Les API fantômes sont des API non gérées qui présentent un risque sérieux pour les organisations qui les utilisent.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Une API « fantôme » (Shadow API) désigne toute interface de programmation d'application (API) qui n'a pas été gérée ou sécurisée par l'organisation qui l'utilise. Souvent, les API fantômes sont introduites par les développeurs et d'autres utilisateurs au sein d'une organisation, soit au cours du processus de développement de l'application, soit pour exécuter d'autres fonctions métier.
Les API fantômes ne sont pas nécessairement utilisées à des fins malveillantes. Cependant, comme elles ne sont pas sous le contrôle des équipes informatiques et de sécurité d'une organisation, il est impossible de les protéger contre les nouvelles vulnérabilités et les nouvelles attaques.
Bien que les API fantômes ne soient pas malveillantes par nature, elles peuvent présenter un certain nombre de risques. Les équipes informatiques et de sécurité d'une organisation sont chargées d'appliquer et d'améliorer les normes de sécurité des API, mais elles ne peuvent protéger que les API et les points de terminaison qui leur sont visibles. S'il existe une dépendance dont ces équipes n'ont pas connaissance, elles ne peuvent pas suivre l'exposition potentielle des données, ni garantir la conformité ou bloquer les attaques.
Voici quelques-un des risques les plus courants introduits par les API fantômes :
L'identification des API est le processus qui consiste à répertorier toutes les API internes et tierces utilisées au sein d'une organisation. Les objectifs des API étant très variés - Ils vont en effet de l'amélioration du développement des applications à la connexion des microservices et d'autres fonctions externes - il n'est pas rare que les organisations en utilisent des douzaines, voire des centaines (ou des milliers).
Grâce à l'identification des API, les entreprises peuvent non seulement simplifier le développement de leurs applications, mais aussi découvrir d'éventuelles API fantômes qui n'ont pas été correctement répertoriées ou sécurisées.C'est pourquoi l'identification des API est une première étape cruciale dans l'amélioration et la mise en œuvre des pratiques de sécurité des API.
Une API fantôme est une API non gérée mais activement utilisée. Une API zombie quant à elle a été supprimée ou abandonnée. À la différence des API fantômes, les API zombies peuvent avoir déjà été identifiées et gérées par une organisation, mais elles ne sont pas activement utilisées.
Les API fantômes et les API zombies présentent un risque sérieux pour les organisations qui interagissent avec elles, car elles ne sont généralement pas sécurisées et peuvent être compromises ou utilisées pour mener des attaques.
Cloudflare API Gateway comprend une fonction d'identification des API qui découvre, surveille et sécurise automatiquement tous les points de terminaison d'API. Les demandes entrantes sont validées par rapport à un schéma OpenAPI, qui est utilisé pour bloquer les demandes non conformes et contribuer à l'application d'un modèle de sécurité positif. Pour en savoir plus sur le fonctionnement de Cloudflare API discovery.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité