État de la stratégie d'application : Qui doit piloter votre stratégie de sécurité des API ?
Il y a au moins trois bonnes réponses et d’autres moins bonnes.
La stratégie, notamment en matière de technologie, repose souvent sur les épaules des dirigeants. Lorsqu’il s’agit de stratégies liées à la sécurité, il s’agit souvent du RSSI ou, si ce rôle n’existe pas, du DSI.
Mais certaines organisations délèguent la responsabilité de la mise en œuvre des stratégies de sécurité des API à d’autres rôles. Les développeurs, les SRE et même les professionnels du réseau peuvent aujourd’hui s’approprier la stratégie de sécurisation des API.
C’est peut-être parce qu’il n’existe pas de véritable recherche sur les conséquences possibles de ces décisions. Il existe, après tout, de bonnes raisons pour lesquelles les développeurs doivent mettre en œuvre une stratégie de sécurité des API, tout comme il existe de bonnes raisons de confier cette responsabilité à tous ceux qui pourraient toucher une API d’une manière ou d’une autre, que ce soit pendant le développement, les tests ou la production.
Dans notre récente étude sur la sécurité des API, nous avons demandé à chacun de nos répondants (tous décideurs en matière de sécurité des API) quels rôles au sein de leur organisation étaient responsables de la conduite de la stratégie de sécurité des API. Nous avons trouvé un mélange de réponses, allant des développeurs aux professionnels du réseau en passant par des approches interorganisationnelles.
Mais nous avons également demandé quelques détails précis sur les types de services de sécurité que les organisations utilisent pour sécuriser les API. Il s’agit de services tels que la protection DDoS, le contrôle d’accès, mTLS et SSL. Nous avons utilisé le déploiement de ces services comme une représentation tangible de l’exécution stratégique, car ils font partie des contrôles nécessaires pour appliquer les politiques dérivées d’une stratégie de sécurité. Nous avons ensuite examiné lesquels de ces services ont été déployés en fonction de la personne qui pilote la stratégie de sécurité des API.
Franchement, nous avons été stupéfaits par les résultats.
Il s'avère que l'ensemble de services le plus complet a été déployé lorsque la stratégie de sécurité des API est une responsabilité interorganisationnelle, suivie de près par l'organisation de sécurité plus générale et la direction du DSI/CISO.
Ce qui est peut-être plus inquiétant, c’est que lorsque les SRE pilotent la stratégie de sécurité, la sécurité des API n’est pas intégrée avant la phase de test du cycle de vie des API. Lorsque d’autres choix sont faits pour la stratégie de sécurité des API, l’intégration de la sécurité des API commence en grande partie dans les phases de conception ou de développement. Même lorsque les équipes réseau pilotent la stratégie de sécurité des API, elles nous indiquent que le développement est la phase dans laquelle intégrer la sécurité des API.
La bonne nouvelle est que la plupart des organisations attribuent la responsabilité de définir la stratégie de sécurité des API à l’un de ces trois acteurs. Seuls 8 % d'entre eux confient cette tâche aux développeurs, encore moins (3 %) attendent des professionnels du réseau qu'ils la gèrent, et seulement 1 % confient cette tâche aux SRE.
Cela correspond étroitement au domaine auquel la sécurité des API est attribuée. Parce que cette décision est largement influencée par celui qui conduit la stratégie. Lorsque la stratégie de sécurité des API est pilotée par la direction du DSI/RSSI ou considérée comme interorganisationnelle, la sécurité des API finit par être répartie sur quatre domaines typiques : Gestion des API, sécurité des applications, réseau et sécurité, mais distinct de la sécurité des applications. Étant donné que les services qui défendent et protègent les API peuvent s’étendre sur plusieurs domaines, cela a du sens.
Donc, si votre organisation confie la stratégie de sécurité des API à la direction du DSI/RSSI, à la sécurité ou la considère comme une responsabilité interorganisationnelle, félicitations ! Votre approche stratégique conduit à des contrôles de sécurité complets via des services de sécurité qui défendent et protègent les API contre une grande variété d’attaques.
Vous pouvez approfondir encore plus la vie secrète des API en lisant le communiqué de presse d'aujourd'hui et en récupérant notre dernier rapport . À l'intérieur, vous trouverez d'autres statistiques effrayantes, mais vous en apprendrez également davantage sur la manière dont les API sont réellement utilisées au sein de l'entreprise, ainsi que sur les capacités de sécurité que les organisations considèrent comme importantes pour assurer la sécurité des API.