Un guide sur la sécurité des API dans un monde transformé numériquement
Français
UNELes architectures d’applications deviennent plus natives dans le cloud et basées sur des microservices, les interfaces de programmation d’applications (API) sont devenues essentielles pour sécuriser vos applications en tant que canaux de communication principaux. Simultanément, l’augmentation de la complexité a rendu plus difficile de savoir ce qui se passe dans l’environnement d’application et entre ces applications (qui sont susceptibles d’être interconnectées via des API) – ce qui signifie une surface d’attaque plus large mais une visibilité décroissante. Les développeurs et les professionnels de la sécurité ont besoin d’une visibilité API et d’une intelligence de protection sans précédent pour sécuriser les applications et leurs API contre les menaces et les vulnérabilités de plus en plus sophistiquées. Conseil CE et CISO MAG a récemment organisé une table ronde virtuelle intitulée “API Security Outlook – Un guide sur la sécurité des API dans un monde transformé numériquement»Avec un panel d’experts comprenant d’Inon Shkedy, responsable de la recherche sur la sécurité, traçable; Nikesh Dubey, RSSI – Infosec & GRC, AGC Networks; et Nicole Darren Ford, VP et RSSI, Transporteur.
Inon Shkedy a dirigé la discussion avec ses observations sur la nécessité d’adopter la sécurité des API. Il a estimé que les API sont les éléments de base du scénario et que la sécurité des API doit être clairement comprise. Les violations d’API font la une des journaux tous les jours. Étant donné que les API permettent aux entreprises d’utiliser des données, les entreprises de plusieurs milliards de dollars deviennent des cibles alléchantes. Ce que beaucoup de gens ne comprennent pas, c’est que les API sont l’un des points d’entrée préférés des cybercriminels, car elles semblent attrayantes et lucratives pour les acteurs de la menace.
Shkedy a plus de huit ans d’expérience dans le domaine de la sécurité des applications. Il fournit actuellement des conseils en matière de sécurité aux startups de la Silicon Valley et dirige la recherche sur l’IA traçable dans le domaine de la sécurité des API.
Shkedy a déclaré: «Le principal problème est que les API sont exposées à d’autres vecteurs d’attaque. Les organisations doivent se concentrer sur une bonne gestion des actifs et une meilleure visibilité des API et des points de terminaison. »
Nikesh Dubey a confirmé et ajouté: «Nous devons comprendre ce que sont les API. Les API sont désormais devenues un paysage de menaces mortelles. En fait, plusieurs cyberattaques majeures récentes peuvent être liées à des violations d’API. Il s’agit notamment de la cyberattaque Panera, où près de 37 millions de comptes d’utilisateurs ont été compromis. Même pendant l’attaque SolarWinds, il existe une théorie qui attribue la violation à la violation de l’API de VMWare Workspace. »
Fervent défenseur des principes de sécurité et de GRC, Dubey est le RSSI d’AGC Networks (États-Unis) et dirige la pratique de conseil en sécurité d’AGC en Amérique du Nord.
Nicole Darden Ford a expliqué les complications de la gestion des API. Selon elle, «la gestion des API est devenue compliquée. Souvent, les API sont conçues comme une route à sens unique dans un seul but spécifique, mais si quelque chose ne va pas, cela devient inutile. Pour les organisations, il est important de comprendre toutes les API et technologies autour des passerelles d’API. Les organisations ont investi dans les API et je pense qu’il est grand temps, elles commencent également à investir dans la sécurité des API. »
Ford est un chef de file stratégique informatique avec plus de 20 ans de succès au sein du gouvernement fédéral et des entreprises. Dans son rôle actuel de vice-présidente et chef de la sécurité de l’information chez Carrier, Ford supervise la sécurité de l’information et la cybersécurité des produits (IoT) à l’échelle mondiale.
Les panélistes ont conclu la discussion en déclarant la nécessité d’établir les meilleures pratiques, d’adopter une approche de sécurité en couches avec les API et d’améliorer la gestion des API. Shkedy a insisté sur la normalisation de la sécurité des API, de l’architecture zéro confiance et de la nécessité d’une cyber-hygiène. Dubey a mis l’accent sur le suivi des tiers et sur la construction d’une relation solide avec les fournisseurs, tandis que Ford a attiré l’attention sur la réalisation d’une meilleure diligence raisonnable et d’un meilleur audit.
À propos CISO MAG
CISO MAG – une publication de leadership éclairée par EC-Council – fournit des histoires, des tendances, des interviews et des nouvelles vitales du monde de la sécurité pour aider les dirigeants de la sécurité à rester informés. Le magazine comprend une analyse complète, des fonctionnalités de pointe et des contributions de leaders d’opinion.
À propos de EC-Council
EC-Council, officiellement incorporé en tant que Conseil international des consultants en commerce électronique, a été formé pour créer des programmes de formation et de certification en sécurité de l’information afin d’aider la communauté même sur laquelle notre économie connectée s’appuierait pour la sauver d’une cyberattaque dévastatrice. EC-Council a rapidement obtenu le soutien des meilleurs chercheurs et experts du monde entier et a lancé son premier programme de sécurité de l’information, le Certified Ethical Hacker. Avec cette équipe sans cesse croissante d’experts en la matière et de chercheurs InfoSec, EC-Council a continué à élaborer diverses normes, certifications et programmes de formation dans le domaine du commerce électronique et de la sécurité de l’information, devenant ainsi le plus grand organisme de certification de cybersécurité au monde. En savoir plus sur https://www.eccouncil.org.
