Le partage des API, un sujet inquiétant pour les opérateurs télécoms
Dix ans en arrière, les responsables sécurité évoluaient dans leur seul univers, aujourd'hui tout le monde parle du sujet et il s'étend très largement. La mobilité, les nouvelles concurrences, l'ouverture des applications à des tiers va encore complexifier la sécurité, en particulier celle des opérateurs télécoms, c'est ce que démontrait la dernière table-ronde du Club de la presse informatique BtoB.
La sécurité des API (Application programming interface) est particulièrement sensible dans le secteur des télécoms, nous explique Antoine Rizk vice-président marketing chargé des marchés verticaux chez Axway. Beaucoup d'opérateurs, contraints ou volontaires, ont décidé d'ouvrir leurs API. Certains à tout le monde, d'autres uniquement en interne, comme Cast aux Etats-Unis. Les développeurs ne sont pas les seuls concernés, au Royaume-Uni, l'opérateur mobile Three a par exemple ouvert ses API à des partenaires distributeurs. Autre cas, celui de l'opérateur historique Belgacom, obligé par le régulateur belge IBPT (Institut belge des postes et des télécommunications) d'ouvrir ses API.
Sur le même sujetAffaire NSA : l'industrie américaine IT plaide non coupableDe son côté, le géant ATT a déjà publié 80 API en particulier dans les services de bases de données. Mais parallèlement, l'acteur américian a signé un partenariat avec le fournisseur de vidéos à la demande Netflix, donc ouvert un deuxième front. De plus en plus d'opérateurs nouent effectivement des partenariats avec des OTT (Over The Top, c'est-à-dire des géants du Net : Google, Amazon etc...), qui pourtant menacent directement leur business. L'opérateur égyptien Mobinil a par exemple signé un partenariat avec Viber, un concurrent de Skype, et lui laisse une partie de ses revenus en proposant l'abonnement à Viber à ses propres clients. En Arabie saoudite et au Koweit, même processus avec Wabsat, un OTT dans le domaine du roaming.
Des risques de sécurité accrus et à des pertes de revenus
Que ce soit volontairement ou pas, le monde des télécoms semble donc ouvrir ses API et subir la concurrence d'OTT qui utilisent largement ce procédé. Ils font ainsi face à des risques de sécurité accrus et à des pertes de revenus. Comble de l'amertume, le client final en cas de désagrément va s'en prendre à son opérateur et pas à l'OTT, alors que ce dernier a utilisé la bande passante des opérateurs pour capter les revenus de ces mêmes opérateurs.
Netflix, par exemple, a 20 000 développeurs. Il se déploie actuellement en Europe dans les pays du Nord et en Grande-Bretagne et va débarquer en France et en Allemagne. Ses API ouvertes et son passage sur le trafic des opérateurs font figure d'épouvantail. Expedia, le site de voyage en ligne, a ouvert ses API mais à 10 000 partenaires commerciaux. Ils peuvent utiliser ses services de ticketing (paiement par mobile) en marque blanche, c'est pour lui 2 milliards de dollars de revenus supplémentaires. Et autant de perdu pour les opérateurs et les banques qui nouent en ce moment des accords dans le très prometteur secteur du paiement en ligne.
Un serveur intermédiaire entre le back-office et les accès extérieurs
Ces API ouvertes concernent de nombreux domaines dans les télécoms : les SMS, la facturation, les services de données, la géolocalisation. Comment les sécuriser ? Pour Axway la solution passe par un serveur intermédiaire entre le back-office et les accès extérieurs, une API gateway. En novembre 2012, cet éditeur-intégrateur (ancienne filiale de Sopra) achète la société Vordel, spécialiste des API, dont la solution est intégrée dans Axway 5 Suite. Cette version 5 permet à Axway de sécuriser les API cloud et mobiles et des services web SOA traditionnels. Elle intervient par authentification des terminaux et des utilisateurs ainsi que sur les menaces issus des messages quel que soit le canal emprunté : cloud, web, mobile ou autre.
De plus en plus d'API sont ouvertes, c'est-à-dire accessibles de manière totalement ou partiellement gratuite. Ce qui pose à l'évidence une question de sécurité. En plus, elles sont accessibles en mobilité, deuxième risque évident. « On a parlé beaucoup du ByOD mais c'est purement médiatique, note Antoine Rizk, le ByOD est une question de productivité. Rien d'autre. Alors que les API offrent un canal de rémunération supplémentaire, ce n'est pas du tout la même échelle dans les risques courus par une entreprise ou par un opérateur. Faute de solutions en la matière, ils disparaitront, ou du moins seront-ils directement menacés.
