Qu'est-ce que le Top 10 OWASP API Security ?

Le Top 10 OWASP API Security est un document de référence listant les risques de sécurité API les plus critiques. L'edition 2023 comprend : Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management et Unsafe Consumption of APIs.

Quelle est la difference entre les cles API, OAuth et JWT ?

Les cles API sont de simples jetons identifiant l'application appelante — elles fournissent une identification mais une sécurité limitee. OAuth 2.0 est un cadre d'autorisation qui accorde des jetons d'accès limites en portee et en duree sans partager les identifiants. JWT (JSON Web Tokens) sont des jetons autonomes contenant des declarations verifiables sans interroger une base de données. Bonne pratique : utilisez OAuth 2.0 pour l'autorisation utilisateur avec JWT comme format de jeton, et les cles API uniquement pour l'identification non sensible.

Qu'est-ce que la limitation de debit et pourquoi est-elle critique pour les API ?

La limitation de debit contrôle le nombre de requetes qu'un client peut effectuer dans une fenetre de temps donnee. Elle previent les attaques par deni de service (intentionnelles et accidentelles), protege les ressources backend contre la surcharge, empeche le bourrage d'identifiants et les attaques par force brute, contrôle les couts d'utilisation des API et assure un accès equitable entre les consommateurs. Implementez la limitation de debit a plusieurs niveaux : par cle API, par utilisateur, par endpoint et globalement.

Comment valider les entrees API ?

La validation des entrees API doit inclure : la validation de schema (rejeter les requetes ne correspondant pas au schema API), la verification de type (assurer les bons types de données), les limites de longueur (prevenir les debordements de tampon et le DoS), la validation de plage (verifier les intervalles numeriques), la validation de format (valider les emails, URL, dates), la validation par liste blanche (restreindre aux valeurs connues lorsque possible) et la validation de type de contenu (rejeter les types de contenu inattendus). Validez toutes les entrees — parametres de chemin, chaines de requete, en-tetes et corps de requete.

Qu'est-ce qu'une passerelle API et quelle sécurité fournit-elle ?

Une passerelle API est un proxy inverse situe entre les clients et les services backend, fournissant l'application centralisee de l'authentification et de l'autorisation, la limitation de debit et le throttling, la transformation et la validation des requetes/réponses, la terminaison TLS, la journalisation et la surveillance, le filtrage d'IP par liste blanche/noire et l'integration WAF. Les options populaires incluent Kong, AWS API Gateway, Azure API Management et Apigee.

Quels référentiels de conformité exigent la sécurité des API ?

ISO 27001 (A.8.25-A.8.28 — Developpement securise, codage et gestion des composants), SOC 2 (CC6.1, CC6.6 — Accès logique et limites des systemes), NIS2 (Article 21(2)(e) — Sécurité dans l'acquisition, le developpement et la maintenance des systemes), DORA (Article 8 — Systemes et protocoles TIC) et PCI DSS (Exigence 6 — Systemes et applications securises) exigent tous des contrôles directement applicables à la sécurité des API.

Comment surveiller les API pour les menaces de sécurité ?

La surveillance de la sécurité des API doit inclure : la journalisation de toutes les requetes API avec metadonnees (IP source, utilisateur, endpoint, code de réponse, latence), la detection de schemas anormaux (volumes inhabituels, changements geographiques, pics d'erreurs), la surveillance des schemas d'attaque du Top 10 OWASP API, le suivi des echecs d'authentification et des abus d'identifiants, les alertes sur l'exposition de données sensibles et la generation d'analyses d'utilisation API. Alimentez les journaux API dans votre SIEM pour la correlation avec d'autres événements de sécurité.

Sécurité des API : le guide complet pour les équipes sécurité et conformité

Published 8 mars 2026

By Emre Salmanoglu

Sécurité des API : le guide complet pour les équipes sécurité et conformité

Q: Qu'est-ce que la sécurité des API ?

La sécurité des API englobe les pratiques, outils et architectures qui protegent les interfaces de programmation (API) contre les abus, les accès non autorises et l'exposition de données. Alors que les API deviennent le principal moyen de communication entre applications, elles representent une surface d'attaque croissante necessitant des contrôles de sécurité dedies incluant l'authentification, l'autorisation, la limitation de debit, la validation des entrees et la surveillance.

Apprenez a securiser les API et a satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre l'authentification, la limitation de debit, la validation des entrees, le Top 10 OWASP API, les passerelles API et les preuves de conformité.

Sécurité API

OWASP API Top 10

authentification

limitation de debit

conformité

Qu'est-ce que la sécurité des API ?

La sécurité des API est la discipline de protection des interfaces de programmation contre les accès non autorises, l'exposition de données et les abus. Alors que les organisations s'appuient de plus en plus sur les API pour connecter les services, partager des données et alimenter les integrations, les API sont devenues a la fois l'epine dorsale de l'architecture moderne et une surface d'attaque principale.

Securiser les API nécessite une approche de defense en profondeur combinant une authentification forte, une autorisation granulaire, la validation des entrees, la limitation de debit, le chiffrement, la surveillance et une gestion appropriee de l'inventaire.

Top 10 OWASP API Security (2023)

Risque	Description	Remediation
API1 : Broken Object Level Authorisation	Accès aux ressources d'autres utilisateurs en manipulant les identifiants	Verifier la propriete de l'objet a chaque requete
API2 : Broken Authentication	Mecanismes d'authentification faibles ou manquants	Authentification forte, expiration des jetons, MFA
API3 : Broken Object Property Level Authorisation	Exposition ou modification de proprietes sensibles	Filtrage des réponses, contrôle d'accès au niveau des proprietes
API4 : Unrestricted Resource Consumption	Absence de limites d'utilisation API entrainant un DoS	Limitation de debit, pagination, quotas de ressources
API5 : Broken Function Level Authorisation	Accès aux fonctions d'administration sans autorisation appropriee	Accès base sur les roles sur chaque endpoint
API6 : Unrestricted Access to Sensitive Business Flows	Abus automatise de la logique metier (scalping, spam)	Limitation de debit metier, CAPTCHA
API7 : Server Side Request Forgery	API recuperant des ressources depuis des URL controlees par l'attaquant	Validation d'URL, listes blanches, segmentation réseau
API8 : Security Misconfiguration	Configurations par défaut, erreurs detaillees, en-tetes manquants	Checklists de durcissement, en-tetes de sécurité
API9 : Improper Inventory Management	Versions API inconnues ou obsoletes encore accessibles	Inventaire API, gestion des versions, depreciation
API10 : Unsafe Consumption of APIs	Faire confiance aux données d'API tierces sans validation	Valider toutes les réponses d'API externes

Methodes d'authentification API

Methode	Niveau de sécurité	Ideal pour	Considerations
Cles API	Faible	API publiques, identification uniquement	Facile a divulguer, pas de contexte utilisateur
Basic auth	Faible	Systemes internes/legacy	Envoie les identifiants a chaque requete
OAuth 2.0 + JWT	Eleve	API orientees utilisateur	Standard de l'industrie, accès limite
mTLS	Tres eleve	Service a service	Identite forte, configuration complexe
Signatures HMAC	Eleve	Verification de webhooks	Inviolable, protection anti-rejeu
Jetons API (courte duree)	Eleve	Machine a machine	Rotation automatique, exposition minimale

Contrôles de sécurité API

Couche de contrôle	Contrôles	Objectif
Passerelle	Authentification, limitation de debit, WAF, terminaison TLS	Point d'application centralise
Transport	TLS 1.2+, epinglage de certificats, mTLS	Proteger les données en transit
Authentification	OAuth 2.0, validation JWT, gestion des cles API	Verifier l'identite de l'appelant
Autorisation	RBAC/ABAC, validation de portee, verifications au niveau objet	Appliquer les politiques d'accès
Validation des entrees	Validation de schema, verification de type, assainissement	Prevenir les attaques par injection
Filtrage des sorties	Filtrage des réponses, masquage des données, selection de champs	Prevenir l'exposition de données
Limitation de debit	Limites par cle, par utilisateur, par endpoint	Prevenir les abus et le DoS
Surveillance	Journalisation des requetes, detection d'anomalies, alertes	Detecter et repondre aux menaces

Architecture de passerelle API

Composant	Fonction	Valeur securitaire
Proxy inverse	Achemine les requetes vers les services backend	Masque l'architecture interne
Service d'authentification	Valide les jetons et identifiants	Verification centralisee de l'identite
Limiteur de debit	Applique les quotas d'utilisation	Protection contre le DoS
Validateur de requetes	Valide par rapport au schema API	Sécurité des entrees
Transformateur de réponses	Filtre les données sensibles des réponses	Prevention de l'exposition de données
Integration WAF	Inspecte les schemas d'attaque courants	Protection OWASP
Journalisation/analyses	Enregistre toutes les transactions API	Piste d'audit et surveillance

Versionnement et cycle de vie des API

Phase	Activites de sécurité	Contrôles
Conception	Modelisation des menaces, exigences de sécurité	Revue de conception securisee
Developpement	Codage securise, SAST, analyse des dependances	Revue de code orientee sécurité
Test	DAST, fuzzing, test d'intrusion	Validation sécurité pre-release
Deploiement	Configuration passerelle, mise en place surveillance	Contrôles de sécurité actifs
Exploitation	Surveillance, réponse aux incidents, correctifs	Posture de sécurité continue
Depreciation	Fin de version, support a la migration	Supprimer l'accès aux versions obsoletes
Retrait	Decommissionnement complet	Verifier l'absence d'accès residuel

Exigences de conformité

Correspondance des référentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Developpement securise	A.8.25	CC8.1	Art. 21(2)(e)	Art. 8(1)
Contrôles d'authentification	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Contrôle d'accès	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Chiffrement en transit	A.8.24	CC6.7	Art. 21(2)(d)	Art. 9(2)
Journalisation et surveillance	A.8.15	CC7.2	Art. 21(2)(b)	Art. 10
Validation des entrees	A.8.28	CC8.1	Art. 21(2)(e)	Art. 8(1)
Sécurité des API tierces	A.8.30	CC9.2	Art. 21(2)(d)	Art. 8(5)

Preuves d'audit

Type de preuve	Description	Referentiel
Inventaire API	Liste complete de toutes les API avec proprietaires et classifications	Tous les référentiels
Configuration d'authentification	Parametres d'authentification de la passerelle API et politiques de jetons	Tous les référentiels
Configuration de limitation de debit	Limites documentees par endpoint et consommateur	ISO 27001, SOC 2
Rapports d'analyse de sécurité API	Resultats DAST sur les endpoints API	Tous les référentiels
Journaux d'accès API	Requetes journalisees avec authentification et autorisation	Tous les référentiels
Politique de versionnement API	Processus documente de cycle de vie et de depreciation	ISO 27001, DORA
Regles de validation des entrees	Definitions de schema et configurations de validation	Tous les référentiels

Erreurs courantes

Erreur	Risque	Correction
Pas d'inventaire API	API fantomes sans contrôles de sécurité	Maintenir un inventaire API complet avec propriete
Authentification uniquement au niveau application	Application incoherente entre les services	Centraliser l'authentification a la passerelle API
Pas de limitation de debit	DoS, bourrage d'identifiants, epuisement des ressources	Implementer des limites de debit aux niveaux passerelle et application
Retourner des objets complets	Exposition excessive de données aux clients	Filtrer les réponses pour ne retourner que les champs nécessaires
Pas de validation des entrees	Attaques par injection, corruption de données	Valider toutes les entrees par rapport au schema API
Cles API dans les URL	Cles exposees dans les journaux, historique du navigateur, en-tetes referrer	Envoyer les cles API dans les en-tetes, jamais dans les URL
Pas de versionnement API	Impossible de deprecier les versions non securisees	Versionner toutes les API, imposer des delais de depreciation

Comment Orbiq accompagne la conformité de sécurité API

Orbiq vous aide a demontrer vos contrôles de sécurité API :

Collecte de preuves — Centralisez les inventaires API, rapports d'analyse et preuves de configuration
Surveillance continue — Suivez la posture de sécurité API et les tendances de vulnerabilites
Trust Center — Partagez votre posture de sécurité API via votre Trust Center
Correspondance de conformité — Reliez les contrôles de sécurité API a ISO 27001, SOC 2, NIS2 et DORA
Preparation d'audit — Packages de preuves pre-construits pour la revue des auditeurs

Pour aller plus loin

DevSecOps — La sécurité dans le pipeline de developpement
Chiffrement — Proteger les données API en transit
Gestion des identites et des accès — Authentification et autorisation API
Sécurité réseau — Protection API au niveau réseau
SIEM — Surveillance des événements de sécurité API
Sécurité de la chaîne d'approvisionnement — Gestion des risques API tierces