{"id":83406,"date":"2023-04-12T07:15:02","date_gmt":"2023-04-12T14:15:02","guid":{"rendered":"https:\/\/blog.axway.com\/?p=83406"},"modified":"2024-01-19T13:47:17","modified_gmt":"2024-01-19T20:47:17","slug":"certifications-api-securite-holistique","status":"publish","type":"post","link":"https:\/\/blog.axway.com\/fr\/learning-center-fr\/securite-digitale\/certifications-api-securite-holistique","title":{"rendered":"Au-del\u00e0 des certifications : adoptez une approche holistique pour s\u00e9curiser les SI ouverts\u00a0"},"content":{"rendered":"
<\/div>

L\u2019annonce de la certification \u00ab\u202fCommon Criteria EAL4+\u202f\u00bb de la plateforme Amplify d\u2019Axway<\/a> a \u00e9t\u00e9 accueilli par la communaut\u00e9 API comme une avanc\u00e9e majeure dans la s\u00e9curisation des syst\u00e8mes d\u2019informations. Cette certification, la plus haute certification pour un logiciel civil, est un gage de renforcement de la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique de votre syst\u00e8me d\u2019information.<\/span>\u00a0<\/span>\u00a0<\/span><\/p>\n

En effet, il faut consid\u00e9rer la plateforme exposant vos API comme le \u00ab\u202fpont-levis garant de la s\u00e9curit\u00e9 des entr\u00e9es-sorties de la forteresse\u202f\u00bb, en l\u2019occurrence votre syst\u00e8me d\u2019information. Une sorte de \u00ab\u202fboite \u00e0 fusible digital\u202f\u00bb, pour laquelle il est normal d\u2019exiger la plus haute qualit\u00e9 et la plus grande s\u00e9curit\u00e9.<\/span>\u00a0<\/span><\/p>\n

Et pourtant, m\u00eame si la certification EAL4+ est indispensable \u00e0 cette brique de s\u00e9curit\u00e9 (l\u2019APIM), et m\u00eame si cette brique de s\u00e9curit\u00e9 APIM est absolument n\u00e9cessaire \u00e0 la s\u00e9curit\u00e9 de votre SI, elle n\u2019est pourtant pas suffisante pour assurer la s\u00e9curit\u00e9 compl\u00e8te d\u2019un syst\u00e8me d\u2019information ouverts, \u00e0 travers quatre axes\u202f: Disponibilit\u00e9, Int\u00e9grit\u00e9, Confidentialit\u00e9 et Preuve (DICP).<\/span>\u00a0<\/span><\/p>\n

<\/span>Au-del\u00e0 des certifications<\/span>\u00a0<\/span><\/span><\/h2>\n

Ces axes DICP (Disponibilit\u00e9, Int\u00e9grit\u00e9, Confidentialit\u00e9 et Preuve) doivent s\u2019appr\u00e9hender diff\u00e9remment pour un SI \u00e9tendu, ouvert par des API.<\/span>\u00a0<\/span><\/p>\n

En effet, contrairement aux SI ferm\u00e9s, maitris\u00e9s de bout en bout, un SI ouvert permet \u00e0 des d\u00e9veloppeurs externes de construire des applications pour vos clients, sans que vous ne puissiez en maitriser le code et donc l\u2019ensemble des fonctions.<\/span>\u00a0<\/span><\/p>\n

Que se passerait-il si, en tant qu\u2019op\u00e9rateur de sant\u00e9, un de vos d\u00e9veloppeurs externes ne cachait une backdoor pour exfiltrer les donn\u00e9es de vos clients\u202f?<\/span>\u00a0<\/span><\/p>\n

Que se passerait-il si, en tant que banque, les donn\u00e9es de vos clients se retrouvaient expos\u00e9es par le biais d\u2019une faille dans une application que vous ne maitrisez pas\u202f?<\/span>\u00a0<\/span><\/p>\n

L\u2019argument de la responsabilit\u00e9 juridique ne tient pas longtemps. Ce sont VOS clients, ces donn\u00e9es ils VOUS les ont confi\u00e9es, vous avez donc forc\u00e9ment une responsabilit\u00e9, au moins d\u2019image.<\/span>\u00a0<\/span><\/p>\n

Dans le contexte d\u2019un SI ouvert, il est donc indispensable d\u2019appr\u00e9hender la s\u00e9curit\u00e9 de bout en bout, en consid\u00e9rant le \u00ab\u202fz\u00e9ro trust\u202f\u00bb notamment sur cette brique de d\u00e9veloppement externe dont vous ne pouvez pas avoir la compl\u00e8te maitrise.<\/span>\u00a0<\/span><\/p>\n

Cela passe par plusieurs \u00e9tapes compl\u00e9mentaires \u00e0 une s\u00e9curisation classique.<\/span>\u00a0<\/span><\/p>\n

<\/span>La s\u00e9curisation des SI ouverts exige une approche \u00ab\u202fZ\u00e9ro Trust\u202f\u00bb<\/span>\u00a0<\/span><\/span><\/h2>\n

Gestion d’identit\u00e9<\/span>\u00a0<\/span><\/h3>\n

Il faut en premier lieu s\u2019assurer de l\u2019identit\u00e9 du d\u00e9veloppeur externe consommateur de vos services, de vos produit digitaux (API). Cela passe par une gestion stricte des identit\u00e9s digitales de vos partenaires d\u00e9veloppeurs externes.<\/span>\u00a0<\/span><\/p>\n

Mais il est aussi n\u00e9cessaire de contr\u00f4ler les applications d\u00e9velopp\u00e9es par ces d\u00e9veloppeurs. Un jeton par version applicative permet de s\u2019assurer que n\u2019importe quel code ne va pas consommer vos services.<\/span>\u00a0<\/span><\/p>\n

Cette double identit\u00e9 est g\u00e9r\u00e9e par un double \u00e9change de jeton d\u00e9veloppeur \/ version de l\u2019application.<\/span>\u00a0<\/span><\/p>\n

Une fois cette identit\u00e9 valid\u00e9e, il faut s\u2019assurer que le processus n\u2019est pas corrompu. Comment s\u2019assurer qu\u2019un d\u00e9veloppeur ne pousse pas \u00e0 vos clients une version d\u2019application modifi\u00e9e comportant une faille.<\/span>\u00a0<\/span><\/p>\n

Sandboxing<\/span>\u00a0<\/span><\/h3>\n

Pour s\u2019assurer de l\u2019int\u00e9grit\u00e9 du processus, il est n\u00e9cessaire de passer par une sandbox dans laquelle tournera l\u2019application tant qu\u2019elle ne sera pas valid\u00e9e par vos services de s\u00e9curit\u00e9 \/ compliance. Cette Sandbox permettra aussi \u00e0 vos d\u00e9veloppeurs de tester les applications.<\/span>\u00a0<\/span><\/p>\n

L\u2019application test\u00e9e devra n\u00e9cessairement \u00eatre celle pr\u00e9sente en store (google play ou apple store), car sinon, il est impossible de s\u2019assurer de la non-modification de l\u2019application entre le moment de la validation et l\u2019utilisation par vos clients. Une fois valid\u00e9e, on modifie l\u2019\u00e9tat du jeton applicatif pour que l\u2019application puisse tourner avec les donn\u00e9es de production r\u00e9elles.<\/span>\u00a0<\/span><\/p>\n

Comme vous pouvez le voir, on inverse donc le processus classique (passage en production apr\u00e8s test de s\u00e9curit\u00e9) puisque l\u2019application sera livr\u00e9e dans les stores de production avant les tests. Grace \u00e0 ce syst\u00e8me de jetons s\u00e9curis\u00e9s et de l\u2019aiguillage sandbox\/prod, vous pourrez vous assurer non seulement de la s\u00e9curit\u00e9 \u00e0 un instant T mais surtout, vous gardez la maitrise et pouvez \u00e0 tout moment d\u00e9brancher le fonctionnement d\u2019une application qui ne respecterait plus les guidelines.<\/span>\u00a0<\/span><\/p>\n

Un robot d\u00e9tectant toute modification d\u2019une version des applications en store est le compl\u00e9ment id\u00e9al pour vous assurer qu\u2019il n\u2019y a pas de nouvelle version \/ nouvelle faille. S\u2019il d\u00e9tecte une nouvelle version non test\u00e9e, un processus de blocage du jeton la fera retourner dans la sandbox.\u00a0<\/span>\u00a0<\/span><\/p>\n

Maitrisez la complexit\u00e9\u00a0<\/span>\u00a0<\/span><\/h3>\n

Autre \u00e9tape indispensable \u00e0 un SI APIs\u00e9, la maitrise du foisonnement des API. Comme nous l\u2019avons vu, celle-ci sont les portes d\u2019entr\u00e9e \/ sortie du SI, et leur croissance explosive entra\u00eene une <\/span>complexit\u00e9 croissante<\/span><\/a>.\u00a0<\/span>\u00a0<\/span><\/p>\n

Elles doivent donc \u00eatre parfaitement inventori\u00e9es afin d\u2019en garantir la gouvernance\u202f; impossible de g\u00e9rer ou s\u00e9curiser ce dont on ignore l’existence.<\/span>\u00a0<\/span><\/p>\n

Ces \u00e9tapes sont compl\u00e9mentaires aux s\u00e9curisations classiques<\/a>, elles ne les remplacent pas.<\/span>\u00a0<\/span><\/p>\n

<\/span>Axway offre une expertise au-del\u00e0 des solutions, pour un SI ouvert <\/span>et<\/span><\/i> s\u00e9curis\u00e9\u00a0<\/span>\u00a0<\/span><\/span><\/h2>\n

Pour vous accompagner sur une APIsation r\u00e9ussie et s\u00e9curis\u00e9e de votre SI, Axway peut donc vous fournir les briques essentielles pour garantir non seulement la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique mais aussi s\u2019assurer de l\u2019ensemble de cette gouvernance, allant jusqu\u2019au conseil d\u2019impl\u00e9mentation en fonction de la sensibilit\u00e9 de vos donn\u00e9es et services.<\/span>\u00a0<\/span><\/p>\n

N\u2019h\u00e9sitez-pas \u00e0 nous contacter pour en discuter.<\/span>\u00a0<\/span><\/p>\n

<\/p>\n

\n
\n

D\u00e9couvrez 6 mani\u00e8res de relever les d\u00e9fis des leaders IT avec une plateforme ouverte.<\/p>\n<\/div>\n

Click Here<\/span><\/a><\/div>\n<\/div>\n

\u00a0<\/span>\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

L\u2019annonce de la certification \u00ab\u202fCommon Criteria EAL4+\u202f\u00bb de la plateforme Amplify d\u2019Axway a \u00e9t\u00e9 accueilli par la communaut\u00e9 API comme une avanc\u00e9e majeure dans la s\u00e9curisation des syst\u00e8mes d\u2019informations. Cette certification, la plus haute certification pour un logiciel civil, est un gage de renforcement de la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique de votre syst\u00e8me d\u2019information.\u00a0\u00a0 En effet, il […]<\/p>\n","protected":false},"author":94,"featured_media":83407,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[6839,6825],"tags":[6897],"yst_prominent_words":[447,2526,1938],"coauthors":[5529],"class_list":{"0":"post-83406","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-securite-digitale","8":"category-strategies-api","9":"tag-securite-api"},"acf":[],"jetpack_featured_media_url":"https:\/\/blog.axway.com\/wp-content\/uploads\/2023\/04\/holistic-api-security-and-common-criteria-certification-eal4-blog.jpg","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/pa97bN-lHg","amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/posts\/83406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/users\/94"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/comments?post=83406"}],"version-history":[{"count":0,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/posts\/83406\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/media\/83407"}],"wp:attachment":[{"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/media?parent=83406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/categories?post=83406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/tags?post=83406"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/yst_prominent_words?post=83406"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/blog.axway.com\/fr\/wp-json\/wp\/v2\/coauthors?post=83406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}