Le rapport, qui révèle que les API devraient dépasser le milliard de dollars d'ici 2030, pointe du doigt les risques de sécurité associés à l'approche actuelle du développement et de la gouvernance 

La révolution des API, véritable moteur de l’économie numérique mondiale, pourrait échapper à tout contrôle, si l’on en croit ce rapport signé F5.

Ce rapport, intitulé « Continuous API Sprawl : Challenges and Opportunities in an API-Driven Economy » (La prolifération continue des API : défis et opportunités au sein d’une économie axée sur les API), met en avant le « boom » des API et expose les risques de gouvernance et de sécurité que cela pose.

Le constat du rapport est le suivant : Les API sont indissociables de l’économie de l’Internet, et on en recense aujourd’hui environ 200 millions. Elles sont omniprésentes, des paiements numériques aux services de divertissement en ligne en passant par la domotique. D’ici 2030, leur nombre pourrait grimper à 1,7 milliard.

Bien qu’il soit impossible de quantifier précisément la croissance des API, dont l’univers est en constante évolution, l’analyse du rapport s’appuie sur un modèle basé sur le nombre de développeurs de logiciels et leur propension à écrire des API pour dresser une tendance générale.

Ce qui apparaît plus inquiétant encore que le volume de cette croissance, c’est le sens que prend cette dernière, que le rapport qualifie de « prolifération des API » : la distribution rapide d’API dénuées de normes communes et de gouvernance forte, pour lesquelles l’attention portée aux contrôles de version et aux impératifs de sécurité est tout à fait insuffisante.

Ce boom résulte de certaines tendances observées en matière de développement logiciel, telles que l’adoption croissante de l’architecture des microservices, la popularité du développement logiciel continu et la volonté de moderniser les applications existantes. Ces tendances donnent lieu à la création de couches successives d’API, pour certaines dupliquées, pour d’autres insuffisamment documentées ou entretenues.

La complexité organisationnelle ajoute encore à la confusion. La préférence générale affichée par les équipes de développement logiciel pour le travail en silos, sur la base de meilleures pratiques indépendantes, a conduit de nombreuses entreprises à opter pour une approche d’infrastructure hybride. Le rapport 2021 State of Application Strategy de F5 a ainsi révélé que 68 % des entreprises exploitaient quatre ou cinq architectures applicatives différentes en 2021, contre 41 % en 2020. Une tendance qui contribue encore plus à la dispersion et à la duplication des API, ainsi qu’à la difficulté d’assurer le degré de supervision requis.

« À mesure que les API de tous types prolifèrent, les cas d’entreprises atteignant un point de non-retour dans la mesure où elles sont incapables de gérer et de contrôler efficacement ces API, seront de moins en moins des situations isolées », prédit Rajesh Narayanan, Directeur principal et technologue émérite chez F5. « C’est cela qu’on appelle le boom des API, à savoir le fait de s’appuyer sur un trop grand nombre d’API de trop nombreux types différents et dans trop d’emplacements différents pour pouvoir les maîtriser. »

Obstacles opérationnels et risques de sécurité

Cette prolifération des API met en évidence un certain nombre de problèmes opérationnels et de sécurité. À mesure que le nombre d’API et la complexité des applications s’accroissent, il devient très difficile de repérer l’emplacement des API. Les repérer à l’intérieur et à l’extérieur de l’entreprise peut s’avérer difficile, et cela risque d’affecter la connectivité de bout en bout. Les mises à jour fréquentes des API entraînent des problèmes de version et de documentation.

Mais ce n’est pas tout : le risque de sécurité inhérent à la prolifération des API est tout aussi urgent. Plus de 90 % des entreprises ont rapporté un incident de sécurité lié aux API l’année dernière.[1] Les API ne sont pas seulement une source de menaces pour la sécurité ; elles représentent également l’un des principaux risques sur le paysage du Cloud dans son ensemble : IBM rapporte ainsi que les deux tiers des incidents de sécurité liés au Cloud computing survenus l’année dernière concernaient des clés API mal configurées qui permettaient d’accéder à des données non autorisées.[2]

« Le boom des API non gérées constitue une faille de sécurité susceptible d’engendrer un risque élevé », a déclaré Rajesh Narayanan. « La croissance des API dans une infrastructure distribuée signifie que les secrets (les données qui donnent un accès privilégié à un système) sont répartis de façon plus large et deviennent plus vulnérables. Il suffit d’une seule clé API compromise pour qu’un pirate puisse accéder à une infrastructure stratégique. »

Contrôler le boom des API

Les API resteront un rouage essentiel de l’économie numérique : un moteur majeur d’innovation et de création de valeur. Cependant, leur croissance n’est pas sans poser des menaces, mais aussi des opportunités. Il convient donc de la gérer en faisant preuve de davantage de coordination, afin d’éviter que les enjeux naissants à l’heure actuelle ne deviennent ensuite des problèmes systémiques à grande échelle.

« La prolifération des API représente un élément incontournable de l’architecture logicielle moderne », a déclaré M. Narayanan. « Nous ne pouvons pas l’empêcher, c’est pourquoi nous devons trouver des moyens d’y faire face de manière pratique et évolutive. D’ici 2030, je table sur l’arrivée sur le marché de services qui fourniront une validation et une source fiable concernant la prise en charge et la sécurité des API, et seront proposés en tant que solutions SaaS. Nous aurons également besoin d’un inventaire des API supprimées ou non prises en charge (un garbage collector). »

En définitive, a-t-il conclu, l’heure est venue pour les entreprises de prendre des mesures avant que la prolifération des API n’atteigne une ampleur ingérable. « Si les données représentent le nouveau pétrole, alors les API pourraient malheureusement devenir le nouveau plastique, dont les sous-produits font des ravages sur tout l’écosystème. Pour prospérer dans l’économie basée sur les API, il est temps pour les entreprises de prendre au sérieux la création, l’utilisation et la gestion des API de manière responsable. »

[1] Salt Security, The State of API Security – Q1 2021

[2] IBM, 2021 IBM Security X-Force Cloud Threat Landscape Report (rapport d’IBM Security X-Force sur les menaces liées au Cloud)