L'assistance opérationnelle auprès des utilisateurs est une mission du consultant

Les API, l'une des principales failles de sécurité dans une entreprise

Les API (Application Programming Interfaces) sont devenues essentielles pour permettre l'intégration des systemes existants au sein d'une entreprise. Cependant, elles peuvent également être l'une des principales failles de sécurité si elles ne sont pas correctement gérées et sécurisées.

J'ai déjà observé que les API peuvent présenter des vulnérabilités dès leur conception, notamment si elles permettent un accès excessif aux données ou ne sont pas suffisamment contrôlées pour limiter l'accès aux informations sensibles. Lorsque la vulnérabilité est liée à la conception, les API présentent un risque considérable car les cybercriminels détectent les fragilités et s'en emparent.

Si les autorisations d'accès aux API ne sont pas correctement gérées, cela peut conduire à des utilisateurs non autorisés ayant accès à des données sensibles. La mauvaise gestion des autorisations est un inconvénient majeur du Best of breed comme nouvelle approche qui tente depuis la fin des années 2010 de prendre le pas sur le monolithisme (ou prétendu tel) des gros systèmes de gestion.

Chaque fois que l'on tente d'interconnecter des systèmes informatiques entre eux, on peut déplorer le manque de contrôle d'accès qui permet à n'importe qui d'emprunter la porte et passer de l'autre côté. Le manque de contrôle d'accès adéquat peut permettre à des utilisateurs malveillants de contourner les mécanismes de sécurité et d'accéder à des données confidentielles, ce qui pose un soucis majeur.

Evidemment les cybercriminels sont à la recherche d'API mal conçues peuvant être sujettes à des attaques par injection, où des données malveillantes sont insérées dans les requêtes pour exploiter des vulnérabilités. Bien sûr les DSI cherchent à pallier le problème à travers l'utilisation d'un logiciel de cybersécurité, mais ce n'est pas toujours suffisant même si cela peut permettre de repérer les failles comme les attaques par injection à travers une API.

Outre les cybercriminels, il y a aussi tout ceux qui veulent récupérer un ransomware comme Revil Sodinokibi pour mettre à mal des systèmes informatiques d'entreprise. On constate que le manque de chiffrement des données échangées entre les applications d'entreprise via les API peut entraîner la divulgation d'informations sensibles. L'absence de chiffrement pose donc un soucis important.

✎ Pour aller plus loin dans votre approche de la cybersécurité

Logiciel ERP et cybersécurité (Posté le jeudi 25 juillet): Les systèmes ERP de nombreuses entreprises sont encore trop vulnérables, alors qu'ils abritent leurs données les plus précieuses. Que se passerait-il si votre système était attaqué ? Pour de nombreuses entreprises, les conséquences seraient dévastatrices étant donné les données essentielles qu'il y a dans les systèmes de gestion.

Au-delà de ce constat, la crainte de l'exposition de données internes est justifiée dans un monde économique où la concurrence fait rage. Par exemple toute information confidentielle obtenue à travers une interconnection entre le logiciel de comptabilité et de clôture financière et l'ERP expose la société dangereusement. Or une API mal configurée peut exposer des données internes de l'entreprise, offrant ainsi des informations précieuses aux attaquants... qui sauront toujours à qui les revendre.

Si la solution n'est pas a priori, elle peut se trouver a posteriori à travers un audit des activités liées aux API. Evidemment une insuffisance de journalisation (logs) et d'audit de données transférées via l'API peut compliquer la détection rapide des incidents de sécurité. Le sujet est entièrement dans les mains de la DSI et de ses outils de détection (monitoring).

Je vais aborder maintenant la difficile question des mises à jour. J'ai parlé en début d'article des API présentant des vulnérabilités dès leur conception, or il ne faut pas négliger les vulnérabilités liées aux MàJ. En effet les API peuvent être vulnérables aux attaques si elles ne sont pas mises à jour régulièrement pour corriger les failles de sécurité. L'entièreté du problème n'est donc pas uniquement dans la conception, comme on peut s'en douter.

Pour protéger les API contre les failles de sécurité, il est essentiel de mettre en place des mesures de sécurité appropriées, telles que l'authentification et l'autorisation robustes, le chiffrement des données, la validation des entrées et la journalisation complète des activités. Il est également important de suivre les meilleures pratiques de développement sécurisé pour concevoir des API résistantes aux attaques.

Je ferais une petite conclusion, car le sujet est loin d'être épuisé, en insistant sur le fait que les API sont devenues des éléments clés de l'architecture informatique d'une entreprise, mais leur exploitation incorrecte ou non sécurisée peut les rendre vulnérables aux attaques et en faire l'une des principales failles de sécurité. La gestion et la sécurisation rigoureuses des API sont donc indispensables pour assurer la protection des données et prévenir les incidents de sécurité au sein de l'entreprise.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant chef de projet IT écrit et publie régulièrement depuis 2004 des articles sur son blog dédié aux outils d'entreprise, aux questions du numérique et des nouvelles technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu.

👀 Vous pouvez aussi consulter les articles suivants : Lucca, une entreprise en train de percer ?, La gestion à l'affaire et ses particularités, Lucca, un logiciel RH d'entreprise pour automatiser vos processus, Gestion des factures fournisseurs, quel traitement ?, La chaîne logistique en entreprise, qu'est-ce que c'est ?, Processus d'achat et approvisionnement, les différentes étapes, Gestion documentaire (GED), quelques exemples, Reporting et tableau de bord, quelles différences?, Contrats de maintenance industrielle, comment les gérer ?, Gestion de stock : les bases et la méthode, Des diagrammes BPMN pour cartographier vos processus, Les méthodes de reconnaissance du CA, Comment gérer le déclenchement de facturation ?.

ZoomOutre l'email, mobile, téléphone, Telegram, réseaux sociaux, je vous invite à me retrouver également sur Zoom. Très utile voir indispensable, installé sur mon mobile pour entrer instantanément en réunion. Mon ID de réunion personnel (PMI) est sur la page Contact.

Aix en Provence

Michel Campillo

Michel Campillo Michel Campillo
Consultant chef de projet IT
06 89 56 58 18  contact par email, voir plus bas

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime assez cet article: « L'intelligence artificielle (IA), une opportunité ? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Facebook Twitter Mastodon LinkedIn

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, Quelques outils de gestion de projet open source disponibles, À quoi sert une page entreprise Linkedin ?, L'ERP nouvelle génération arrive, Carte mentale, exemples et concept, Logiciel de prise de notes, Être consultant sur un logiciel métier, Logiciels ERP les plus connus, un expert ERP, La quête d'un chef de projet pour la productivité, Comment bien choisir mon logiciel ERP BTP?, Dernière heure: l'actualité du BTP.
📕 Nous voici enfin sous le soleil serein 👓 du printemps 🌿

Copyright © 2004-2024 Michel Campillo, tous droits réservés

eXTReMe Tracker