L’avenir des entreprises passe par leurs développeurs

En savoir plus
Entreprise L’équipe à l’origine de meilleures expériences en ligne Carte réseau Une toute nouvelle architecture pour l’Internet d’aujourd’hui Relations avec les analystes du secteur Découvrez ce que les analystes du secteur pensent de Fastly Nouveautés Annonces et informations récentes Plateforme La plateforme qui rend les expériences numériques plus efficaces, plus rapides et plus sécurisées Témoignages clients Découvrez comment les meilleures entreprises du Web réussissent Événements Rencontrez-nous lors d’un événement Carrières Rejoignez l’équipe qui crée un meilleur Internet

Plateforme Edge Cloud de Fastly

Voir tous les produits
Distribution de contenu (CDN) Proposez des expériences rapides et personnalisées à l’échelle mondiale Streaming en direct Proposez des expériences de streaming fluides et efficaces Vidéos à la demande (VoD) Offrez d’incroyables expériences de vidéo à la demande Media Shield Optimisez les déploiements multi-CDN Packaging à la volée Conditionnez du contenu vidéo à la demande de manière dynamique et en temps réel Image Optimizer Traitement des images rapide et à la pointe de la technologie Équilibreur de charge (load balancer) Contrôle granulaire des décisions de routage Cryptage TLS Simplifiez la gestion du protocole Transport Layer Security (TLS) Origin Connect Connectez-vous directement à Fastly Adresses IP Gérez facilement vos adresses IP HTTP/3 et QUIC Protocoles modernes API de recherche de domaines Recherche instantanée et précise de noms de domaine Object Storage Get direct access to large files at the edge with zero egress fees
WAF de nouvelle génération Sécurité moderne des applications Web et des API, partout dans le monde Gestion des bots Détectez et neutralisez les attaques de bots Protection contre les attaques par déni de service distribué Atténuation automatisée des attaques perturbatrices et distribuées Sécurité des API Sécurisez vos points de terminaison d'API Protection côté client Protégez-vous contre les attaques côté client Gestion des bots d’IA Empêcher les bots d’IA de copier le contenu d’un site web
Edge Compute Mettez vos applications en périphérie : notre plateforme instantanée vous aide à créer des expériences exceptionnelles pour vos utilisateurs Bases de données clé-valeur La bases de données clé-valeur la plus rapide du marché et aussi facile à utiliser que vos outils de base de données habituels Websockets & Fanout Une messagerie en temps réel, à l’échelle mondiale, entièrement personnalisable et facile à configurer SDK pour développeurs Programmez les mêmes services que nous utilisons pour créer les produits Fastly Enterprise Serverless La plus puissante de toutes les plateformes sans serveur, basée sur des normes ouvertes et intégrée à la suite complète de produits Fastly IA Accélérez vos charges de travail d’IA et gagnez en efficacité grâce à la mise en cache sémantique Object Storage Get direct access to large files at the edge with zero egress fees Cache programmable Bénéficiez d'un accès programmatique complet au même système légendaire de mise en cache qui alimente notre CDN. Serveur MCP Un contrôle alimenté par l'IA pour vos services Fastly.
Logging en temps réel Diffusez et analysez des journaux en temps réel Edge Observer Analysez les données de trafic en direct et historiques Domain Inspector Évalue les informations au niveau du domaine Origin Inspector Consultez des informations complètes, de l’origine jusqu’à la périphérie Alertes Créez des notifications pour les métriques de service Log Explorer & Insights Interagissez avec des informations exploitables

Des services exceptionnels pour des résultats exceptionnels

Voir tous les services
Services professionnels Nos experts vous aident à migrer ou optimiser votre service de distribution Services de divertissement en direct Des expériences de streaming en direct qui s’adaptent à vos audiences Plans d’assistance Une assistance hors pair de bout en bout CDN géré Contrôle et flexibilité optimisés Services de sécurité gérés Protection des applications web gérée par des experts Assistance client L’assistance Fastly se tient à vos côtés pour développer vos activités

Solutions numériques innovantes

Voir toutes nos solutions
Services de streaming Proposez des streamings en direct et à la demande d’une qualité exceptionnelle Médias émergents Des performances élevées pour les marques de médias émergentes Édition numérique Journalisme en temps réel avec des expériences de lecture améliorées E-commerce Des expériences rapides et personnalisées à grande échelle Services financiers Sécurité intégrée pour protéger les données clients Haute technologie Adaptez instantanément vos performances au rythme de votre croissance Tourisme et hôtellerie Des expériences en ligne personnalisées pour vos invités et visiteurs Formation en ligne Proposez des formations sécurisées à grande échelle Jeux Propulsez vos joueurs vers la victoire grâce à des téléchargements de jeux ultra-rapides et sécurisés iGaming Proposer des expériences de jeu rapides, sûres, ininterrompues et attrayantes en périphérie
Réduction des coûts associés à l’infrastructure Réduisez vos dépenses cloud tout en les rendant plus prévisibles Optimisation multicloud Unifiez et simplifiez vos ressources cloud Confiance des clients En savoir plus sur les initiatives de Fastly pour instaurer une relation de confiance Protection de la vie privée Découvrez comment protéger les données de votre utilisateur Tableau de bord de performance écologique Consultez votre consommation d'électricité et vos émissions de GES pour la plateforme Fastly

Donnez à chaque développeur les moyens de créer des expériences extraordinaires

Essayez Fastly gratuitement
Développeurs Créez quelque chose d’incroyable aujourd’hui Programme Fast Forward Pour un Internet plus fiable Outils de développement Des outils de développement qui donnent un réel avantage aux équipes SDK pour développeurs Programmez les mêmes services que nous utilisons pour créer les produits Fastly Communauté Rejoignez des développeurs du monde entier S’inscrire Créez un compte développeur gratuit

Créez un Internet sûr, rapide et attrayant avec Fastly

Pourquoi s’associer à Fastly ? Proposez des expériences sûres, rapides et attrayantes Partenaires cloud Découvrez les avantages d’associer Fastly à vos services cloud Partenaires de distribution Améliorez vos offres et capacités avec les produits Fastly Partenaires technologiques et d’intégration Découvrez notre réseau de partenaires
Connexion au portail des partenaires Accédez à toutes vos ressources de partenaires Fastly Devenez partenaire Développez votre activité en revendant ou en recommandant des produits Fastly Trouvez un partenaire Nous vous mettons en relation avec le partenaire le mieux adapté à vos besoins

Obtenez de l’aide avec Fastly

Documentation Tirez le meilleur parti de Fastly Bibliothèque de ressources Découvrir des feuilles de données, des rapports et plus encore Fastly Academy Formation pratique sur les produits Fastly Centre d’apprentissage En savoir plus sur les technologies Internet Blog Nos dernières idées et réflexions Recherche dans le domaine de la sécurité Une sécurité renforcée grâce à la recherche Point de vue de Fastly Découvrez des points de vue d’experts et des informations sur le secteur
Centre d’assistance Comment pouvons-nous vous aider ? Nous contacter Contactez-nous dès aujourd’hui
Retour au centre d’apprentissage

Qu'est-ce que la protection des API ?

La protection des API fait référence aux activités, aux outils et aux pratiques impliqués dans la sécurisation des interfaces de programmation d’applications (API). L’objectif de la protection des API est de protéger les API contre les cyberattaques, les failles et toute utilisation non autorisée ou indésirable. 

Souvent utilisées pour accéder à des données logicielles sensibles, les API sont devenues une cible majeure des hackers. Cela fait de la protection des API un élément essentiel de la sécurité des applications web modernes

La sécurité des API est essentielle pour protéger les données sensibles, telles que les informations financières ou les données personnelles et prévenir les attaques susceptibles de compromettre l’intégrité de l’API et des systèmes auxquels elle se connecte. 

Pourquoi la protection des API est-elle importante ?

Les API permettent aux entreprises d’intégrer différents systèmes et technologies : elles fonctionnent comme un moyen pour diverses applications de « communiquer » rapidement. Les API gèrent souvent les jetons d’authentification, les données personnelles, les informations de paiement et un certain nombre d’autres activités très sensibles. Cela en fait une cible attrayante pour les acteurs malveillants. 

Étant donné que les API sont hautement automatisées et prévisibles, elles constituent une cible plus facile à étudier et à exploiter pour les hackers. Ces derniers sont connus pour exploiter les vulnérabilités des API afin d’accéder à des données sensibles ou d’injecter des codes malveillants dans les applications, conduisant à des violations de données, des pannes système et d’autres conséquences graves. 

Pour ces raisons, il est important de donner la priorité aux outils et aux stratégies de protection des API. En l’absence de protections adéquates, les API peuvent représenter un risque important pour l’entreprise, sa propriété intellectuelle, sa marque et sa réputation.

Quelles sont les conséquences de l’absence de protection des API ?

L’absence de mise en œuvre d’outils et de pratiques robustes de protection des API peut avoir plusieurs conséquences négatives pour votre entreprise : 

  1. Failles de données et violations réglementaires

  2. Piratage de compte et abus d’identifiants

  3. Accès non autorisé à des ressources sensibles

  4. Abus de la logique métier

  5. Dégradation du service causée par des abus automatisés

  6. Impacts sur la réputation et les revenus

Quels risques la protection des API atténue-t-elle ? 

Le top 10 de l’OWASP recense les principaux risques de sécurité des API et est mis à jour au fil des années. C’est un excellent point de départ à consulter pour garantir la protection de vos API. 

Dans cette liste, l’OWASP énumère les principales préoccupations liées aux API :

  • Broken Object Level Authorization : l’OWASP déclare que « les API ont tendance à exposer les points de terminaison qui gèrent les identifiants d’objets, créant ainsi une large surface d’attaque de problèmes de contrôle d’accès au niveau objet. Les vérifications d’autorisation au niveau de l’objet doivent être prises en compte dans chaque fonction qui accède à une source de données en utilisant un identifiant (ID) utilisateur ». 

  • Broken Authentication : l’OWASP déclare que « les mécanismes d’authentification sont souvent mal implémentés, permettant aux hackers de compromettre les jetons d’authentification ou d’exploiter les failles d’implémentation pour assumer temporairement ou définitivement l’identité d’autres utilisateurs. Compromettre la capacité d’un système à identifier le client/utilisateur compromet la sécurité des API dans son ensemble ».

  • Broken Object Property Level Authorization : l’OWASP déclare qu’il faut « se concentrer sur la cause première des problèmes d’autorisation, à savoir l’absence ou la mauvaise validation de l’autorisation au niveau de la propriété de l’objet. Cela conduit à l’exposition ou à la manipulation d’informations par des parties non autorisées ».

  •  Unrestricted Resource Consumption : l’OWASP déclare que « satisfaire les requêtes API nécessite des ressources telles que la bande passante réseau, le processeur, la mémoire et le stockage. D’autres ressources telles que les e-mails/SMS/appels téléphoniques ou la validation biométrique sont mises à disposition par les fournisseurs de services via des intégrations API et payées par requête. Les attaques réussies peuvent entraîner un déni de service ou une augmentation des coûts opérationnels. »

  • Broken Function Level Authorization : l’OWASP déclare que « des politiques complexes de contrôle d’accès avec plusieurs hiérarchies, groupes et rôles, ainsi qu’une séparation floue entre fonctions administratives et régulières, tendent à entraîner des failles d’autorisation. En exploitant ces problèmes, les hackers peuvent accéder aux ressources et/ou fonctions administratives d’autres utilisateurs. »

  • Unrestricted Access to Sensitive Business Flows : l’OWASP déclare que « les API vulnérables à ce risque exposent un flux commercial, comme l’achat d’un billet ou la publication d’un commentaire, sans compenser la façon dont cette fonctionnalité pourrait nuire à l’entreprise si elle était utilisée de manière excessive et automatisée. Cela ne vient pas nécessairement de bugs d’implémentation .»

  • Server Side Request Forgery : l’OWASP déclare que « des failles de type Server-Side Request Forgery (SSRF) peuvent se produire lorsqu’une API récupère une ressource distante sans valider l’URI fourni par l’utilisateur. Cela permet à un hacker de forcer l’application à envoyer une requête vers une destination inattendue, même lorsqu’elle est protégée par un pare-feu ou un VPN. »

  • Security Misconfiguration : l’OWASP déclare que « les API et les systèmes qui les supportent contiennent généralement des configurations complexes, destinées à rendre les API plus personnalisables. Les ingénieurs logiciels et DevOps peuvent manquer ces configurations, ou ne pas suivre les bonnes pratiques de sécurité en matière de configuration, ce qui ouvre la porte à différents types d’attaques. »

  • Improper Inventory Management : selon l’OWASP, « les API ont tendance à exposer davantage de points de terminaison que les applications web traditionnelles, d’où l’importance d’une documentation appropriée et mise à jour. Un inventaire approprié des hôtes et des versions d’API déployées est également important pour atténuer les problèmes tels que les versions d’API obsolètes et les points de terminaison de débogage exposés. »

  • Unsafe Consumption of APIs : selon l’OWASP, « les développeurs ont tendance à faire davantage confiance aux données reçues d’API tierces qu’aux données fournies par l’utilisateur, et ont donc tendance à adopter des normes de sécurité moins strictes. Pour compromettre les API, les hackers s’en prennent aux services tiers intégrés au lieu d’essayer de compromettre directement l’API cible. »

Hormis cette liste, vous devriez toujours aussi vous préoccuper des éléments suivants: 

  • API fantômes : ce sont des API qui ne sont pas suffisamment sécurisées mais qui sont tout de même utilisées au sein d’une entreprise. Elles surviennent généralement lorsque les API sont utilisées ou créées dans une partie de l’entreprise et que l’équipe de sécurité n’en a pas connaissance et n’est donc pas en mesure de les sécuriser de manière adéquate. 

  • Attaques par injection : lorsque les API acceptent des entrées sans validation appropriée. Cela permet aux hackers d’insérer des requêtes malveillantes dans une application et de semer le chaos. 

Quelles sont les bonnes pratiques en matière de protection des API ?

Outre l’investissement dans de puissants outils de sécurité des API, vous pouvez suivre plusieurs bonnes pratiques pour garantir la sécurité de vos API. 

Conception et développement

  • Suivre les normes de conception d’API sécurisées (moindre privilège, validation de schéma)

  • Définir rapidement les exigences en matière d’authentification, d’autorisation et de limitation du débit

  • Documenter clairement les points de terminaison et le comportement attendu

Authentification et tests d’autorisation

  • Protéger contre l’expiration, la révocation et les réutilisations des jetons de test

  • Vérifier le contrôle d’accès basé sur les rôles et le champ d’application

  • Tenter d’accéder à des ressources protégées sans autorisation

Validation des entrées et des schémas

  • Tester les requêtes malformées, les charges utiles surdimensionnées et les types de données inattendus

  • Valider l’application stricte du schéma

  • Tester les vulnérabilités d’injection

Tests API

  • Simuler le bourrage d’identifiants, l’énumération et le scraping

  • Tester la limitation du débit et le comportement de régulation

  • Valider l’efficacité de la détection des bots et des anomalies

Tests de logique métier

  • Tenter de manipuler le flux de travail pour identifier les faiblesses

  • Tester les cas limites et l’ordre inattendu des opérations

Chiffrement

  • Vous devez toujours vous assurer que les données transmises via les API sont chiffrées.

Qui a besoin d’une protection des API ? 

En bref, toute personne ou entreprise qui utilise des API dans le cadre de son écosystème commercial doit s’assurer qu’elle dispose de stratégies de protection des API et d’outils en place. 

Toutefois, plus les données touchées par vos API sont sensibles, plus une protection des API robuste est nécessaire. Ceux qui ont particulièrement besoin d’une protection des API sont : 

  • Le secteur des services financiers : sans surprise. Les institutions financières et les entreprises fintech ont besoin d’une protection des API à la fois pour répondre à une exigence de conformité (la norme PCI DSS) et pour assurer confiance et sécurité. Ces institutions gèrent les données les plus sensibles et ont donc besoin de solutions de sécurité à la hauteur. 

  • Le secteur de la santé : semblables aux données financières, les données de santé sont tout aussi sensibles. Les réglementations comme l’HIPAA exigent des pratiques de sécurité solides, tout comme les clients. 

  • Les secteurs de la vente au détail et du commerce électronique : les API sont essentielles à ces activités, car elles permettent de gérer les stocks, la fonctionnalité de paiement sur un site web et les expéditions. Les faiblesses dans ce domaine entraînent une perte de confiance et, par conséquent, des pertes de revenus. 

Comment Fastly peut aider

Les tests de sécurité des API doivent constituer un effort continu. En combinant une conception sécurisée, des tests automatisés continus, une validation manuelle, des tests d’abus prenant en compte les bots et une protection en périphérie, les entreprises peuvent réduire considérablement le risque d’exploitation des API tout en maintenant les performances et l’évolutivité.

Fastly API Security vous donne une image complète de votre paysage API. Vous pouvez comprendre ce qui existe, avoir l’assurance que tout fonctionne comme prévu et prendre des décisions d’atténuation des abus d’API ciblées sur l’ensemble de la plateforme Fastly.

La plateforme Edge Cloud de Fastly inspecte et filtre les requêtes API sur ses emplacements en périphérie répartis à l’échelle mondiale. Cela signifie que le trafic malveillant ou abusif, tel que les attaques pilotées par des bots, le bourrage d’identifiants ou le scraping d’API, peut être bloqué ou limité avant même d’atteindre vos serveurs d’applications. L’arrêt précoce des menaces réduit la charge en back-end, diminue la latence et limite le rayon d’action des attaques.

Prêt à commencer ?

Contactez-nous dès aujourd’hui
Parler à un expert