Matinale Axway : la Gouvernance et la cybersécurité des API en question

Pionnier dans la création des écosystèmes via l’’interbancarité, l’éditeur Axway est positionné aujourd’hui sur les systèmes de gouvernance des API. Lors de la matinale animée par Frédéric Simottel, rédacteur en chef de 01 Business, Emmanuel Méthivier, Catalyst chez Axway, soulignait l’émergence récente de la problématique business dans le monde des API : « Jusqu’à peu, l’API était un sujet très technique, une problématique d’intégration et d’optimisation opérationnelle du système d’information. Depuis, les réglementations ont contraint les entreprises à ouvrir leur système d’information, à créer des écosystèmes. Aujourd’hui l’API s’est imposée en tant que nouveau canal de distribution. » Ce nouveau business fait émerger de nouvelles contraintes en termes de sécurité, de gouvernance, d’animation. C’est le prix à payer pour prendre pied sur l’économie des plateformes et proposer ses services sur ce que l’on appelle désormais les « Digital Service Marketplaces ».

Grand témoin de la table ronde Axway, Alexandre Streicher, délégué de la directrice à l’AIFE (Agence pour l'Informatique Financière de l’État), un service du ministère de l’Economie, des Finances et de la Souverainté industrielle et numérique, est en charge des solutions de facturation électronique, de dématérialisation de la commande publique, ainsi que des systèmes d’échanges et de gestion d’API. « L’AIFE entretient une collaboration de longue date avec Axway sur différentes briques technologiques. Nous avons construit à partir de 2016 un système de facturation électronique à destination de l’ensemble des fournisseurs des entités publiques. Ce système propose différents formats d’échange, dont des API. Nous avons très rapidement compris que nous avions besoin d’industrialiser notre gestion des API, mettre en œuvre une plateforme dédiée dénommée PISTE, [acronyme de Plateforme d'Intermédiation des Services pour la Transformation de l'Etat]. Celle-ci a été conçue pour absorber la volumétrie des flux de factures électroniques, avec 70 millions de factures traitées en 2021, mais également pour répondre aux autres besoins induits par les solutions mises en œuvre par l’AIFE, ou par d’autres entités publiques. »

La cybersécurité, le prérequis fondamental d’une stratégie API

Les récentes attaques sur Facebook ou Equifax l’ont démontré, la sécurité des API est une problématique bien réelle. L’agence pour l’emploi allemande fait aujourd’hui face à 5 millions d’attaques par jour sur ses API ! L’intensité de la menace doit pousser les entreprises à s’organiser en conséquence. Eric Horesnyi, responsable des ventes EMEA de solution d’API Management nommé Amplify chez Axway a souligné quelques bonnes pratiques à suivre : « Parmi les meilleures pratiques en vigueur pour faire face au risque Cyber, on peut citer la mise en place d’API Gateway pour filtrer les accès. La règle est de tendre vers l’approche « Zero Trust » : appliquer les mêmes règles aux API internes qu’à celles exposée à l’extérieur. Une troisième mesure à appliquer est de mettre en place le « Security by Design », c’est-à-dire intégrer la sécurité dès la rédaction des spécifications de l’API. »

Pour les DSI présents sur la table ronde, outre cette problématique technique, il ne faut pas négliger l’aspect humain de la cybersécurité : « Les développeurs, mais aussi les Citizen Developers, ces utilisateurs métiers qui utilisent des solutions Low-Code / No-code doivent être bien conscients des problématiques de sécurité liées aux API ». Les entreprises doivent faire des efforts de formation et d’information sur les dangers liés aux attaques sur API. Le recours à des campagnes de PenTesting par des hackers éthiques est une pratique recommandée sur les flux les plus critiques.

Du point de vue technique, outre les gateway, les DSI plébiscitent la mise en place de bacs à sable (sandboxing) pour tester les API, ainsi que le déploiement d’outils supplémentaires tels que les WAF pour bien segmenter le système d’information et cloisonner ces flux de données Nord/Sud et Est-ouest. L’attribution des accès pose un problème de gouvernance qui doit être géré par un comité d’experts qui va piloter les accès accordés sur les API vis-à-vis de l’extérieur.

La gouvernance, le cadre nécessaire à la réussite d’une stratégie API

Cette problématique de gouvernance apparait très rapidement dans tous les projets de déploiement d’API. Emmanuel Méthivier, Catalyst chez Axway, distingue 3 dimensions dans le rôle d’une gouvernance des API : « Les API se multiplient de manière exponentielle dans les entreprises. Pour ne pas risquer d’avoir à gérer un « SICOB informatique », celles-ci doivent soigneusement cataloguer leur API. Il est indispensable d’avoir une tour de contrôle pour gérer tous ces aspects, avec un catalogue unifié pour garder la maîtrise du système d’information. La gouvernance, c’est aussi une organisation. »

Plusieurs DSI sont encore en phase d’identification des API et n’ont pas encore mis en place de structure gouvernance. C’est un travail qui peut s’étendre sur plusieurs années. L’un a mis en place un comité d’architectes pour cataloguer ses API, l’autre estime le rôle des métiers prédominant : « Pour nous, ce qui drive la gouvernance, c’est le business ! La gouvernance doit accompagner les métiers et la croissance du business. L’appel aux API est une commodité. On n’a pas à réinventer la roue : il faut s’appuyer sur les standards, et des systèmes qui assurent le contrôle et le suivi des API. S’appuyer sur des plateformes dédiées à cela permet de se concentrer sur le « core business » et d’aller plus vite sur la croissance. » Les DSI ont souligné l’importance de disposer d’un point central, un Service Registry où toutes les données relatives aux API doivent être centralisées.

Les recettes pour susciter l’adoption des API

Une API doit être considérée comme un produit en tant que tel. L’entreprise doit se doter d’une stratégie pour en faire un succès auprès des développeurs et de ses futurs utilisateurs. Pour Eric Horesnyi, l’adoption doit être l’objectif numéro 1, car une API fait désormais partie du Business de l’entreprise : « Non seulement les API permettent de délivrer de nouvelles expériences clients, mais elles représentent de nouvelles lignes de revenus potentielles pour les entreprises. » Pour les DSI, la réussite d’un projet API passe par un triptyque : la technique avec une API de bonne qualité, un volet reporting pour s’assurer que l’API est bien utilisée, et enfin une communication interne sur la durée pour pouvoir améliorer en continu les process et l’API.

Les DSI ont pointé le fait que si l’économie des API est un phénomène nouveau, chaque entreprise dispose déjà d’un vaste choix d’API : « Il faut être capable de communiquer sur ses API et de convaincre l’utilisateur potentiel de choisir ses API. Parmi ses critères de choix, figure sa qualité, mais aussi sa pérennité. Une API qui n’est plus maintenue par son éditeur impose un coût à l’utilisateur qui va devoir opter pour une autre solution. Les coûts de maintenance des API sont bien souvent négligés au moment du lancement d’un projet, ce qui pose le risque de coupure de budget au-delà du budget initial. »

Les DSI ont conclu la session en soulignant : « Les API constituent un atout pour une entreprise, un moyen de se développer au travers de nouveaux services : le top management doit aujourd’hui être totalement impliqué dans cette démarché qu’il considère les API comme un levier de leur politique commerciale et dans la conquête de nouveaux marchés. »

Ce contenu a été réalisé avec AXWAY. La rédaction de BFMBUSINESS n'a pas participé à la réalisation de ce contenu.