Alors que les entreprises ont mis en place des bus de données de type ESB afin de faire circuler les informations entre les silos de leur système d’information, la plateforme d’API Management permet d’aller au-delà et de publier les API sur le Web.
« L’ESB permet aux applications de communiquer les unes avec les autres en interne mais à partir du moment où l’on souhaite exposer des services vers l’extérieur, l’ESB n’est pas taillé pour cela, notamment sur le plan de la sécurité. En outre l’ESB est complexe à mettre en place, il faut créer beaucoup de règles métier, ce qui n’est pas le rôle d’une plateforme d’API Management » explique Julien Boulnois, responsable de la Division API & Sécurité de CA Technologies.
« Le premier critère de choix est de trouver une solution qui permette à l’entreprise de gérer l’intégralité du cycle de vie de ses API. »
Julien Boulnois, CA Technologies
Pour cet expert, les entreprises sont maintenant en train de déployer ce type de solutions au niveau global : « Les entreprises sont passées d’un mode tactique où l’on déployait une plateforme de gestion des API dans une business unit, pour un projet précis, pour répondre à un cas d’usage bien précis. Nous assistons aujourd’hui à une généralisation de ces démarches. C’est le cas d’Engie, de Sanofi, de Saint-Gobain ou de L’Oréal qui ont lancé des programmes de gestion de leurs API à grande échelle au niveau Groupe. On passe de projets tactiques à un niveau beaucoup plus stratégique. »
Un pas vers l’économie des plateformes
Ce changement de dimension des API fait peser de nouvelles exigences sur cette brique de gestion des API.
Parmi les principaux critères de choix d’une plateforme de gestion d’API figure en tête de liste la capacité de la plateforme à gérer l’intégralité du cycle de vie des API, depuis sa création jusqu’à son décommissionnement, en passant par sa documentation, son exposition, sa sécurisation et l’indispensable volet supervision. « Exposer une API, c’est très simple » explique Julien Boulnois, « il suffit de mettre en place une gateway. Par contre si personne ne peut découvrir ces API, consulter la documentation relative à chaque API, les tester, les API ne servent à rien et le projet court à l’échec. Le premier critère de choix est de trouver une solution qui permette à l’entreprise de gérer l’intégralité du cycle de vie de ses API. »
Autre critère clé à prendre en compte dans un tel projet, le volet sécurité. Quand une entreprise se lance dans une stratégie d’API, elle doit ouvrir son système d’information vers l’extérieur. L’entreprise ouvre ses serveurs d’applications, ses silos de données afin de les exposer à différentes catégories de populations, notamment des utilisateurs externes. Bien évidemment qui dit ouverture dit menaces potentielles et exigences de sécurité renforcées. « Dans notre solution CA API management, on peut mettre en place des assertions, c’est-à-dire des règles de sécurité qui permettent de contrer des attaques bien spécifiques. La plateforme va détecter la menace au moment où celle-ci s’active et elle met en place des contre-mesures. Nous avons une assertion contre les dénis de service, une assertion contre les injections SQL, avec une assertion par type d’attaque. » Autre rôle de la plateforme d’API management, gérer les appels. Des pics de charge d’appels d’API peuvent écrouler le système d’information. Si un backend ne supporte que 1 000 requêtes par seconde, un pic de charge de 10 000 requêtes par seconde peut paralyser le système d’information. La solution d’API management CA permet ainsi de définir des quotas, fixer un plafond au-delà duquel les serveurs d’application ne sont plus sollicités. « Des assertions permettent de définir une limite maximale de charge. Les appels supplémentaires sont alors mis en attente. On peut aussi limiter le nombre d’appels d’un utilisateur sur une plage horaire définie, privilégier les appels en fonction de leur provenance. »
Facturer les accès aux API selon les volumes
L’éditeur est allé très loin dans cette direction puisqu’il a implémenté des notions de facturation dans sa plateforme. Il est possible pour une entreprise de facturer les accès à ses API à chacun de ses clients au volume, tout comme un fournisseur de PaaS ou de IaaS facture la consommation de ses ressources informatiques. La plateforme d’API management va ainsi permettre aux entreprises de véritablement entrer dans l’économie des plateformes, une économie où ses API pourront être commercialisées auprès de tiers au même titre qu’elle-même va consommer les API de ses partenaires. Si, mis à part les éditeurs de services Cloud, aucune entreprise française n’a véritablement atteint ce niveau de maturité, la gratuité des API restant la règle, nul doute qu’il s’agit là du futur des plateformes d’entreprise.