Embauché il y a 2 ans pour digitaliser les process, Alexandre Aubry raconte tous les changements que cela a induit : transformation de l'organisation, de l'infrastructure matérielle et réseau, ouverture et décommissionnement progressif de l'ERP Cobol...
Nous avons assisté à la conférence client de l'entreprise Orange à Agile en Seine. Cet article vous propose de découvrir comment l'IA Gen devient déjà un atout incontournable chez certains clients.
Un bon mix d'indicateurs - des KPI classiques ainsi que des KPI personnalisés - devrait vous aider, à condition de respecter un principe essentiel : faites simple !
Les API zombies sont de vieilles API oubliées, qui peuvent présenter des risques de vulnérabilité. Face à ce danger, piloter le cycle de vie des API est indispensable.
< Les API sont la clé de voûte de l'architecture des plateformes IT
Les API, ou interfaces de programmation d'applications, sont l'un des piliers des plateformes IT modernes. Elles permettent à différents composants logiciels de communiquer et de partager des données entre eux. Elles permettent ainsi le découplage des applications ainsi que des équipes qui les gèrent.
Un modèle vertueux, mais qui amène son propre lot de problèmes à régler. En premier lieu, celui des "API zombies".
Les API zombies sont de vieilles API oubliées dans un coin du SI, inutilisées et parfois même remplacées par des versions plus récentes. Ces points d'accès sont souvent exposés, augmentant la surface d'attaque potentielle. En fait, les attaques d'API ont augmenté de 348 % au cours du premier semestre de 2021.
Le problème est que ces API zombies peuvent s'avérer très difficiles à détecter. Elles peuvent avoir été laissées de côté en raison d'une négligence ou d'un manque de temps pour les décommissionner. Comme de plus en plus d'entreprises s'appuient sur les API pour connecter leurs systèmes et partager des données, le nombre d'API zombies est susceptible d'augmenter. Cela représente un risque important pour les entreprises, car les cyberattaques qui révèlent des données sensibles sur les clients peuvent entraîner une perte de confiance et une perte importante d'activité.
Il faut absolument, lorsqu'on travaille avec des API, piloter leur cycle de vie et éviter ce phénomène.
La première étape pour résoudre le problème des API zombies est de les identifier. L'usage d'un API Manager permet d'en déceler certaines, mais cela ne suffit pas. La meilleure façon est d'ouvir le capot du SI et de récupérer la trace de toute activité API. On peut, par exemple, se baser sur des outils d’aggrégation de logs techniques ou utiliser des standards de type Open Telemetry.
Nous vous conseillons d'effectuer des audits réguliers de votre inventaire d'API, ou en utilisant des outils automatisés qui surveillent toutes les API actives en temps réel.
Une fois identifiée, il faut impérativement analyser le contexte d'usage de cette API. Quel cas d'usage ? Qui l'a créée ? Pourquoi n'est-elle plus en activité ? Existe-t-il une version supérieure ?
En outre, l'application sous-jacente peut porter d'autre fonctionnalités importantes pour l'entreprise. Couper le fil n'est pas la bonne solution dans ce cas.
L'objectif ici est d'identifier les faux positifs et de limiter l'impact d'un débranchement de l'application ou la désactivation réseau de l'API.
Imaginez une API utilisée une seule fois par an pour un reporting réglementaire. Manque de chance, vous l'avez identifiée comme zombie car en "non activité" depuis plus de 3 mois...
Une fois qu'une API zombie a été identifiée, il est important de prendre des mesures pour la fermer le plus rapidement possible.
Dans le cas d'une montée de version, il convient de prévenir les utilisateurs actuels afin qu'ils puissent passer à une nouvelle API avec un minimum de perturbations. Par exemple, lorsque le National Institute of Standards and Technology a retiré son format SOAP, il a donné un préavis de six mois aux utilisateurs actuels. Cette approche est bien meilleure que la simple modification des fonctionnalités d'une API sans avertissement, car cela peut entraîner de la confusion et de la frustration chez les utilisateurs existants.
