SlideShare une entreprise Scribd logo

Sécurité des APIs - événement IBM du 17 Novembre 2015

Magali Boulet
Magali Boulet

Quelles sécurités prévoir pour exposer des APIs ? Ce support brosse quelques pistes, aux niveaux API, Application, Développeur et utilisateur final.

Présentations et discours publics
1  sur  11
Télécharger pour lire hors ligne
1 © 2015 IBM Corporation1 © 2015 IBM Corporation IBM API Management #ibmapimgt Magali Boulet Pan-IMT Middleware Technical Sales magali.boulet@fr.ibm.com magaliboulet
Rappel pour commencer API Management Layer API Gateway AnalyticsDeploie APIs IBM API Management
Les acteurs en jeu dans l’Economie des APIs Utilisateurs Augmentation du chiffre d’affaires par l’usage d’applications Applications Accèdent aux services de backend à travers les Web APIs Développeurs Utilisent les APIs pour créer des applications Web API APIs donnant accès aux services métiers Services d’entreprise Exposables Données métier Besoin d’un niveau de sécurité particulier à chaque niveau
APIs • Approche RESTful • TLS (certificats clients et serveurs) • Oauth2 • Eventuellement signature, chiffrement • Mais aussi : SAML, ou autre jeton de sécurité  IBM DataPower Gateways Sécurité du protocole de communication Sécurité des échanges (payload) Contrôle d’accès Protection contre les menaces Web API APIs donnant accès aux services métiers B2B Web Cloud API SOA Mobile
Développeurs d’applications • Authentification • Gestion de groupes de développeurs  IBM API Management Développeurs Utilisent les APIs pour créer des applications
Applications • Enregistrement • AppId, AppSecret • Soucription aux APIs • Association AppId (et évenuellement AppSecret) aux operations • Quota d’usage  IBM API Management, en lien avec la passerelle de sécurité Applications Accèdent aux services de backend à travers les Web APIs
Utilisateurs finaux • Authentification, Autorisation • Conversion de jeton  IBM DataPower Gateways Sécurité du protocole de communication Sécurité des échanges (payload) Contrôle d’accès Protection contre les menaces Utilisateurs Augmentation du chiffre d’affaires par l’usage d’applications B2B Web Cloud API SOA Mobile
Autres protections à envisager • Menaces: injections, déni de services • Niveau de service (Quota) et protection des back-end (absorbeur de choc)
API Management Layer SOAP / REST Services Providers / ESB API Gateways API Management Layers portal API API Management Analytics Consumer API Manager Cas d’usage : IBM API Management interne LoadBalancing Developer Portal API Manager
API Management Layer API Gateways Reverse Proxy Web API Management Layers portal portal API API API Consumer API Manager LoadBalancing SOAP / REST Services Providers / ESB Management Analytics Cas d’usage : IBM API Management externe
Pour aller plus loin • Présentation en français • http://www.slideshare.net/MagaliBoulet/introduction-a-ibm-api-management • Site Web • ibm.com/apimanagement • API Management Saas • https://apim.ibmcloud.com/ • API developer community • developer.ibm.com/api • Twitter • @ibmapimgt • YouTube • youtube.com/ibmapimanagement • Speaker Deck • speakerdeck.com/ibmapimgmt

Recommandé

Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API ManagementMagali Boulet
 
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
 
Le modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsLe modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsMicrosoft
 
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
 
Web API Security
Web API SecurityWeb API Security
Web API SecurityStefaan
 
Paris Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyParis Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endFrançois Petitit
 

Recommandé

Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API ManagementMagali Boulet
 
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
 
Le modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsLe modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsMicrosoft
 
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
 
Web API Security
Web API SecurityWeb API Security
Web API SecurityStefaan
 
Paris Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyParis Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 
Octo Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endOcto Technology - Refcard Tests Web front-end
Octo Technology - Refcard Tests Web front-endFrançois Petitit
 
Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!OCTO Technology Suisse
 
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Romeo Kienzler
 
Swagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en françaisSwagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en françaisMartin Yung
 
Juego Cocodrilo Aventura
Juego Cocodrilo AventuraJuego Cocodrilo Aventura
Juego Cocodrilo AventuraJugar Con Juegos
 
Juego Gestion Inmobiliaria
Juego Gestion InmobiliariaJuego Gestion Inmobiliaria
Juego Gestion InmobiliariaJugar Con Juegos
 
Innovate - Imad Bougataya
Innovate - Imad BougatayaInnovate - Imad Bougataya
Innovate - Imad BougatayaSalah Benzakour
 
Teaching French with Quais de Seine
Teaching French with Quais de SeineTeaching French with Quais de Seine
Teaching French with Quais de SeineMattcuzner
 
Juego de Futbol Americano
Juego de Futbol AmericanoJuego de Futbol Americano
Juego de Futbol AmericanoJugar Con Juegos
 
Comandos de red
Comandos de redComandos de red
Comandos de redJose
 
Wikis
Wikis Wikis
Wikis fernando1963
 
Présentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthiquePrésentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthiqueDavid Brocard
 
Copia de presentación inteligencia artificial
Copia de presentación inteligencia artificialCopia de presentación inteligencia artificial
Copia de presentación inteligencia artificialerikasuansalamanca
 
Power point chocolate
Power point chocolatePower point chocolate
Power point chocolateNeira Gonzalez
 
Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.IPPSON
 
Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - Linet Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - LinetMktlighting
 
Padres de la informática
Padres de la informáticaPadres de la informática
Padres de la informáticaFabián Perier
 
Parábolas
ParábolasParábolas
ParábolasQuinto B BN
 
03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticasJOSÉ AGUSTÍN LEGARRETA RODRÍGUEZ
 
CM1 france villes & transports
CM1 france villes & transportsCM1 france villes & transports
CM1 france villes & transportsVincent OLIVIER
 
DISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIADISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIAivesister
 

Contenu connexe

En vedette

Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Romeo Kienzler
 
Swagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en françaisSwagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en françaisMartin Yung
 
Juego Gestion Inmobiliaria
Juego Gestion InmobiliariaJuego Gestion Inmobiliaria
Juego Gestion InmobiliariaJugar Con Juegos
 
Innovate - Imad Bougataya
Innovate - Imad BougatayaInnovate - Imad Bougataya
Innovate - Imad BougatayaSalah Benzakour
 
Teaching French with Quais de Seine
Teaching French with Quais de SeineTeaching French with Quais de Seine
Teaching French with Quais de SeineMattcuzner
 
Comandos de red
Comandos de redComandos de red
Comandos de redJose
 
Présentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthiquePrésentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthiqueDavid Brocard
 
Copia de presentación inteligencia artificial
Copia de presentación inteligencia artificialCopia de presentación inteligencia artificial
Copia de presentación inteligencia artificialerikasuansalamanca
 
Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.IPPSON
 
Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - Linet Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - LinetMktlighting
 
Padres de la informática
Padres de la informáticaPadres de la informática
Padres de la informáticaFabián Perier
 
CM1 france villes & transports
CM1 france villes & transportsCM1 france villes & transports
CM1 france villes & transportsVincent OLIVIER
 
DISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIADISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIAivesister
 

En vedette (20)

Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!
 
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...
 
Swagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en françaisSwagger pour documenter votre REST API - présentation en français
Swagger pour documenter votre REST API - présentation en français
 
Juego Cocodrilo Aventura
Juego Cocodrilo AventuraJuego Cocodrilo Aventura
Juego Cocodrilo Aventura
 
Juego Gestion Inmobiliaria
Juego Gestion InmobiliariaJuego Gestion Inmobiliaria
Juego Gestion Inmobiliaria
 
Innovate - Imad Bougataya
Innovate - Imad BougatayaInnovate - Imad Bougataya
Innovate - Imad Bougataya
 
Teaching French with Quais de Seine
Teaching French with Quais de SeineTeaching French with Quais de Seine
Teaching French with Quais de Seine
 
Juego de Futbol Americano
Juego de Futbol AmericanoJuego de Futbol Americano
Juego de Futbol Americano
 
Comandos de red
Comandos de redComandos de red
Comandos de red
 
Wikis
Wikis Wikis
Wikis
 
Présentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthiquePrésentation des Méthodes Agiles pour l'association AnnexEthique
Présentation des Méthodes Agiles pour l'association AnnexEthique
 
Copia de presentación inteligencia artificial
Copia de presentación inteligencia artificialCopia de presentación inteligencia artificial
Copia de presentación inteligencia artificial
 
Power point chocolate
Power point chocolatePower point chocolate
Power point chocolate
 
Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.Capitulo III del libro de Dr. Arturo Ordaz A.
Capitulo III del libro de Dr. Arturo Ordaz A.
 
Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - Linet Simon Lighting Ensembles - Linet
Simon Lighting Ensembles - Linet
 
Padres de la informática
Padres de la informáticaPadres de la informática
Padres de la informática
 
Parábolas
ParábolasParábolas
Parábolas
 
03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas03 expo reforma 2011 matemáticas
03 expo reforma 2011 matemáticas
 
CM1 france villes & transports
CM1 france villes & transportsCM1 france villes & transports
CM1 france villes & transports
 
DISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIADISTRAGRO Actions de la CCI de BASTIA
DISTRAGRO Actions de la CCI de BASTIA
 

Sécurité des APIs - événement IBM du 17 Novembre 2015

  • 1. 1 © 2015 IBM Corporation1 © 2015 IBM Corporation IBM API Management #ibmapimgt Magali Boulet Pan-IMT Middleware Technical Sales magali.boulet@fr.ibm.com magaliboulet
  • 2. Rappel pour commencer API Management Layer API Gateway AnalyticsDeploie APIs IBM API Management
  • 3. Les acteurs en jeu dans l’Economie des APIs Utilisateurs Augmentation du chiffre d’affaires par l’usage d’applications Applications Accèdent aux services de backend à travers les Web APIs Développeurs Utilisent les APIs pour créer des applications Web API APIs donnant accès aux services métiers Services d’entreprise Exposables Données métier Besoin d’un niveau de sécurité particulier à chaque niveau
  • 4. APIs • Approche RESTful • TLS (certificats clients et serveurs) • Oauth2 • Eventuellement signature, chiffrement • Mais aussi : SAML, ou autre jeton de sécurité  IBM DataPower Gateways Sécurité du protocole de communication Sécurité des échanges (payload) Contrôle d’accès Protection contre les menaces Web API APIs donnant accès aux services métiers B2B Web Cloud API SOA Mobile
  • 5. Développeurs d’applications • Authentification • Gestion de groupes de développeurs  IBM API Management Développeurs Utilisent les APIs pour créer des applications
  • 6. Applications • Enregistrement • AppId, AppSecret • Soucription aux APIs • Association AppId (et évenuellement AppSecret) aux operations • Quota d’usage  IBM API Management, en lien avec la passerelle de sécurité Applications Accèdent aux services de backend à travers les Web APIs
  • 7. Utilisateurs finaux • Authentification, Autorisation • Conversion de jeton  IBM DataPower Gateways Sécurité du protocole de communication Sécurité des échanges (payload) Contrôle d’accès Protection contre les menaces Utilisateurs Augmentation du chiffre d’affaires par l’usage d’applications B2B Web Cloud API SOA Mobile
  • 8. Autres protections à envisager • Menaces: injections, déni de services • Niveau de service (Quota) et protection des back-end (absorbeur de choc)
  • 9. API Management Layer SOAP / REST Services Providers / ESB API Gateways API Management Layers portal API API Management Analytics Consumer API Manager Cas d’usage : IBM API Management interne LoadBalancing Developer Portal API Manager
  • 10. API Management Layer API Gateways Reverse Proxy Web API Management Layers portal portal API API API Consumer API Manager LoadBalancing SOAP / REST Services Providers / ESB Management Analytics Cas d’usage : IBM API Management externe
  • 11. Pour aller plus loin • Présentation en français • http://www.slideshare.net/MagaliBoulet/introduction-a-ibm-api-management • Site Web • ibm.com/apimanagement • API Management Saas • https://apim.ibmcloud.com/ • API developer community • developer.ibm.com/api • Twitter • @ibmapimgt • YouTube • youtube.com/ibmapimanagement • Speaker Deck • speakerdeck.com/ibmapimgmt