Qu'est-ce que le Top 10 OWASP API Security ?

Le Top 10 OWASP API Security est un document de reference listant les risques de securite API les plus critiques. L'edition 2023 comprend : Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management et Unsafe Consumption of APIs.

Quelle est la difference entre les cles API, OAuth et JWT ?

Les cles API sont de simples jetons identifiant l'application appelante — elles fournissent une identification mais une securite limitee. OAuth 2.0 est un cadre d'autorisation qui accorde des jetons d'acces limites en portee et en duree sans partager les identifiants. JWT (JSON Web Tokens) sont des jetons autonomes contenant des declarations verifiables sans interroger une base de donnees. Bonne pratique : utilisez OAuth 2.0 pour l'autorisation utilisateur avec JWT comme format de jeton, et les cles API uniquement pour l'identification non sensible.

Qu'est-ce que la limitation de debit et pourquoi est-elle critique pour les API ?

La limitation de debit controle le nombre de requetes qu'un client peut effectuer dans une fenetre de temps donnee. Elle previent les attaques par deni de service (intentionnelles et accidentelles), protege les ressources backend contre la surcharge, empeche le bourrage d'identifiants et les attaques par force brute, controle les couts d'utilisation des API et assure un acces equitable entre les consommateurs. Implementez la limitation de debit a plusieurs niveaux : par cle API, par utilisateur, par endpoint et globalement.

Comment valider les entrees API ?

La validation des entrees API doit inclure : la validation de schema (rejeter les requetes ne correspondant pas au schema API), la verification de type (assurer les bons types de donnees), les limites de longueur (prevenir les debordements de tampon et le DoS), la validation de plage (verifier les intervalles numeriques), la validation de format (valider les emails, URL, dates), la validation par liste blanche (restreindre aux valeurs connues lorsque possible) et la validation de type de contenu (rejeter les types de contenu inattendus). Validez toutes les entrees — parametres de chemin, chaines de requete, en-tetes et corps de requete.

Qu'est-ce qu'une passerelle API et quelle securite fournit-elle ?

Une passerelle API est un proxy inverse situe entre les clients et les services backend, fournissant l'application centralisee de l'authentification et de l'autorisation, la limitation de debit et le throttling, la transformation et la validation des requetes/reponses, la terminaison TLS, la journalisation et la surveillance, le filtrage d'IP par liste blanche/noire et l'integration WAF. Les options populaires incluent Kong, AWS API Gateway, Azure API Management et Apigee.

Quels referentiels de conformite exigent la securite des API ?

ISO 27001 (A.8.25-A.8.28 — Developpement securise, codage et gestion des composants), SOC 2 (CC6.1, CC6.6 — Acces logique et limites des systemes), NIS2 (Article 21(2)(e) — Securite dans l'acquisition, le developpement et la maintenance des systemes), DORA (Article 8 — Systemes et protocoles TIC) et PCI DSS (Exigence 6 — Systemes et applications securises) exigent tous des controles directement applicables a la securite des API.

Comment surveiller les API pour les menaces de securite ?

La surveillance de la securite des API doit inclure : la journalisation de toutes les requetes API avec metadonnees (IP source, utilisateur, endpoint, code de reponse, latence), la detection de schemas anormaux (volumes inhabituels, changements geographiques, pics d'erreurs), la surveillance des schemas d'attaque du Top 10 OWASP API, le suivi des echecs d'authentification et des abus d'identifiants, les alertes sur l'exposition de donnees sensibles et la generation d'analyses d'utilisation API. Alimentez les journaux API dans votre SIEM pour la correlation avec d'autres evenements de securite.

Securite des API : le guide complet pour les equipes securite et conformite

Published 8 mars 2026

By Emre Salmanoglu

Securite des API : le guide complet pour les equipes securite et conformite

Q: Qu'est-ce que la securite des API ?

La securite des API englobe les pratiques, outils et architectures qui protegent les interfaces de programmation (API) contre les abus, les acces non autorises et l'exposition de donnees. Alors que les API deviennent le principal moyen de communication entre applications, elles representent une surface d'attaque croissante necessitant des controles de securite dedies incluant l'authentification, l'autorisation, la limitation de debit, la validation des entrees et la surveillance.

Apprenez a securiser les API et a satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre l'authentification, la limitation de debit, la validation des entrees, le Top 10 OWASP API, les passerelles API et les preuves de conformite.

Securite API

OWASP API Top 10

authentification

limitation de debit

conformite

Qu'est-ce que la securite des API ?

La securite des API est la discipline de protection des interfaces de programmation contre les acces non autorises, l'exposition de donnees et les abus. Alors que les organisations s'appuient de plus en plus sur les API pour connecter les services, partager des donnees et alimenter les integrations, les API sont devenues a la fois l'epine dorsale de l'architecture moderne et une surface d'attaque principale.

Securiser les API necessite une approche de defense en profondeur combinant une authentification forte, une autorisation granulaire, la validation des entrees, la limitation de debit, le chiffrement, la surveillance et une gestion appropriee de l'inventaire.

Top 10 OWASP API Security (2023)

Risque	Description	Remediation
API1 : Broken Object Level Authorisation	Acces aux ressources d'autres utilisateurs en manipulant les identifiants	Verifier la propriete de l'objet a chaque requete
API2 : Broken Authentication	Mecanismes d'authentification faibles ou manquants	Authentification forte, expiration des jetons, MFA
API3 : Broken Object Property Level Authorisation	Exposition ou modification de proprietes sensibles	Filtrage des reponses, controle d'acces au niveau des proprietes
API4 : Unrestricted Resource Consumption	Absence de limites d'utilisation API entrainant un DoS	Limitation de debit, pagination, quotas de ressources
API5 : Broken Function Level Authorisation	Acces aux fonctions d'administration sans autorisation appropriee	Acces base sur les roles sur chaque endpoint
API6 : Unrestricted Access to Sensitive Business Flows	Abus automatise de la logique metier (scalping, spam)	Limitation de debit metier, CAPTCHA
API7 : Server Side Request Forgery	API recuperant des ressources depuis des URL controlees par l'attaquant	Validation d'URL, listes blanches, segmentation reseau
API8 : Security Misconfiguration	Configurations par defaut, erreurs detaillees, en-tetes manquants	Checklists de durcissement, en-tetes de securite
API9 : Improper Inventory Management	Versions API inconnues ou obsoletes encore accessibles	Inventaire API, gestion des versions, depreciation
API10 : Unsafe Consumption of APIs	Faire confiance aux donnees d'API tierces sans validation	Valider toutes les reponses d'API externes

Methodes d'authentification API

Methode	Niveau de securite	Ideal pour	Considerations
Cles API	Faible	API publiques, identification uniquement	Facile a divulguer, pas de contexte utilisateur
Basic auth	Faible	Systemes internes/legacy	Envoie les identifiants a chaque requete
OAuth 2.0 + JWT	Eleve	API orientees utilisateur	Standard de l'industrie, acces limite
mTLS	Tres eleve	Service a service	Identite forte, configuration complexe
Signatures HMAC	Eleve	Verification de webhooks	Inviolable, protection anti-rejeu
Jetons API (courte duree)	Eleve	Machine a machine	Rotation automatique, exposition minimale

Controles de securite API

Couche de controle	Controles	Objectif
Passerelle	Authentification, limitation de debit, WAF, terminaison TLS	Point d'application centralise
Transport	TLS 1.2+, epinglage de certificats, mTLS	Proteger les donnees en transit
Authentification	OAuth 2.0, validation JWT, gestion des cles API	Verifier l'identite de l'appelant
Autorisation	RBAC/ABAC, validation de portee, verifications au niveau objet	Appliquer les politiques d'acces
Validation des entrees	Validation de schema, verification de type, assainissement	Prevenir les attaques par injection
Filtrage des sorties	Filtrage des reponses, masquage des donnees, selection de champs	Prevenir l'exposition de donnees
Limitation de debit	Limites par cle, par utilisateur, par endpoint	Prevenir les abus et le DoS
Surveillance	Journalisation des requetes, detection d'anomalies, alertes	Detecter et repondre aux menaces

Architecture de passerelle API

Composant	Fonction	Valeur securitaire
Proxy inverse	Achemine les requetes vers les services backend	Masque l'architecture interne
Service d'authentification	Valide les jetons et identifiants	Verification centralisee de l'identite
Limiteur de debit	Applique les quotas d'utilisation	Protection contre le DoS
Validateur de requetes	Valide par rapport au schema API	Securite des entrees
Transformateur de reponses	Filtre les donnees sensibles des reponses	Prevention de l'exposition de donnees
Integration WAF	Inspecte les schemas d'attaque courants	Protection OWASP
Journalisation/analyses	Enregistre toutes les transactions API	Piste d'audit et surveillance

Versionnement et cycle de vie des API

Phase	Activites de securite	Controles
Conception	Modelisation des menaces, exigences de securite	Revue de conception securisee
Developpement	Codage securise, SAST, analyse des dependances	Revue de code orientee securite
Test	DAST, fuzzing, test d'intrusion	Validation securite pre-release
Deploiement	Configuration passerelle, mise en place surveillance	Controles de securite actifs
Exploitation	Surveillance, reponse aux incidents, correctifs	Posture de securite continue
Depreciation	Fin de version, support a la migration	Supprimer l'acces aux versions obsoletes
Retrait	Decommissionnement complet	Verifier l'absence d'acces residuel

Exigences de conformite

Correspondance des referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Developpement securise	A.8.25	CC8.1	Art. 21(2)(e)	Art. 8(1)
Controles d'authentification	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Controle d'acces	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Chiffrement en transit	A.8.24	CC6.7	Art. 21(2)(d)	Art. 9(2)
Journalisation et surveillance	A.8.15	CC7.2	Art. 21(2)(b)	Art. 10
Validation des entrees	A.8.28	CC8.1	Art. 21(2)(e)	Art. 8(1)
Securite des API tierces	A.8.30	CC9.2	Art. 21(2)(d)	Art. 8(5)

Preuves d'audit

Type de preuve	Description	Referentiel
Inventaire API	Liste complete de toutes les API avec proprietaires et classifications	Tous les referentiels
Configuration d'authentification	Parametres d'authentification de la passerelle API et politiques de jetons	Tous les referentiels
Configuration de limitation de debit	Limites documentees par endpoint et consommateur	ISO 27001, SOC 2
Rapports d'analyse de securite API	Resultats DAST sur les endpoints API	Tous les referentiels
Journaux d'acces API	Requetes journalisees avec authentification et autorisation	Tous les referentiels
Politique de versionnement API	Processus documente de cycle de vie et de depreciation	ISO 27001, DORA
Regles de validation des entrees	Definitions de schema et configurations de validation	Tous les referentiels

Erreurs courantes

Erreur	Risque	Correction
Pas d'inventaire API	API fantomes sans controles de securite	Maintenir un inventaire API complet avec propriete
Authentification uniquement au niveau application	Application incoherente entre les services	Centraliser l'authentification a la passerelle API
Pas de limitation de debit	DoS, bourrage d'identifiants, epuisement des ressources	Implementer des limites de debit aux niveaux passerelle et application
Retourner des objets complets	Exposition excessive de donnees aux clients	Filtrer les reponses pour ne retourner que les champs necessaires
Pas de validation des entrees	Attaques par injection, corruption de donnees	Valider toutes les entrees par rapport au schema API
Cles API dans les URL	Cles exposees dans les journaux, historique du navigateur, en-tetes referrer	Envoyer les cles API dans les en-tetes, jamais dans les URL
Pas de versionnement API	Impossible de deprecier les versions non securisees	Versionner toutes les API, imposer des delais de depreciation

Comment Orbiq accompagne la conformite de securite API

Orbiq vous aide a demontrer vos controles de securite API :

Collecte de preuves — Centralisez les inventaires API, rapports d'analyse et preuves de configuration
Surveillance continue — Suivez la posture de securite API et les tendances de vulnerabilites
Trust Center — Partagez votre posture de securite API via votre Trust Center
Correspondance de conformite — Reliez les controles de securite API a ISO 27001, SOC 2, NIS2 et DORA
Preparation d'audit — Packages de preuves pre-construits pour la revue des auditeurs

Pour aller plus loin

DevSecOps — La securite dans le pipeline de developpement
Chiffrement — Proteger les donnees API en transit
Gestion des identites et des acces — Authentification et autorisation API
Securite reseau — Protection API au niveau reseau
SIEM — Surveillance des evenements de securite API
Securite de la chaine d'approvisionnement — Gestion des risques API tierces