Quelle stratégie de gestion des API ?

Le marché des API a connu plusieurs opérations de rapprochements, à commencer par l’acquisition de Vordel par Axway fin 2012. Plus récemment, CA, Intel et Mulesoft ont respectivement racheté Layer 7, Mashery et ProgrammableWeb.

Cette vague d’acquisitions constitue un signe de maturité du marché : ainsi, les API étendent leur portée au-delà des traditionnels services grand public tels que Facebook et Twitter. La notion « d’API » renvoie, à l’heure actuelle, aux API Web basées sur les protocoles REST et HTTP. Les API Web sont largement utilisées à des fins d’intégration, notamment pour l’utilisation d’applications mobiles. En résumé, les API permettent aux applications mobiles de communiquer avec les serveurs et de récupérer leurs données. Par exemple, lorsqu’un utilisateur accède à un compte bancaire via son terminal mobile les opérations bancaires ne sont pas stockées sur le terminal, mais extraites à la demande par une API. Les API représentent une tendance technologique si importante qu’elles donnent lieu à l’émergence de nouveaux modèles économiques. Il y est souvent fait référence sous le terme « l’économie des API ». L’économie des API recouvre aussi bien les applications mobiles développées sur la base d’API que les nouvelles activités rendues possibles par ces API.

API ouvertes et API d’entreprise

Les API peuvent être divisées en deux grandes catégories : les API ouvertes et les API d’entreprise. Fréquemment hébergées dans le cloud, les API ouvertes sont accessibles à n’importe quel client. Facebook, Twitter et Google Maps sont des exemples d’API ouvertes, disponibles à tous. Les API d’entreprise, quant à elles, circulent au sein de l’entreprise et ne sont pas accessibles au public. En règle générale, les API d’entreprise manipulent des informations confidentielles ayant un impact critique pour l’entreprise. De ce fait, elles exigent des niveaux élevés de surveillance et de reporting ainsi qu’un contrôle réglementaire très strict.

Dans la plupart des cas, les sociétés déploient des API en vue de l’utilisation d’applications mobiles. Il peut aussi bien s’agir de permettre aux salariés d’utiliser des applis que d’ouvrir l’utilisation d’applis aux clients. En ce sens, les API ouvertes et d’entreprise sont utilisées à des fins similaires. Faisant appel à de simples interfaces HTTP, ces deux types d’API éliminent le besoin de traiter directement avec les systèmes existants.

Quelle stratégie de gestion des API ?

Si les récentes acquisitions ont renforcé la valeur associée à la gestion des API, une certaine confusion demeure quant à la véritable finalité de cette gestion. Au sein d’une entreprise, le responsable sécurité considérera la gestion des API comme un moyen de bloquer les menaces, tandis que le responsable réseau l’envisagera comme un outil de surveillance ; la DG et le DSI la verront comme un moyen de favoriser la mobilité. En réalité, la gestion des API recouvre tous ces domaines.

La gestion des API constitue l’élément incontournable à toute stratégie d’API. Si la sécurité des API s’avère vitale, la stratégie de gestion de celles-ci doit également accorder une place prioritaire à la surveillance, à l’analyse, à la gouvernance, aux rapports personnalisés, à l’autonomie des développeurs et à la gestion des règles. C’est à dire, lors de la mise en œuvre d’une stratégie de gestion des API, l’entreprise doit s’assurer que la solution choisie offre des niveaux suffisants de visibilité de ces API et des capacités poussées de diagnostic. En l’absence d’une gestion efficace, l’entreprise s’expose à voir ses API sabotées ou compromises, avec une incidence négative sur sa réputation et le risque pour ses utilisateurs d’être victimes d’une attaque frauduleuse.

Toutefois, l’entreprise peut également tenter de développer sa propre infrastructure de gestion des API « au fil de l’eau », au risque d’omettre d’importantes parties du processus, comme la surveillance, et de ne bénéficier que d’une visibilité partielle de l’utilisation de ses API. Pour éviter cet écueil, des entreprises adoptent une approche plus structurée en s’appuyant sur une plate-forme de gestion des API. Elles ont alors l’avantage de recevoir des informations auparavant indisponibles concernant le mode d’utilisation, les utilisateurs et le rythme d’utilisation de leurs API. Ces informations peuvent, par exemple, leur permettre d’identifier des tendances sur une période et de mieux connaître leurs clients.

Internet des objets : vers une multiplication des API

Les API vont poursuivre leur essor, en particulier avec la montée en puissance du phénomène de « l’Internet des objets ». Le terme d’Internet des objets (Internet of Things, IoT) a été utilisé pour la première fois par Kevin Ashton, pionnier de la technologie RFID, il y a une quinzaine d’années. Il renvoie au mode de croissance du trafic Internet à travers un modèle de système à système ou d’application à application, sans aucune intervention humaine. John Chambers, le PDG de Cisco, estime que le marché de l’IoT pourrait générer jusqu’à 14 trillions de dollars de profits pour l’économie mondiale.

Alors que nous assistons aux prémices d’un vaste déploiement de l’Internet des objets, les ingénieurs relient déjà des objets aussi hétérogènes que des smartphones, des véhicules et des appareils ménagers à des capteurs, et les rendent accessibles par Internet. Or, cette croissance coïncide avec celle des API Web dédiées à l’intégration. Les API Web constituent la technologie sous-jacente de l’Internet des objets. Par exemple, un consommateur peut utiliser une application mobile pour consulter les informations relatives à sa consommation d’énergie et aux tarifs correspondants, ou encore afficher la température de son domicile, à l’aide des informations envoyées par son thermostat à une API Web dans le cloud.

Prévenir les risques de sabotage

Le risque de sabotage ou de compromission des API est bien réel. Dans le contexte de l’IoT, par exemple, un utilisateur mal intentionné qui accéderait à l’API d’un constructeur automobile pourrait verrouiller ou déverrouiller un véhicule sans l’autorisation de son propriétaire. Pour éviter de s’exposer à ce risque, l’entreprise doit mettre en place des règles claires en matière d’accès à l’API et définir les personnes autorisées à verrouiller et déverrouiller le véhicule à distance à l’aide de standards d’identité du type OAuth.

Dans la mesure où les API font désormais partie de l’univers de l’entreprise, on ne peut qu’encourager toutes les organisations qui exploitent des API à adopter une stratégie de gestion en accord avec leurs déploiements d’API. En l’absence d’une stratégie efficace, l’entreprise manque de visibilité sur l’utilisation de ses API et s’expose, au même titre que ses utilisateurs, à un risque de fuite de données, de problèmes de confidentialité et de perte de chiffre d’affaires…

Cet article a été écrit par Mark O’Neill Vice-Président Innovation Axway.