Cet article appartient au dossier : Services, DSP2 : Un nouvel univers de business.

Systèmes d'information

API : comment organiser l’exposition des données ?

Nouvel eldorado des entreprises désireuses de fournir des services à valeur ajoutée, les API permettent de sécuriser simplement les échanges de données des clients et de l’entreprise. Comment exposer ses données et gérer les services qui en découlent ? Par Mariano Boni et Laurent Rossaert, directeurs associés du cabinet de conseil IT et transformation digitale Nexworld.

Systèmes d'information

L'auteur

Pour en savoir plus

images
  • 1. API management : les fonctionnalités

    1. API management : les fonctionnalités

  • 2. Faire face aux pics de trafic liés aux API

    2. Faire face aux pics de trafic liés aux API

  • sécurité

    sécurité

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°379

DSP 2 : un nouvel univers de business

Aujourd’hui, l’entreprise peut mettre à la disposition de ses partenaires ou de tiers, des services et données qui lui permettront de percevoir un revenu, direct ou indirect. Un partage d’information peut en effet se monétiser, ou la mise à la disposition à un partenaire d’un service de vente être rémunérée moyennant une commission. L'entreprise peut même aller au-delà d'un simple rôle d’intermédiaire et établir une relation directe avec le client, passant d’une relation B2B2C (cible de professionnels et de clients consommateurs) à une relation B2C2B (cible d'intermédiaires des entreprises démarchées), voire C2B2B (mise en relation d'une offre émanant de consommateurs, commercialisée auprès de professionnels).

Un enrichissement mutuel d'informations

C’est ainsi qu’entrent en jeu les API (Application Programming Interfaces ou interfaces de programmation applicative), grâce auxquelles l'entreprise peut contractualiser avec des partenaires de manière simple, en se dotant de la capacité à monétiser l’information qu'elle met à leur disposition. Les API lui permettent de proposer à ses partenaires d’enrichir l’information dont ils disposent. L’étendue des possibilités est importante : les API permettent de travailler sur les données, également appelées « ressources », mais aussi sur les services proposés.

Un organisme de crédit peut, par exemple, intervenir pour enrichir l'information client de son partenaire, entreprise spécialisée dans la vente de véhicules en ligne, qui souhaite proposer à ses clients un service de crédit à la consommation, et profiter de cette opportunité pour commercialiser sa fonction de crédit. À partir du moment où l'organisme de crédit a identifié le client, il est en mesure de corréler des informations pertinentes dont il dispose sur lui – en conformité avec le Règlement général sur la protection des données (RGPD) et dans la mesure où il dispose du consentement du client. L'organisme de crédit voit ainsi se raccourcir le tunnel de paiement de ses partenaires, car les informations dont il dispose sont réputées justes. Dans ce cas, la banque monétise une donnée que le partenaire pourra régulièrement consulter. Il lui reste ensuite à autoriser son partenaire, qu'il a identifié, à accéder à son service de crédit via ses API, et à finaliser sa vente. Nous sommes donc dans une relation de type B2C2B et B2B2C. Si l’« APIsation » est désormais synonyme de simplification du business entre les entreprises, comment exposer et gérer les services et les données pour en tirer parti ?

Quelle simplicité d'usage ?

En théorie, toutes les fonctionnalités et tous les services que vous pouvez imaginer et souhaiter proposer sont concevables. Cependant, il est parfois compliqué de les mettre en œuvre à partir du système d’information (SI) existant. Les API permettent de simplifier cette opération.

D’une manière générale, l’accès aux services n’est pas simple. Pour des raisons historiques, les manières dont les services sont exposés les rendent compliqués à implémenter et à utiliser.

Les Web services SOAP – protocoles d'échange d'information structurée dans l'implémentation de services Web bâti sur XML – ont constitué une première étape dans la standardisation de cette intégration. Mais les promesses de simplicité d’usage et d’implémentation n’ont pas été tenues, car ceux-ci se révélaient trop complexes à appréhender par certaines catégories de développeurs d’applications, ou non supportées par certaines technologies.

Avec l’exposition des API, il est aujourd'hui relativement simple d’« appeler des services ». Une agence Web peut désormais intégrer elle-même des services dans les sites qu’elle conçoit pour ses clients.

Cette simplicité d’usage est due à l'émergence de nouveaux standards pour décrire les API (Swagger, OpenAPI v3), à l’utilisation de moyens de communication Web classiques (http) et enfin à des descriptions d’informations (JSON) dans les architectures orientées ressources (REST). Les nouveaux modèles d’intégration, quant à eux, ne prennent pas en compte pleinement la dimension sécuritaire, comme par exemple l’authentification des partenaires à l’usage des API. Pour cette raison, il est nécessaire de mettre en place d’autres briques logicielles, afin de traiter et d'agréger les problématiques de sécurité et de gestion des versions des API. C'est pour cette raison qu'ont été créées les solutions dites d’API management, destinées, au sein du SI, à porter les fonctionnalités d’authentification, de sécurité, d’exposition des API, de catalogues (descriptifs des API pour les partenaires), en plus de la gestion du cycle de vie des API et de leur monétisation.

Une fois que cette brique est posée, le département IT n’a plus à intervenir dans les processus d’enrôlement des partenaires ou dans la mise à disposition de nouvelles API ou fonctionnalités existantes.

Les solutions d'API management

Toutes les fonctionnalités liées aux données et aux transactions existent dans le SI, mais elles sont complexes à intégrer. Des standards existent pour simplifier leur description, leur exposition et leur exploitation, ainsi que de nouveaux modèles d’architectures, « architecture ressources ».

Ainsi, les solutions d’API management contribuent à simplifier l’intégration et la mise à disposition des API pour la constitution d’applications ouvertes avec des partenaires. Quels sont alors les risques sécuritaires et réglementaires encourus par une telle exposition ?

Il est indispensable de prendre en considération les dimensions réglementaires du RGPD, de la deuxième directive sur les services de paiement est une directive européenne (DSP 2), et de l’open data, dans les usages et le contrôle des données manipulées, mais également les habilitations et la gestion des identités et des accès des consommateurs sur ces données et nouveaux services.

Une fois vos API ouvertes à vos partenaires, il faut garantir que leur usage respecte bien le contrat défini avec eux. Pour cela, il est nécessaire de sécuriser les échanges, de vérifier que vos partenaires ne consomment que l’information auxquelles ils ont droit, et que personne n’a usurpé leur identité. Il faut aussi répondre aux contraintes réglementaires : mettre en place une traçabilité, obtenir les autorisations nécessaires, permettre aux clients de connaître les traitements effectués sur les données fournies… Vous êtes ainsi amené à gérer la sécurité en relation avec les données de vos clients, en gardant la trace de leur consentement.

A minima, vous devez avoir la capacité, à tout moment, de permettre à vos clients de revenir sur leur consentement, et si vous vous rendez compte d’un usage frauduleux de certaines données, vous devez être en mesure d’avertir rapidement les autorités et vos clients des usages qui ont été faits des données en votre possession.

Cette dimension sécuritaire doit nécessairement être prise en charge par la solution d’exposition des API. Pour cela, les solutions d’API management peuvent être associées à des standards de normalisation des échanges et de sécurisation, tels que OAuth2 et OpenID Connect, afin de garantir certaines exigences réglementaires imposées notamment par le RGPD et la DSP 2.

Faire face aux attaques silencieuses

Les hackers deviennent de plus en plus intelligents et les standards de sécurité disponibles ne suffisent plus. Les usurpations ne consistent plus en des attaques traditionnelles ; elles sont désormais « silencieuses » et seul un suivi comportemental permet de les identifier – par exemple si un client intervient dans des créneaux horaires inhabituels ou en utilisant des segments de données non traités précédemment.

Ces attaques non conventionnelles ne lancent pas d’alertes, à la manière des attaques de type « force brute » qui peuvent être détectées par un monitoring réseau. Il s’agit de variations de comportements dans les usages qu’il va falloir être en mesure de détecter afin d’identifier des fraudes. Dans ce cas, le recours à des systèmes à base d’intelligence artificielle peut être mis à profit.

La charge induite par la popularité des API nécessite parfois de repenser la structure du SI en mettant en place de nouvelles architectures capables de porter de nouveaux engagements de disponibilité.

Vous avez exposé vos services, simplifié leur exploitation, assuré leur promotion auprès de vos clients et partenaires… Le succès est au rendez-vous, vos clients et partenaires ont envie de consommer… À ce stade, vous atteignez une limite. Comment le SI peut-il résister à toutes ces sollicitations ? Il doit être en mesure de gérer ces nouveaux pics de trafic et d’encaisser la charge induite par l’exposition de vos API. Or votre SI a une capacité finie : l’architecture des systèmes et l’infrastructure en place sont limitées et il n’a pas été conçu pour traiter cet accroissement exponentiel de volume.

Deux solutions s’offrent à vous : utiliser les ressources du cloud, et/ou revoir l’architecture de vos systèmes existants. Quel que soit votre choix, une évolution de l’architecture de votre système sera nécessaire. Elle pourra s’appuyer sur des conteneurs et des microservices, qui peuvent être déployés dans vos propres infrastructures ou dans le cloud.

Cybersécurité, gouvernance des API et qualité des services

Les contraintes réglementaires et les limites des SI ne sont plus des freins à l’exposition des services et des données, ni pour étendre le champ des possibilités business. Grâce à la standardisation de la dimension sécuritaire, il est possible de traiter la dimension règlementaire. La mise en place d’une solution d’API management permet d’établir une relation entre les services mis à disposition et les consommateurs, de définir une vision contractuelle des usages et de contrôler les flux d’échanges en un seul et même point, tout en simplifiant l’intégration avec le SI.

Il n'existe aujourd'hui plus aucune limite, qu’il s’agisse des aspects techniques ou de la prise en compte des exigences réglementaires. Les entreprises sont en mesure d’étendre leur champ business grâce aux API, à partir de leur SI, ou via des API tierces.

Néanmoins, de nouveaux éléments doivent être pris en compte, telle que la dimension sécuritaire. Le risque business peut être important ; pour ne pas s’exposer à ce type d’attaque, la problématique de la cybersécurité doit impérativement être traitée.

La gouvernance des API est un deuxième point sensible. Leur prolifération nécessite la mise en place d’une gestion fine, s’appuyant sur des solutions techniques et une gouvernance adaptée, afin de définir des responsabilités, la relation avec les partenaires et les catalogues d’API en fonction des partenaires. Une absence de gouvernance des API sera un frein à de futures évolutions.

Enfin, les engagements et la qualité des services rendus sont fondamentaux. L’IT n’est plus dans le « chemin critique », à l'inverse des API qui ajoutent de la criticité au sein du système d’information. Étant donné la forte sollicitation des applications, le système d’information va devoir s’étendre dans le cloud, nécessitant de revisiter la manière dont les applications ont été conçues, afin d'assurer une tenue à la charge pour des traitements qui n’ont pas initialement été anticipés ou quantifiés. La nouvelle tendance IT est aux plates-formes de conteneurs et aux microservices.

Ces différents éléments sont des facteurs clés de succès qui doivent permettre aux entreprises de développer leur agilité tout en plaçant le SI au cœur de leur business.

 

Sommaire du dossier

DSP2 : Un nouvel univers de business

Sur le même sujet