Meilleures pratiques en matière d'utilisation des clés API

  1. Gardez vos clés API secrètes.

    • Ne les partagez jamais dans des courriels, des chats, des captures d'écran ou des forums publics.

    • Traitez-les comme des mots de passe - ne les partagez qu'avec des systèmes de confiance, jamais avec des personnes.

    • Utilisez les contrôles d'accès pour limiter le nombre de personnes de votre équipe qui peuvent consulter ou gérer les clés.

  2. Ne pas coder les clés en dur.

    • Évitez d'intégrer des clés directement dans votre code ou vos référentiels.

    • Utilisez des variables d'environnement, des gestionnaires de secrets (par exemple, AWS Secrets Manager, Vault) ou des fichiers de configuration exclus du contrôle de version.

    • Exécuter des analyses automatisées pour détecter l'exposition accidentelle de clés dans les livraisons.

  3. Faites tourner les clés régulièrement.

    • Remplacer les clés selon un calendrier fixe (par exemple, tous les 60 à 90 jours).

    • Faites tourner les clés immédiatement en cas de départ d'un membre de l'équipe ou de changement de rôle.

  4. Révoquer les clés inutilisées.

    • Supprimez les clés qui ne sont plus utilisées.

    • Vérifier régulièrement toutes les clés et s'assurer qu'elles ont toujours une raison d'être.

    • Les clés dormantes ou oubliées sont des vecteurs d'attaque courants.

  5. Surveiller l'utilisation de la clé API.

    • Examinez régulièrement les journaux d'utilisation pour repérer toute activité inhabituelle. Surveillez les demandes provenant d'adresses IP, de zones géographiques ou d'heures inattendues.

    • Mettez en place des alertes en cas d'activité suspecte, comme des volumes de demandes élevés ou de nouveaux modèles.

  6. Conservez vos clés en toute sécurité.

    • Utilisez des coffres-forts sécurisés, des gestionnaires de mots de passe ou des solutions de stockage cryptées.

    • Ne conservez jamais les clés dans des fichiers texte ou des feuilles de calcul.

    • Limiter autant que possible le stockage local des clés sur les machines des développeurs.

  7. Agir rapidement sur le compromis.

    • Si vous soupçonnez une fuite de clé, révoquez-la immédiatement.

    • Générer une nouvelle clé et mettre à jour tous les systèmes concernés sans délai.

    • Rechercher la cause de la compromission et prendre des mesures pour éviter qu'elle ne se reproduise.

     

Voir comment ajouter la première clé API et migrer vers l'authentification par clé API.