Les années 2020 ont réécrit la façon dont les applications sont construites. Le navigateur charge encore du HTML, mais la majorité du travail réel se passe via des API — publiques, partenaires et internes. Chaque API est un contrat ; chaque contrat a une forme ; chaque forme peut être compromise de manières que les règles WAAP classiques ne détectent pas. Broken object-level authorization, mass assignment, excessive data exposure, broken authentication — le OWASP API Top 10 est une liste séparée parce que les patterns d'attaque sont différents.
La réponse du secteur a été une vague de plateformes de sécurité des API pure-play — presque toutes des cloud SaaS. Pour fonctionner, elles ont besoin que votre trafic API leur soit visible, ce qui implique généralement de router par leur edge ou d'envoyer des copies miroir. Pour les secteurs réglementés, les déploiements souverains, ou quiconque dont les réponses API contiennent des données personnelles ou de paiement, c'est un problème immédiat de conformité et d'exploitation.
TR7 maintient la sécurité des API là où vit réellement l'API — sur votre plateforme. La découverte, l'application des schémas, la couverture OWASP API Top 10, les règles content-aware et le masquage de données sensibles fonctionnent tous on-prem, attachés au même vService qui délivre l'API. La même console que vous utilisez pour le WAAP et la livraison couvre également la sécurité des API.
Chacun apporte de la valeur seul. Ensemble, ils définissent ce qu'est la sécurité des API lorsqu'elle ne nécessite pas d'envoyer vos API dans le cloud d'un tiers.
La plupart des plateformes modernes de sécurité des API sont SaaS — elles ont besoin que votre trafic et vos schémas soient visibles dans leur cloud. TR7 s'exécute sur votre hardware. Les schémas que vous chargez, l'inventaire que nous apprenons et les réponses que nous inspectons ne quittent jamais votre réseau.
Couverture complète du OWASP API Security Top 10 — broken object-level authorization, broken authentication, excessive data exposure, mass assignment, security misconfiguration et le reste. Chaque détection mappée à CWE (100+ codes), CAPEC (30+ patterns) et MITRE ATT&CK (30+ techniques) pour atteindre votre SOC dans la même taxonomie qu'il utilise déjà.
Les endpoints API remontent automatiquement par observation passive du trafic. L'opérateur examine l'inventaire avant qu'il ne soit mis en production. Les schémas OpenAPI peuvent être chargés directement ou appris depuis le trafic ; l'application est un modèle de sécurité positive qui valide la méthode, le chemin, les paramètres et le corps par rapport au contrat — tout ce qui est hors contrat est journalisé ou bloqué.
Rate limit, challenge ou blocage sur n'importe quel attribut du trafic — valeurs de headers, contenus de cookies, paramètres d'URL, même les valeurs parsées des corps de requêtes JSON. Exemple : rate-limiter différemment un endpoint de recherche lorsque le corps de la requête indique « tier : free » vs « tier : enterprise ». Tout est configuré dans le constructeur de règles visuel ; aucun langage de scripting.
Les données personnelles, les données de paiement, les identifiants et autres patterns sensibles sont identifiés dans les réponses API et masqués par politique avant d'atteindre le client — laissant le contexte utile (quatre derniers chiffres, e-mail partiel) là où vous le choisissez, cachant le reste. Même modèle de configuration que le reste de vos règles.
Chaque capacité ci-dessous est fournie dans le cadre de la plateforme et s'attache à vos vServices existants.
L'observation passive du trafic expose chaque endpoint réellement utilisé, y compris les API shadow et non documentées. L'opérateur examine l'inventaire et confirme ce qui doit être suivi, de sorte que le catalogue reste précis sans que vous ayez à maintenir une liste manuelle.
Chargez une spécification OpenAPI ou laissez TR7 en apprendre une depuis le trafic observé. L'application valide la méthode de requête, le chemin, les paramètres et la forme du corps par rapport au contrat ; les non-conformités sont journalisées ou bloquées par politique. Modèle de sécurité positive — tout ce qui est hors contrat est rejeté, y compris les tentatives d'injection et de mass assignment.
Couverture 10/10 sur le OWASP API Top 10 — broken object-level authorization, broken user authentication, excessive data exposure, lack of resources & rate limiting, broken function-level authorization, mass assignment, security misconfiguration, injection, improper assets management et journalisation insuffisante.
Chaque détection API est mappée à son code CWE, son pattern d'attaque CAPEC et sa technique MITRE ATT&CK. La corrélation SIEM, la réponse aux incidents et les rapports de conformité utilisent la même taxonomie que votre équipe sécurité.
Rate limits différents pour /login, /search et /export d'une même API. Restrictions au niveau de la méthode (GET autorisé, POST bloqué) par endpoint. Tout est ciblé sur le vService qui délivre l'API.
Rate limit, challenge ou blocage sur n'importe quel attribut du trafic — valeurs de headers, contenus de cookies, paramètres d'URL, valeurs de corps JSON parsés. Configuration visuelle ; aucun langage de scripting propriétaire à apprendre.
Identifiez les données personnelles (noms, e-mails, numéros d'identité nationaux), les données de paiement (numéros de carte, IBANs), les identifiants et les données de santé dans les réponses API. Masquez par politique avant la livraison au client — gardez le préfixe ou suffixe utile, cachez le reste — ou bloquez la réponse en entier lorsque les données n'auraient jamais dû être servies.
Validation JWT, mTLS, OAuth2 et application OIDC au niveau de l'edge API, déléguée à la couche de gestion des accès de TR7. Les mêmes politiques d'identité qui protègent les applications web protègent les API.
Le même moteur comportemental utilisé pour le WAAP et la gestion des bots score le trafic API — empreintes TLS, IP reputation sur 23 catégories, rythme des requêtes et leur forme. La baseline comportementale s'adapte à l'usage normal des API de votre application.
HTTP flood, slowloris et inondations de bots ciblant l'application absorbés au niveau de la couche WAAP — appliqués avec des seuils API-aware par endpoint. Ciblé par vService.
Les patterns de credential stuffing frappent les endpoints de connexion API, pas seulement les formulaires web. La même détection ATO qui protège les surfaces de connexion web protège /api/v1/login — tentatives distribuées low-and-slow, impossible travel, taux anormaux de création de session.
Chaque décision de requête API — autorisée, bloquée, soumise à rate limit, masquée — est journalisée dans la même console que celle utilisée pour le WAAP et la livraison. Investiguez n'importe quelle requête de bout en bout. Pistes d'audit prêtes pour PCI DSS, HIPAA et d'autres exigences de conformité.
Les métriques API, la télémétrie d'attaque et l'inventaire résident dans la même console opérateur que le vService, la politique WAAP et la vue DDoS. Aucun panneau de sécurité des API séparé à apprendre.
Le OWASP API Top 10 est une liste distincte du OWASP Top 10 web parce que les patterns d'attaque API sont différents. TR7 couvre les dix.
Les attaquants manipulent les IDs d'objets dans les URL pour accéder aux données d'autres utilisateurs. L'application des schémas et les contrôles d'autorisation par endpoint rendent les tentatives BOLA visibles et bloquables.
Authentification faible ou mal configurée sur les endpoints API. La validation JWT, mTLS et l'application OAuth2 au niveau de l'edge API préviennent les patterns de contournement courants.
Les API retournant plus de données que le client n'en a besoin. La détection de données sensibles et le masquage garantissent que les données personnelles, les données de paiement et les identifiants sont supprimés ou masqués avant d'atteindre le client.
Les API sans rate limit sont abusées par des bots, des scrapers et du credential stuffing. Les rate limits par endpoint, par méthode, par locataire et content-aware arrêtent les abus au niveau de la plateforme.
Des fonctions privilégiées exposées à des utilisateurs non autorisés. Les restrictions de méthode par endpoint, combinées aux politiques identity-aware, empêchent les accès non autorisés aux fonctions.
Les attaquants injectent des champs que l'API n'attend pas pour mettre à jour des propriétés sensibles. L'API schema enforcement OpenAPI rejette directement les corps de requêtes avec des champs inattendus.
Messages d'erreur verbeux, headers manquants, endpoints d'administration exposés. La découverte expose ces endpoints ; la politique applique les valeurs par défaut sécurisées pour la production.
SQL injection, NoSQL injection, command injection dans les paramètres et corps des API. Les signatures WAAP et la validation des paramètres par rapport au schéma bloquent les tentatives d'injection.
Anciennes versions d'API, endpoints dépréciés et API non documentées accessibles en production. La découverte les expose ; l'inventaire maintient le tableau à jour.
Attaques invisibles pour l'équipe sécurité. Chaque décision de requête API est journalisée dans la même console que la livraison et la sécurité ; les exports SIEM utilisent les taxonomies CWE / MITRE.
Application stricte des schémas pour les API partenaires, masquage de données sensibles sur les réponses des comptes clients, authentification OAuth2 appliquée au niveau de l'edge API, journaux d'audit pour le contrôle réglementaire.
Les réponses API pertinentes pour HIPAA sont scannées pour les PHI ; les données patient sensibles sont masquées par politique avant d'atteindre les applications client. Le déploiement on-prem maintient les API et les données à l'intérieur du périmètre hospitalier.
Les équipes engineering livrent de nouveaux endpoints plus vite que les équipes sécurité ne peuvent les suivre. La découverte passive expose chaque endpoint utilisé ; l'inventaire confirmé par l'opérateur maintient le catalogue précis sans maintenance manuelle.
Les bots de carding, les fermes de scrapers et le credential stuffing frappent tous les endpoints API. Les rate limits par endpoint, les règles content-aware et le scoring comportemental des bots arrêtent les abus sans bloquer les vrais clients.
Les règles de résidence des données interdisent l'inspection des API par des tiers. La sécurité des API on-prem maintient chaque octet à l'intérieur du périmètre des données citoyennes ; les audits de conformité tracent chaque requête via une seule console.
Des centaines d'endpoints internes entre équipes, souvent non documentés. La découverte + l'application des schémas transforment une surface non suivie en catalogue géré sans forcer chaque équipe de service à connecter un agent SaaS séparé.
Capacités référencées par cette solution — les pièces techniques qui composent les contrôles décrits ci-dessus.
Gérez les headers CORS preflight et de réponse depuis une seule règle, sans toucher au code applicatif.
L'inspection WAAP, l'identité mTLS et le masquage des données continuent de fonctionner même lorsque le trafic circule vers les backends via TLS.
Transformez les champs du corps JSON et le contenu JWT en signaux de première classe pour chaque décision de trafic.
Un seul langage d'expression — trafic, santé, journalisation, GTM, sécurité et décisions d'accès dans le même modèle.
3 000+ règles, taxonomie OWASP / API Top 10 / CWE, 14 axes de corrélation, rollups par host-group + cross-group.
Dépassez la ligne de headers — faites du contenu du corps une partie de la décision de trafic et de sécurité.
Extrayez le certificat client du contrôle de connexion et transformez-le en objet d'identité qui pilote les décisions de trafic.
Combinez signature, score et contexte dans un seul moteur — gérez les attaques connues en toute confiance.
Masquez les données sensibles au niveau de la plateforme avant qu'elles n'atteignent l'utilisateur ou les logs.
Extrayez un inventaire d'API depuis le trafic réel ; mettez les requêtes hors du schéma autorisé sous contrôle.
Une IP, un compte, une clé API — vous décidez quelle dimension limiter.
Ne traitez pas le trafic GraphQL comme un simple corps POST — détectez les patterns d'introspection, de DoS imbriqué et de query batching à l'intérieur de votre WAAP.
Demandez une démo en direct de TR7 API Security. Nous exécuterons la découverte sur votre trafic API, présenterons le flux d'application des schémas et montrerons le masquage de données sensibles sur une vraie réponse.