11 Étapes à suivre pour réussir dans la gestion de l’API Management

Avec votre point de départ à l’esprit, il est temps de prendre des mesures pour réaliser un programme API Management réussi pour votre entreprise. Il s’agit notamment de changer votre façon de penser aux API. L’ancien modèle de contrat d’application à application n’est plus le seul moyen de le faire. Il est nécessaire de construire ou de moderniser votre ensemble d’outils de gestion d’API. Vous aurez besoin d’un modèle de gouvernance d’API, qui puisse rassembler les parties prenantes commerciales et techniques. Voyons les étapes pour réussir API Management.

Ensuite, il sera temps de convertir les capacités et les données existantes en APIS et de créer un registre d’API interne, afin que les gens sachent où les trouver, et ainsi de suite. Vous n’avez pas à suivre chacune de ces 11 étapes pour gagner en API Management. Le simple fait de penser à ce qu’impliquent les étapes vous aidera à mieux comprendre le potentiel des API dans votre entreprise et ce qu’il faudra, en termes API Management, pour atteindre ce potentiel.

Figure 1. 11 Étapes pour réussir une stratégie API Management

11 Étapes pour réussir une API Management

Afin de mettre en œuvre une stratégie de gestion des API réussie dans votre entreprise, vous devez suivre les étapes suivantes que nous mentionnerons ci-dessous:

Étape 1: Changer la façon dont vous pensez aux API pour réussir une stratégie de gestion des API

La gestion des APIS pour les intégrer à la stratégie commerciale de votre organisation devrait impliquer en premier lieu de changer la façon dont vous les considérez. Ce n’est la faute de personne, mais pendant de nombreuses années, le personnel informatique a considéré l’API comme un morceau de code, un peu de technologie.

Ensuite, il est utile de changer votre point de vue sur la façon dont vous utilisez les APIS. Pensez d’abord à l’expérience client plutôt qu’aux fonctionnalités de l’application. Par exemple, vous n’avez pas tant besoin d’intégrer votre demande de carte de crédit à un compte de miles de compagnie aérienne. C’est plutôt comme si votre client voulait savoir combien de miles il avait gagné sur son dernier relevé. C’est la même exigence sous-jacente, mais la voir du point de vue du client vous aidera à rendre l’API et sa mise en œuvre plus précieuses pour le client, et donc pour l’organisation.

De cette façon, vous pouvez aligner les APIS sur les services que vous proposez, ainsi que sur ceux que vous prévoyez de fournir à l’avenir. Comprenez comment les APIS sont au carrefour de l’entreprise, de l’expérience utilisateur, de la technologie et de la sécurité. Une API efficace, comme toute solution API Management, doit prendre en compte tous ces éléments.

Étape 2: Créer ou moderniser l’ensemble d’outils de gestion des APIS

La gestion d’APIS(API Management) a besoin des bons outils de gestion d’APIS. Si vous n’avez pas les bons outils, vous devez soit les construire, soit les acquérir. Ou mettez à jour ce que vous avez. Pour permettre de nouvelles expériences client et stratégies commerciales, vous aurez besoin d’une solution qui offre la gestion des APIS tout au long du cycle de vie des APIS. De la conception au développement, au déploiement et au retrait, la solution doit fournir un contrôle efficace sur l’API.

L’ensemble d’outils API Management devrait vous permettre d’attribuer des privilèges d’accès à l’API à des utilisateurs ou des machines spécifiques. Dans certains cas, cela peut signifier l’utilisation d’un système d’autorisation tiers comme OAuth. En plus du contrôle d’accès, le système doit pouvoir définir des limites d’utilisation, par exemple, l’utilisateur X reçoit 10 000 appels d’API par jour, etc. Cela est nécessaire pour éviter de surcharger les systèmes internes avec des appels d’API illimités.

Vous devez également être en mesure de surveiller la santé de vos API en temps réel. Si une API ralentit ou se déconnecte, vous devez le savoir et disposer d’un basculement prêt à l’emploi, ce qui est également une fonctionnalité de la plupart des plateformes de gestion d’API modernes.

Étape 3: Créer un registre d’API interne

Les APIS doivent être détectables par les consommateurs. À cette fin, un registre d’API interne est essentiel pour en tirer le meilleur parti. Si vous avez déjà un registre d’API, c’est une bonne idée de penser à le moderniser. L’objectif est de faciliter la découverte par les parties internes et externes. Il sera nécessaire de décrire les APIS dans le registre en termes techniques et commerciaux. Des détails riches sur l’API et son potentiel d’utilisation seront d’une grande aide. Bien fait, le registre interne des APIS conduira à des utilisations innovantes de vos APIS au sein de l’organisation ainsi qu’avec des partenaires externes. Cela permettra également de réutiliser les APIS, ce qui entraînera un meilleur retour sur investissement (ROI) pour le développement d’API.

Un autre avantage d’un registre API interne concerne le coût et la productivité. Avec un registre efficace en cours d’utilisation, il devient possible d’allouer un temps de développement coûteux à de nouveaux développements innovants, plutôt que de “réinventer la roue” en créant une API qui existe déjà.

Figure 2. Interne API

Étape 4: Établir un modèle de gouvernance pour les APIS gérées

L’expansion de l’utilisation des APIS, dont vous espérez qu’elle se produira, nécessite un accent renouvelé sur la gouvernance des APIS. Un modèle de gouvernance pour les APIS peut couvrir de nombreux domaines différents, et ils peuvent devenir compliqués. Cependant, en gardant les choses simples, la gouvernance des APIS consiste à déterminer, puis à appliquer, des règles qui dictent qui supervise les différents aspects du programme API.

Par exemple, un modèle de gouvernance d’API doit couvrir qui peut autoriser le développement d’une API ou d’une application créée à l’aide d’API. Il doit spécifier qui décide des privilèges d’accès, en particulier ceux accordés à l’extérieur de l’organisation. La gouvernance traite des contrats juridiques et des refacturations financières liées aux APIS. La gouvernance contrôle le cycle de vie, ainsi que la conformité. Les APIS de votre organisation doivent être prises en compte dans le contexte de la conformité légale. Après tout, les APIS exposent fréquemment des informations privées sur les clients. Le modèle de gouvernance doit donc spécifier la manière dont les autorisations des clients sont sécurisées, etc.

Étape 5: Connecter les parties prenantes commerciales et techniques

La modernisation des APIS et l’adoption d’une solution API Management avancée dans une organisation sont au moins en partie l’affaire de tout le monde. Les utilisateurs et les producteurs d’APIS proviennent de différents domaines de l’entreprise et doivent être représentés dans les processus de gestion et de gouvernance des APIS. Par exemple, l’équipe de traitement des paiements de prêt peut ne pas interagir beaucoup avec les équipes de marketing ou d’émission de cartes de crédit. Cependant, lorsque des APIS sont impliquées, ces groupes peuvent avoir pas mal de choses à discuter.

Il est également nécessaire de fédérer les acteurs métiers et techniques autour de la gestion des APIS. L’aspect commercial de la conversation portera sur la satisfaction des besoins en nouveaux produits et services. Le côté technique traite de la réalisation de ces objectifs. Les deux groupes peuvent et doivent collaborer et conjuguer leurs efforts. L’équipe commerciale ne peut pas comprendre toutes les fonctionnalités des APIS, en particulier lorsque des applications pilotées par API sont envisagées. L’équipe technologique, pour sa part, peut ne pas obtenir automatiquement toute la profondeur des besoins du côté commercial. En alignant les éléments commerciaux et informatiques de l’organisation, une organisation peut établir une stratégie d’API cohérente qui atteint les résultats commerciaux souhaités.

Figure 3. Connecter les parties prenantes commerciales et techniques

Étape 6: Convertir les capacités et les données existantes en API

L’étape de « création d’API » peut sembler évidente, mais l’utilisation stratégique des API nécessite de nouvelles approches pour leur développement. Traditionnellement, la création d’une API signifiait exposer une source de données ou « encapsuler » une fonction d’application existante dans une API. Il n’y a rien de mal à cela, mais ce n’est pas un bon moyen de créer des API qui peuvent contribuer à des résultats transformateurs.

La nouvelle approche doit suivre un processus de réflexion distinct sur l’objectif de l’API et les fonctionnalités souhaitées pour l’utilisateur final. Il est essentiel d’être axé sur l’utilisateur. Qui est l’utilisateur? Comment va-t-il utiliser l’application pour laquelle cette API est créée? Une fois que vous avez déterminé l’expérience souhaitée par l’utilisateur, vous pouvez voir d’où vient la fonctionnalité requise. Il convient de garder à l’esprit que l’utilisateur peut être une entreprise partenaire plutôt qu’un consommateur. L’expérience des partenaires est un facteur important à garder à l’esprit lors de l’évaluation des fonctionnalités et des données à convertir en API.

 

Figure 4. Fonctionnalités et données existantes pour APIS pour réussir une stratégie API Management.

Il s’agit davantage de la pensée du « dehors vers ». Vous ne vous contentez pas de prendre une application et de l’exposer. Pensez au facteur de forme. Par exemple, si une API génère l’historique des transactions d’un client, quelle quantité pouvez-vous afficher sur l’écran d’un smartphone? Il s’agira de l’interface utilisateur la plus probable, il peut donc être judicieux de limiter le nombre d’enregistrements « obtenus » pour un cycle donné.

Étape 7: Exposez les APIS en externe pour créer l’écosystème

Au fur et à mesure que vos nouvelles APIS deviennent disponibles, vous souhaitez en exposer certaines à un usage externe. Vous souhaiterez peut-être exploiter vos APIS avec différents modèles de consommation. Certains peuvent être gratuits et publics. D’autres pourraient être privés et restreints, invisibles sauf pour ceux qui les connaissent. Des normes de comportement convenues doivent accompagner toute utilisation d’APIS externes. Ces normes peuvent être appliquées par le biais de politiques, telles que la limitation du débit. Un marché d’API pourrait être le meilleur moyen d’aborder la consommation d’APIS externes.

L’exposition des APIS en externe est une étape qui nécessite une sécurité API stricte. Vous devez contrôler qui a accès, avec la possibilité d’authentifier les utilisateurs qui ne travaillent pas pour votre organisation. Cela peut impliquer une fédération d’identité. Les APIS externes nécessitent une limitation stricte du débit et une surveillance des signes d’attaques par déni de service (DoS) et d’autres menaces. La structure de l’API elle-même doit être soumise à un examen et à des politiques de sécurité, par exemple en s’assurant qu’un utilisateur externe ne peut pas accéder aux données sensibles via l’API.

Une pratique connexe recommandée consiste à permettre aux utilisateurs finaux de voir certains aspects de la sécurité qui les protègent. Cela servira à renforcer leur confiance dans la sécurité de leurs transactions numériques. La réassurance sur la sécurité fait partie de l’expérience client qui prévient les défections.

Étape 8: Découvrez où la création de produits API et de mashups profitera à l’entreprise

Les APIS sont des produits, mais elles peuvent également faire partie d’autres produits avec des fonctionnalités encore plus étendues. En effet, l’un des grands avantages des APIS modernes est leur potentiel d’intégration dans de nouvelles applications et mashups dynamiques qui orchestrent leurs opérations à travers les processus d’affaires. La chose à garder à l’esprit à ce stade est, comme vous le savez peut-être, que ces types d’idées ont déjà été testées, souvent avec des résultats moins que stellaires. Vous devez disposer des bons outils, ainsi que des politiques, pour réussir avec les produits d’API et les mashups qui appellent les APIS.

Étape 9: Déterminer comment prendre en charge différents modèles de sécurité d’API

La sécurité des APIS est un vaste domaine de travail, il est donc impossible d’entrer dans les détails ici. Cependant, la meilleure pratique pour API Management dans une organisation consiste à être prêt à prendre en charge différents modèles de sécurité API. Par exemple, si votre organisation pratique DevSecOps, qui intègre la sécurité dans le processus de développement et de publication (DevOps), il est optimal d’intégrer la sécurité des APIS à ce flux de travail. À un niveau plus granulaire, votre solution et vos politiques API Management doivent s’aligner sur la façon dont votre organisation gère la cybersécurité, par exemple, si votre organisation dispose d’une solution de gestion des incidents et des événements de sécurité (SIEM), votre plateforme API Management doit s’y intégrer, et ainsi de suite. Obtenir la bonne sécurité des API signifie s’associer aux équipes de sécurité et de conformité.

Étape 10: Établir une surveillance efficace des performances et de la sécurité

La surveillance des APIS est un élément central de tout programme API Management dans une organisation. La surveillance prend deux formes: les performances et la sécurité. En ce qui concerne les performances, la solution API Management doit suivre les performances des APIS en temps réel. Cela peut être une question de qualité de service, par exemple, vous avez un accord de niveau de service (SLA) qui spécifie un temps de réponse API. Ou, vous voudrez peut-être simplement avoir de bonnes performances pour assurer une bonne UX. À tout moment, la surveillance doit indiquer à vos gestionnaires d’API s’il y a un problème. Si une API est surchargée et lente, cela doit être géré. Ou, si une API échoue complètement, les propriétaires de système doivent le savoir immédiatement afin de pouvoir remédier en conséquence.

Les APIS sont attrayantes pour les acteurs malveillants, car elles promettent l’accès aux systèmes et aux données derrière le pare-feu. Par conséquent, le comportement de l’API doit être étroitement surveillé pour détecter les anomalies qui pourraient indiquer qu’une attaque est en cours. Les signes d’une attaque peuvent être subtils. Par exemple, si un utilisateur autorisé invoque l’API mille fois en une heure au milieu de la nuit, cela suggérerait une prise de contrôle de compte. La plateforme API Management doit se connecter aux systèmes d’opérations de sécurité (SecOps) et aux flux de travail de réponse aux incidents pour garantir une réponse appropriée à une menace détectée telle que celle-ci.

Figure 5. Surveillance efficace des performances et de la sécurité

Étape 11 pour réussir une stratégie API Management: Créer un centre d’excellence (COE) et/ou un bureau de programme

Il est fortement recommandé d’établir un centre d’excellence API (COE) ou un bureau de programme. La structure et la taille de ce centre évolueront avec le temps. Au début, à mesure que les solutions API Management et les nouvelles politiques seront introduites, il sera probablement plus important. Au fil du temps, il rétrécit à sa taille permanente. L’objectif du COE ou du bureau de programme est de créer un emplacement central (numérique ou physique) où toute partie prenante qui touche aux APIS peut obtenir des réponses sur la façon de faire les choses, les politiques, la sécurité, la conformité et d’autres pratiques d’API pertinentes. Le COE peut servir d’entité qui valide les conceptions d’APIS et approuve les modifications de la politique de sécurité, pour ne citer que deux exemples des nombreux rôles qu’il peut jouer.

Figure 6.Center d’Excellence pour réussir une stratégie API Management.

Si vous envisagez de mettre en œuvre une stratégie de gestion des API dans votre entreprise, nous pouvons vous aider, contactez-nous.