Accueil Expert Avis d’expert – L’intégration responsable est nécessaire pour établir une confiance dans...

Avis d’expert – L’intégration responsable est nécessaire pour établir une confiance dans les APIs

Thierry Milliard

“Un grand pouvoir implique de grandes responsabilités » : que cette citation provienne du monde politique, de celui des philosophes ou du créateur de Spiderman, le message résonne quel que soit le contexte. Pourtant, selon Thierry Milliard, Solution architect chez Software AG, l’appliquer au monde de l’API ne viendrait pas spontanément à l’idée…

Cependant, les récentes avancées dans les outils technologiques de gestion et d’intégration des APIs ont montré leur fort potentiel, participant activement à l’émergence de nouveaux modèles commerciaux et de nouvelles sources de revenus. Les APIs offrent aux entreprises de vrais avantages, en leur proposant de nouvelles sources de revenus, et en absorbant les contraintes des systèmes en héritage.

L’intégration des technologies doit se faire de manière pragmatique, aussi bien sur le plan fonctionnel que sur le plan technique, surtout si cela implique que l’on traite des données personnelles de clients. Dès lors, comment les entreprises peuvent-elles tirer profit des APIs tout en s’assurant que les données des consommateurs sont bien sécurisées ?

La multiplication des fuites des données

Pour réussir sa transformation digitale, l’entreprise doit prendre des décisions stratégiques en s’appuyant sur des gros volumes de données clients, données en tout ou partie « sensibles ». Les risques de fuites sont donc présents. 2019 a montré que 54%1 des fuites de données ont été d’origine malveillante, avec une augmentation d’année en année. Cela rend les consommateurs de plus en plus prudents vis-à-vis de leurs données personnelles.

Une fois ce constat établi, il est important de comprendre que les hackers ne représentent plus le seul problème lorsqu’il s’agit de fuite des données. Les entreprises doivent plutôt s’assurer que les données qu’elles traitent le sont, aussi bien en conformité avec les législations en vigueur, que conformément aux accords fixés avec les clients eux-mêmes.

Depuis la mise en place du RGPD, près de 400 millions d’euros d’amendes ont été infligés aux entreprises. Cela montre à quel point il faut s’assurer de sa conformité à la réglementation avant de collecter des données personnelles. La France apparaît d’ailleurs comme la championne du monde en termes d’amendes liées au RGPD, avec régulièrement des coups d’éclats comme des amendes records auprès de Google (44 millions d’euros). Cela oblige les entreprises à prendre des précautions drastiques pour protéger les données de ses utilisateurs, et non plus les utiliser comme, par exemple, pour proposer du retargeting ultra personnalisé.

Ces risques encourus sont à mettre en perspective face à l’utilisation trop spontanée des données par les développeurs qui les exposent à travers les APIs. Il est donc bon de se demander comment préserver la réputation d’une entreprise sans compromettre l’utilisation des données ?

La gestion et l’intégration des APIs

Des recommandations pour s’assurer de la conformité des traitement et des expositions des données personnelles sont proposées par diverses entités gouvernementales (CNIL et ANSSI en France, ICO au Royaume-Uni , BSI en Allemagne …)
Ces recommandations impliquent d’avoir une visibilité et une sécurité complètes de bout-en-bout pour les opérations de ventes auprès de cibles B2C, B2B et B2B2C.
Les règlementations recouvrent toutes les sources de données, qu’il s’agisse d’applications, d’appareils ou de solutions sur site voire dans le Cloud.

Ne pas respecter ces règles expose chaque entreprise à de graves dommages pour sa réputation, accompagnés par des amendes possiblement élevées en fonction de la gravité de l’incident ainsi qu’un risque de sanctions pénales. Dans ce contexte, les entreprises ne peuvent plus accorder une confiance aveugle à leurs développeurs. Plus globalement, les entreprises doivent garantir qu’elles ont le bon système mis en place pour contrôler la manière dont les APIs risquent d’exposer des données sensibles.

Heureusement, les plateformes de gestion et d’intégration des APIs offrent des solutions, pour s’assurer de l’exécution des règles de sécurité, y compris celles concernant les fuites de données. Cela permet de s’assurer que les données sortantes sont conformes aux règles même en cas de bug du service appelé et que les données sortantes seront filtrées réduisant ainsi les risques de piratage.

Les plateformes de gestion et d’intégration des APIs permettent aux utilisateurs d’embarquer rapidement des partenaires et d’échanger des documents via des standards API. Gartner déclare que les écosystèmes des partenaires sont de plus en plus critiques : connectés au SI de l’entreprise via des APIs, ils doivent eux-mêmes être conformes aux réglementations en vigueur, et en plus êtres filtrés pour limiter les risques au niveau de l’entreprise. En substance, une intégration cohérente garantie que les entreprises peuvent traiter et partager des données avec des partenaires, tout en restant conformes aux exigences réglementaires.

En accédant à ces informations, les entreprises peuvent assurer quotidiennement la transmission rapide et exacte de documents commerciaux cruciaux tout en uniformisant leur supply chain, en accélérant des ordres de paiement et en augmentant la satisfaction clients.

L’intégration responsable

Les APIs fournissent aux entreprises une nouvelle occasion d’améliorer leurs résultats financiers. Cependant, étant donné l’accès à des informations sensibles, elles ont besoin d’être exploitées avec « une grande responsabilité ». Notamment parce que les consommateurs sont très regardants quant à leurs données personnelles. De plus, établir la confiance est aujourd’hui essentielle dans la relation clients. Les entreprises doivent par conséquent être ouvertes et transparentes quant à la manière dont elles gèrent les données de leurs clients, en sachant bien qu’une mauvaise gestion conduirait à de lourdes pertes financières et une réputation fortement entachée.

Investir dans des plateformes de gestion et d’intégration des APIs est un moyen efficace d’éviter un scénario catastrophe. Ainsi, l’intégration des partenaires est uniformisée mais les entreprises ont surtout la vision totale sur leurs APIs. Cela signifie que les APIs d’une entreprise peuvent être gérées plus efficacement, respectant ainsi les réglementations légales et la confiance de ses clients et partenaires commerciaux.

 1 Baromètre construit avec les publications de la Cnil, accessibles sur data.gouv.fr