Ma Veille Technologique

La sécurité des API : une préoccupation croissante

1. Le Sujet et son contexte

J'ai choisi d'orienter ma veille technologique sur la sécurité des API (Application Programming Interfaces). Ce choix n'est pas anodin : dans le cadre de mon projet pour le club de Génelard-Paray Tennis de Table, j'ai dû exploiter des données distantes fournies par la fédération via l'API SmartPing.

Les API sont aujourd'hui omniprésentes et connectent la majorité de nos services. Cependant, l'actualité nous rappelle constamment que si elles facilitent l'accès aux données, elles constituent également une porte d'entrée très vulnérable pour les cyberattaques (fuites massives de données, contournement d'authentification).

Problématique :

Comment assurer l'intégrité, la confidentialité et la disponibilité des données face à la multiplication des architectures API et à l'évolution constante des cybermenaces ?

2. Organisation de ma Veille

📥 Collecte

J'utilise Feedly (agrégateur de flux RSS) pour centraliser les articles provenant de sites spécialisés français (LeMagIT, CERT-FR, OWASP). J'ai également paramétré des Google Alerts sur les mots-clés "Vulnérabilités API REST" et "Sécurité des API".

⚙️ Traitement

Je centralise, trie et annote les articles intéressants sur Notion. Cela me permet de catégoriser les failles (BOLA, injection, authentification brisée) et de synthétiser les informations pour en extraire des bonnes pratiques de développement.

📤 Diffusion

La diffusion de ma veille s'effectue principalement via ce Portfolio professionnel pour informer les recruteurs et les professionnels du secteur des enjeux cyber actuels.

3. Mes Articles de Référence

Retrouvez ci-dessous ma sélection d'articles de veille, illustrant les vulnérabilités récentes et les solutions d'architecture.

OWASP
05 Juin 2023 | OWASP
L'OWASP API Security Top 10

Le document de référence listant les 10 failles critiques des API.

Lien veille : C'est le référentiel absolu des erreurs à ne jamais commettre (ex: BOLA) en développement.

Lire l'article
Microsoft RESTful
28 Octobre 2024 | Microsoft Learn
Conception et sécurisation des API RESTful

Documentation Microsoft Azure sur les pratiques de création d'API.

Lien veille : Me donne les normes architecturales officielles (HTTPS, méthodes HTTP) à appliquer.

Lire l'article
AWS API Gateway
15 Janvier 2025 | AWS (Amazon)
Protéger ses API avec une API Gateway

Configuration d'une passerelle cloud pour sécuriser le trafic.

Lien veille : Explique l'utilité d'un outil "bouclier" bloquant les requêtes malveillantes avant le code métier.

Lire l'article
Tokens JWT
12 Mars 2025 | Okta
Authentification : Qu'est-ce qu'un Jeton (Token) ?

Comment l'authentification par JWT/OAuth remplace les mots de passe.

Lien veille : M'explique techniquement comment vérifier l'identité des utilisateurs de façon chiffrée.

Lire l'article
Injection SQL
15 Décembre 2024 | OWASP Community
Les attaques par injection de code

Explication de la faille SQL via des requêtes entrantes malveillantes.

Lien veille : Rappelle la nécessité absolue de filtrer toutes les saisies utilisateurs pour protéger la base de données.

Lire l'article
Shadow API
28 Juin 2024 | LeMagIT
API : les sécuriser pour garantir fiabilité

Dossier sur la menace des 'Shadow API' (API invisibles) et le zero-trust.

Lien veille : M'apprend à toujours désactiver les anciens endpoints de test pour éviter de laisser des portes dérobées.

Lire l'article
IA et API
09 Octobre 2024 | Alliancy
Cybersécurité : les API, nouvelle cible de l'IA

Explosion des attaques automatisées grâce à l'intelligence artificielle.

Lien veille : Montre que face à l'automatisation des hackers, les défenses manuelles de nos API sont obsolètes.

Lire l'article
Tendances
07 Janvier 2025 | API7.ai
Top 8 des tendances de la gestion des API

Évolutions techniques des API et de leurs enjeux sécuritaires futurs.

Lien veille : Prouve que la sécurité des API est une compétence de développement très recherchée sur le marché.

Lire l'article
Sécurité API fournisseurs
22 Février 2025 | Check Point
Les meilleurs fournisseurs de sécurité API

Panorama des solutions professionnelles de protection contre l'exposition des données.

Lien veille : Fait un état des lieux des outils de cyberdéfense actuellement disponibles sur le marché.

Lire l'article
Fuites API
14 Mai 2024 | Secure Code Warrior
Des API qui fuient menacent les entreprises

Conséquences désastreuses des fuites liées à un mauvais code source.

Lien veille : Souligne l'importance vitale du 'Security by Design' dès la première ligne de code.

Lire l'article
Pratiques
03 Août 2024 | Wiz.io
11 meilleures pratiques de sécurité API

Guide sur le chiffrement, les accès et la surveillance des endpoints.

Lien veille : Une checklist technique applicable directement dans mon propre environnement de développement.

Lire l'article
IBM Security
12 Novembre 2024 | IBM
Qu'est-ce que la sécurité des API ?

Les concepts fondamentaux expliqués par IBM : Authentification et Autorisation.

Lien veille : Aide à distinguer techniquement l'identité d'un utilisateur de ses permissions d'accès.

Lire l'article
Risques F5
19 Juillet 2024 | F5
Risques et défis de la sécurité des API

Menaces spécifiques liées au passage aux architectures Microservices.

Lien veille : Explique pourquoi découper une application moderne en API augmente drastiquement la surface d'attaque.

Lire l'article
Alere ANSSI
09 Mai 2025 | CERT-FR (ANSSI)
Alerte de sécurité sur des API vulnérables

Alerte de l'État français sur l'exploitation active de failles.

Lien veille : Prouve par des cas réels que même de grandes infrastructures cèdent face aux vulnérabilités d'API.

Lire l'article
Marché
04 Mars 2024 | Research Nester
Taille et part de marché de la sécurité des API

Impact de la croissance du Cloud sur le marché de la cybersécurité.

Lien veille : Démontre la très forte employabilité et les investissements massifs dans ce secteur technique.

Lire l'article
Événement France
Actualité 2025 | France API
France API : l'événement de référence

Rassemblement des ingénieurs français autour de l'évolution des interfaces.

Lien veille : Souligne l'importance de suivre l'actualité via des événements physiques pour garder ses connaissances à jour.

Lire l'article

4. Conclusion & Carte Mentale

📝 Synthèse Globale

Cette veille m'a permis de prendre conscience que la sécurité des API ne se limite pas à une simple couche d'authentification. Elle requiert une approche "Security by Design" (Sécurité dès la conception) : valider rigoureusement toutes les données entrantes, vérifier les autorisations à chaque niveau de l'objet (pour éviter les BOLA), et mettre en place une surveillance continue (Monitoring, WAAP).

Pour mon projet avec l'API SmartPing, j'ai notamment appris à ne jamais faire confiance aux entrées utilisateurs et à limiter le nombre de requêtes pour éviter d'être banni par le serveur distant.

🎯 Compétences mobilisées (Référentiel BTS SIO)
  • Gérer le patrimoine informatique : Recenser et identifier les ressources numériques (API) et leurs vulnérabilités.
  • Répondre aux incidents et aux demandes d’assistance : Comprendre les failles (BOLA, Injections) pour mieux réagir.
  • Développer la présence en ligne : Sécuriser les échanges de données lors du développement d'applications Web.
  • Travailler en mode projet : Mettre en place une veille technologique structurée (collecte, traitement, diffusion) de manière continue.
🧠 Carte Mentale : Les Piliers de la Sécurité API

Voici un schéma vectoriel résumant l'organisation des défenses autour d'une architecture API.

SÉCURITÉ DES API Authentification (OAuth) Autorisation (BOLA) Validation des Entrées Limitation (Quotas) Chiffrement (HTTPS/mTLS) Surveillance & WAF