A quoi ressemblera donc Internet dans 10 ans ? C'est précisément cette question que s'est posé Dimitri Sirota, fondateur de Layer7, en 2003. Il semblerait d'ailleurs qu'il ait choisi de suivre la bonne voie en pariant sur le besoin croissant de gestion des données entre applications. Un pari réussi puisque CA a acheté l'entreprise en juin dernier pour un montant de 180 millions de dollars.
Les API: plateformes d'échange de l'information
«Les API représentent bien le nouvel Internet» affirme Dimitri Sirota. Une tendance qui amène les entreprises à s'ouvrir sur l'extérieur, à interconnecter les données et tout simplement à communiquer, que ce soit dans le cloud ou sur les terminaux mobiles.
Il faut dire que l'explosion du nombre de smartphones et l'avènement du cloud ont fait croitre le besoin d'accès aux données des développeurs d'applications. Celles-ci sont devenues une véritable valeur d'échange. Avec cette tempête de données, les API sont ainsi devenues en 5 ans l'interface inévitable utilisée par les développeurs pour permettre à leurs applications de se connecter et de recueillir des informations provenant de nombreuses sources différentes. «Les API sont le portail par lequel les applications finales peuvent accéder à l'information» déclare ainsi Dimitri Sirota. «Mais qui voudrait voir son portail ouverts aux quatre vents? » ajoute-t-il en mettant l'accent sur l'importance de la sécurité. «Il est primordial de contrôler l'accès aux données, de pouvoir établir des règles et de contrôler son domaine tout en ouvrant celui-ci à l'extérieur» précise Dimitri Sirota.
Interrogé sur les différences entre une plateforme telle que Mashery et L7, il s'explique: «de nos jours les entreprises ont des datacenters complexes. Pour L7, il est important de comprendre comment aider au mieux les entreprises à prendre les données depuis les datacenters pour les envoyer vers le cloud via les API en toute sécurité» affirme-t-il. «Mashery ne traite qu'avec des entreprises présentes uniquement dans le cloud. Ses clients n'ont pas de datacenters" explique Dimitri Sirota.
Un système de token pour sécuriser l'accès
Le fondateur de Layer7 insiste donc sur le framework de l'entreprise. «Celui-ci permet de mettre en place des règles et de permettre un accès aux données entièrement maîtrisé». Avec Layer7, il est possible pour les entreprises de définir différents niveau d'accès, que ce soit pour les sources internes ou pour les sources externes. Il devient possible d'identifier les applications demandant un accès, de définir dans quelles quantités et à quelle fréquence les données peuvent être consultées, d'authentifier quelle application ou quel utilisateur a l'autorisation de voir les données qui sont envoyées et même d'ajouter une couche de cryptage pour protéger les données échangées avec les différentes applications. «Nous possédons d'ailleurs notre propre système de chiffrement» insiste Dimitri Sirota. De nombreux protocoles de sécurité sont ainsi pris en charge par l'outil. Les certificats digitaux et les systèmes d'authentification OATH sont par exemple supportés. «Layer7 apporte aux API une méthode de gestion sécurisée. C'est en quelque sorte un garde qui contrôle les entrées et les sorties des données. Quand ce garde à un doute, il peut demander à l'application de relever le niveau de sécurité afin de confirmer l'autorisation ou pas. Un système de token a ainsi été établi pour la vérification des identités lors de l'échange de données» explique Dimitri Sirota.
Un système qui a su convaincre des organisations telles que l'OTAN et même plusieurs branches du gouvernement fédéral américain. «C'est une preuve de qualité que de voir une entreprise non-américaine (Layer7 est à l'origine une compagnie canadienne) décrocher des contrats avec le gouvernement américain sur ce type de marché» précise Hila Meller, chef de la sécurité Europe pour CA. C'est d'ailleurs cette attitude tournée vers la sécurité qui séduit. Les garanties offertes pas l'entreprise en termes d'authentification sont un vrai plus pour le développement d'applications d'achat en perpétuelle croissance. Un marché en plein essor que CA ne voudrait pas manquer.
Layer7 veut blinder la sécurité des API
1
Réaction
De passage à Paris, Dimitri Sirota, fondateur de Layer7, nous a expliqué l'importance cruciale de la sécurisation des données dans la gestion des API. L'éditeur se pose ainsi en véritable garde de l'information. Une position qui séduit CA Technologies, détenteur de l'entreprise depuis juin dernier.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Un article intéressant, qui démontre l'intérêt croissant du ¨vieux¨ continent pour les API ont son désire de rattraper son retard par rapport aux États-Unis.
Signaler un abusEn effet cela fait maintenant depuis 2006 avec la création de Mashery suivi par celle de 3scale, entreprise européenne basée à Barcelone, en 2007 puis par l'apparition d'Apigee anciennement Sonoa Systems en 2009 que les solutions de gestion d'API on le vent en poupe.
L'acquisition de Mashery par Intel, celle de Layer7 par CA et la levée de fond ($5M) de 3scale en Mai 2013 suivie par l'acquisition d'APIphany par Microsoft en Octobre on projeter le monde des APIs et des solutions de gestion d'API sur le devant de la scène.
Une autre confirmation de cet intérêt grandissant pour les APIs est le succès indiscutable de la conférence “API Strategy & Practices” dont les deux éditions (New York et San Francisco) ont réunis au total plus de 800 personnes et expert sur le sujet.
Par ailleurs “API Strategy & Practices” arrive en Europe avec une conférence prévue le 27 et 28 Mars 2014 à Amsterdam
Cependant je me porte en faux par rapport au positionnement de Layer7 qui ne cherche qu’une chose : faire peur pour alimenter son fond de commerce basé sur un positionnement ultra sécuritaire.
Il est indéniable que la sécurité est un sujet important et comme toute technologie les APIs y sont sujettes.
Mais du point de vue du système de token pour sécuriser les APIs et en particuliers oAuth ne sont d’aucune manière une spécificité de Layer7 : 3scale, Mashery et tous les autres acteurs du marché de la gestion des APIs offrent une solution intégrant oAuth ainsi que d’autres systèmes de token.
Par ailleurs il est extrêmement dommage de limiter la discussion sur les APIs autour de la sécurité et d’autres aspects purement technologiques.
Les APIs sont un composant critique des nouvelles stratégies digitales mises en place par de nombreuses sociétés telles que Skype, Johnson Controls, Pagesjaunes.fr, Walgreens, AXA, ou UC Berkely. Elles sont associés à de réels et ambitieux objectifs business et économiques.
Je vous invite à consulter l'eBook gratuit “Winning in the API Economy” (disponible sur le site de 3scale) qui apporte une perspective très intéressante sur le monde des APIs et la valeur de celles-ci.
Par ailleurs je serai heureux de continuer cette discussion via d’autres canaux. Je suis joignable à guillaume [at] 3scale [dot] net