Suite aux récentes cyberattaques dont elle a été victime, la société eBay a publiée des résultats financiers mitigés. Si on peut y voir une relation de cause à effet, elle montre également qu'en termes d'équipements et de solutions de sécurité, il ne faut pas se limiter au pare-feu mais avoir une vision globale de la gestion et de la gouvernance des flux de données. C'est en tout cas le point de vue d’Antoine Risk, vice-president Go-To-Market Programs d'Axway, éditeur de logiciels dans le domaine de la gouvernance des flux de données. Il développe son point de vue ci-dessous.
Le cas d'eBay, comme celui d'Orange et tant d'autres, démontre une fois de plus que la sécurité des accès externes au système d'information n'est pas qu'une simple affaire de pare-feu. Sécuriser et gouverner les flux de données ne peut se faire uniquement au niveau du protocole technique, aussi fiable soit-il. Le contrôle d'accès aux services offerts par une application doit se faire au niveau de granularité des services, en contrôlant tout aussi bien les messages techniques que les messages applicatifs échangés. Ces services sont de plus en plus exposés sous forme d'API (Application Programming Interface), accessibles via des messages REST au format JSON, ou par le biais de Web services au format XML. La sécurité de ces flux se fait dorénavant à l'aide d'un nouveau type d'outil appelé API Gateway. Celui-ci analyse les flux par type d'appel, assure la rupture protocolaire, fournit le monitoring et les analyses sur les accès par service, effectue la transformation des messages échangés vers les formats adéquats, et s'interface avec les annuaires du marché ainsi qu'avec les protocoles du type OAUth afin d'offrir une authentification basée sur les référentiels d'entreprises ou ceux des réseaux sociaux.
