agit alors que l’API devienne un outil pour contribuer à fiabiliser, minimiser et sécuriser les échanges de données.
Concrètement, qu’est-ce que ça donne ?
De manière générale, la cybersécurité reste une approche pro-activité. Pour sécuriser efficacement les données partagées via une API, plusieurs mesures préventives recommandées par la CNIL :
1. Dis-moi qui tu es, je te dirais ce qu’il te faut. Avant toute chose, il est essentiel d’identifier clairement les acteurs impliqués et leur rôle fonctionnel pour organiser strictement leurs rôles et leurs droits.
2. Minimisation tu feras. Dans la continuité du point précédent, il faut non seulement limiter les personnes qui ont accès aux données, mais aussi, limiter les données elles-mêmes au strict nécessaire. Un strict nécessaire qui se définit suivant les finalités. Autrement dit, pour aller au supermarché au coin, est ce que j’ai besoin faire tout un détour, passer par le périph ?
3. J’administre ou j’utilise ? Il faut strictement séparer les appels aux fonctions courantes de l’API et celles de son administration. Pour ce dernier point, une authentification robuste apparaît nécessaire.
4. Big Brother version douce. Disposer des journaux pertinents et être en capacité de tracer les échanges, mais aussi (et surtout..) assurer une réponse à incident. Une réponse à incident, c’est être capable de réagir efficacement en cas d’une utilisation détournée de l’API, d’accès illégitime aux données, etc.
5. Parce qu’on est tous des écrivains… Maintenir à jour la documentation. Elle inclue le format des requêtes et des données concernées.
🚀 Et parce qu’on oublie souvent …
Mes mises à jour de ferai. Autrement, il ne faut pas conserver actives les anciennes versions d’une API qui ne répondent plus aux normes de sécurité.
La sécurisation des clefs d’accès j’entreprendrai. Autrement dit, je ne négligerai jamais la sécurisation des clés d’accès aux API.