AXOPEN - Expertise & développement informatique

OWASP Top 10 : comment (vraiment) sécuriser son API ?

Sep 10, 2024

Philippe, expert en sécurité des APIs, Greg, professionnel en sécurité des applications, Nathan, spécialiste en technologies web, et Arthur, consultant en cybersécurité, discutent des défis cruciaux de la sécurisation des APIs. Ils passent en revue les 10 principales vulnérabilités selon l’OWASP, comme l'autorisation défaillante et l'accès non sécurisé aux flux commerciaux. L'importance d'une validation rigoureuse des entrées et d'outils comme Screaming Frog pour l'audit de sécurité est également soulignée, tout en prévoyant le rôle des développeurs dans la sécurité future.

43:47

Creator website

Episode guests

AI Summary

AI Chapters

Episode notes

Podcast summary created with Snipd AI

Quick takeaways

La sécurisation des API est essentielle car elles servent de point d'accès critique entre les applications frontend et backend, requérant une attention particulière.

L'OWASP identifie des vulnérabilités majeures liées aux autorisations et à l'authentification, soulignant l'importance d'une configuration rigoureuse pour éviter des accès non autorisés.

Avec l'architecture microservices en ascension, une approche proactive envers la sécurité des API est devenue impérative pour réduire les risques de violations.

Deep dives

Importance de la sécurisation des API

La sécurisation des API est cruciale car elle constitue le point d'accès entre les applications frontend et les serveurs backend. En effet, 90% des applications modernes reposent sur une architecture où une API gère la logique métier et les données. Cela signifie que beaucoup d'opérations sensibles se déroulent à ce niveau, rendant ainsi la sécurisation des API primordiale pour protéger les données des utilisateurs. Les experts soulignent que la sécurité côté backend est souvent plus susceptible de présenter des vulnérabilités que la sécurité côté frontend.

Intro

2min

Sécurisation des API et l'OWASP

5min

Sécurisation des API : Autorisation et Contrôle d'Accès

15min

Sécuriser l'accès aux processus commerciaux sensibles

2min

Sécurisation des APIs : Défis et stratégies

16min

Complexité de la gestion des droits d'accès en API et base de données

2min

L'outil Screaming Frogs pour l'audit de sites web

2min

Bienvenue dans ce nouvel épisode du podcast AXOPEN !

Pour cet épisode de rentrée, on s’attaque à un sujet primordial : la sécurité, et plus particulièrement au sein des APIs. Dans cet épisode, l'équipe AXOPEN passe en revue les 10 plus gros risques de sécurité pour les APIs selon l’OWASP, une communauté en ligne libre travaillant sur la sécurité des applications Web.

Retrouvez les conseils, retours d’expériences et bonnes pratiques de Philippe, Greg, Nathan et Arthur. Bonne écoute !

Au programme :

00:00 : Introduction

01:20 : Qu’est-ce qu’une API ?

02:03 : Quels sont les enjeux de la sécurisation des API aujourd’hui?

04:09 : Qu'est-ce que l’OWASP ?

06:52 : Principe #1 - Broken Object Level Authorization

09:33 : Principe #2 - Broken Authentication

12:15 : Principe #3 - Broken Object Property Authorization

17:39 : Principe #4 - Unrestricted Resource Consumption

21:04 : Principe #5 - Broken Function Level Authorization

22:06 : Principe #6 - Unrestricted Access to Sensitive Business Flows

23:54 : Principe #7 - Server Side Request Forgery

26:45 : Principe #8 - Security Misconfiguration

28:37 : Principe #9 - Improper Inventory Management

30:50 : Principe #10 - Unsafe Consumption of APIs

33:13 : Quels outils pour tester la sécurité dans un projet ?

36:37 : À l'avenir, quel rôle vont jouer les développeurs dans la sécurité ?

41:11 : Le coup de cœur de Philippe (Screaming Frog)

43:17 : Outro

____

Basée à Lyon depuis 2007, AXOPEN est une entreprise spécialisée dans l’expertise et le développement de projets informatiques sur mesure, constituée de plus de 50 passionné(e)s, experts en nouvelles technologies et en développement.

Ce podcast est l’occasion pour notre équipe de technophiles d’échanger sans langue de bois sur les sujets IT qui nous tiennent à cœur, et de vous partager nos expériences ! En espérant que ça vous plaira, vous pouvez nous contacter pour poursuivre les échanges sur notre site AXOPEN : www.axopen.com/contact/ :)

____

Crédit son : Maxime Ledan

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Get the Snipd
podcast app

Unlock the knowledge in podcasts with the podcast player of the future.

AI-powered
podcast player

Listen to all your favourite podcasts with AI-powered features

Discover
highlights

Listen to the best highlights from the podcasts you love and dive into the full episode

Save any
moment

Hear something you like? Tap your headphones to save it with AI-generated key takeaways

Share
& Export

Send highlights to Twitter, WhatsApp or export them to Notion, Readwise & more

AI-powered
podcast player

Listen to all your favourite podcasts with AI-powered features

Discover
highlights

Listen to the best highlights from the podcasts you love and dive into the full episode

AXOPEN - Expertise & développement informatique

OWASP Top 10 : comment (vraiment) sécuriser son API ?

Episode guests