Pour réussir l’ouverture de son SI, il faut connaître les atouts de l’API Management mais aussi identifier ses limites !

La transformation des entreprises repose de plus en plus sur le développement des chaînes de valeur avec l’écosystème. Dans ce contexte, on parle de plus en plus des web services et surtout des API (Application Programming Interface) et de leur rôle pour permettre aux applications et aux systèmes d’interagir ensemble sous des conditions déterminées et documentées.

“Dans les cycles de croissance et de transformation des entreprises, une étape clé repose sur l’ouverture du système d’information et le partage des données »

Edouard Cante – DGA Produit

Focus : le cycle de vie des API

Les API ne sont pas statiques, ce qui complexifie nécessairement leur gestion et leur maîtrise. Leur cycle de vie suit plusieurs étapes, de leur développement à leur retrait :

• Conception de l’Application Programming Interface : objectifs, exigences techniques, documentation…
• Création et développement de l’API
• Test et sécurisation de l’API
• Publication de l’API : mise à disposition, et mise en place des mécanismes de surveillance et de journalisation
• Maintenance de l’API : mises à jour, prises en compte des retours d’utilisation, corrections…
• Retrait de l’API : identification des impacts, communication auprès des utilisateurs…

La gouvernance des API : une évidence face à la multiplication des échanges avec les partenaires

La gouvernance des API au travers d’une solution d’API Management prend toute sa place dès que les partenaires et les APIs se multiplient et qu’il faut gérer les éléments de mise en œuvre associés :  le contrat d’interfaçage, l’explication, la documentation à fournir, la sécurité… c’est-à-dire lorsque l’organisation rencontre des freins à l’industrialisation des échanges d’informations avec son écosystème. Les risques sont alors de ralentir le déploiement des services et l’accompagnement de ses partenaires.

L’API Management, ou gestion des APIs, a vocation à apporter une réponse à ces enjeux de scalabilité, de répétabilité et de cycle de vie des APIs. Ainsi, une solution d’API Management permettra de gouverner les APIs, au travers de la gestion de la publication, de la promotion et de la supervision des échanges de données entre le service fournisseur et le service client. Tout cela au sein d’un environnement sécurisé et évolutif.

De plus, l’évolution du paysage réglementaire implique une attention de plus en plus importante sur la maîtrise de la gestion et du cycle de vie des APIs : le règlement RGPD qui renforce considérablement les exigences en matière de protection des données personnelles ou les politiques en matière de cybersécurité en sont de bons exemples !

L’esprit d’une API est d’être standardisée. Sans gouvernance, cela reviendrait à créer autant d’interfaces qu’il y a de consommateurs de données. Cela irait à l’encontre des fondements de cette démarche !

Edouard Cante – DGA Produit

Plus précisément, les enjeux d’une plateforme d’API Management sont de :

• Normaliser la publication d’Application Programming Interface
• Administrer l’exposition et la consommation. C’est-à-dire maîtriser ce qui est diffusé !
• Gérer le cycle de vie complet de vos API (initialisation, versioning, retrait…)
• Centraliser la diffusion d’API internes comme externes
• Piloter la consommation par les utilisateurs
• Documenter automatiquement les APIs
• Fournir un espace pour les développeurs avec un bac à sable
• Monétiser la consommation de vos API

L’API Management ou la gouvernance des API doit donc répondre à certaines promesses :

Focus : qu’est-ce qu’un portail API ou API Gateway ?

L’API Gateway ou portail API sont des composants des solutions d’API Management.

Dans le cadre des solutions de gestion des APIs, exposer une architecture de type Gateway vers l’extérieur assure de contrôler ce qui vient de l’extérieur et ce qui est interne. Il s’agit de concentrer les entrées et les sorties en un seul point afin de sécuriser et maîtriser l’utilisation et les accès associés. La brique Gateway va offrir toutes fonctions liées au transcodage, à l’exposition et à l’optimisation des communications. Elle doit aussi répondre aux enjeux de scalabilité.

Si on parle plus largement du concept de « portail », en prenant l’exemple de Blueway, il en existe plusieurs types au sein des solutions d’API Management :

• Un portail dédié pour les abonnés : les organisations consommatrices peuvent voir via un portail dédié à quelles API vous les avez abonnées et accéder à leurs statistiques de consommation. Des tokens d’accès sécurisent l’ensemble des authentifications.
• Un portail centralisé, sécurisé et dédié au monitoring de votre parc API : il vous permet de gérer toutes vos API grâce à une vue globale et exhaustive, de les faire évoluer et de configurer leurs expositions. Vous surveillez la consommation, et la santé technique de vos API en retrouvant tous les logs et toutes les statistiques de consommation de vos API. Vous gérez les abonnements et les accès de vos clients, fournisseurs ou partenaires à vos API durant la période et selon les conditions de votre choix.
• Un portail pour les développeurs : toute la documentation de vos API, leur structuration et les outils mis à disposition permettront aux développeurs de procéder à des tests en toute autonomie.

Créer les API et gérer les API : deux enjeux complémentaires à distinguer

Si les solutions d’API Management sont essentielles pour gouverner les échanges d’informations avec vos partenaires et le cycle de vie des APIs, il faut bien en identifier les limites. Une solution de gestion des APIs n’est pas faite pour créer des API mais pour piloter leur exposition ! Les API doivent être créées en amont.

La solution d’API Management expose ainsi des services qui existent déjà au sein du système d’information. Elle n’a pas non plus pour objectif de structurer ou d’urbaniser votre SI interne.

Ainsi, mettre en place une solution d’API Management ne suffit pas pour répondre à l’enjeu d’APIser votre Système d’Information. Avant d’avancer sur le choix d’une solution d’API Management, vous devez prendre du recul sur de nombreuses questions : quels services avez-vous besoins d’exposer ? Pour quels besoins métiers ? Quel est le niveau de granularité attendu ? Quelle est la maturité de votre écosystème ? Quels KPIs souhaiterez-vous suivre ?

A l’inverse, il faut aussi garder en tête qu’exposer un service juste car il est disponible ne présente pas d’intérêt ! C’est votre besoin qui doit cadrer votre stratégie d’intégration et d’APIsation.

C’est donc une fois que les premières Application Programming Interfaces seront définies et disponibles au sein de votre système d’information qu’une solution d’API Management prendra tout son sens. Pour autant il n’est pas nécessaire d’avoir mis en place dès le départ toutes les API : la démarche peut très bien être itérative ! Mieux vaut éviter l’effet Big Bang.

Comment alors créer des API à exposer ?

Il est possible de développer ses API avec du code et des frameworks de développement propres. Cependant, l’API Management gagne vraiment à s’appuyer sur des solutions d’urbanisation du SI et une architecture orientée services (SOA).

Dans l’un ou l’autre cas, isoler les API déjà présentes dans le Système d’Information interne et bien définir ce qui vient de l’extérieur et ce qui est interne est une étape importante avec d’exposer une architecture de type gateway.

Les bénéfices sont encore plus importants si la plateforme orchestre également les processus et les services internes de votre système d’information.

Edouard Cante – DGA Produit

Cette vision rejoint des convictions que nous partageons chez Blueway. La réponse ne doit pas être uniquement technique : la technologie reste un support, pas une réponse en soi.

Pour ne pas forcer la réponse à rentrer dans le périmètre technique d’un outil, il est nécessaire d’avoir une vision globale des échanges d’information : processus, référentiels de données, transport de l’information et ouverture vers l’extérieur.

Dans le cas présent, l’urbanisation du système d’information est le socle pour bâtir vos services exposables qui deviendront vos API. Une démarche ESB (Enterprise Service Bus) permettra de mettre en place une architecture SOA (Service Oriented Architecture) avec des composants d’échanges de données normalisés et réutilisables.

Avec l’ESB, les échanges de données sont normalisés et transitent au travers d’un bus applicatif dans le SI. Les applications du système d’information vont s’abonner aux services qui les concernent, en toute sécurité.

La solution d’API Management participera ensuite à étendre la stratégie SOA mise en place dans son SI interne aux échanges avec votre écosystème. Elle pourra aussi mettre à profit les Application Programming Interfaces externes.

Il faut donc bien différencier l’orchestration des services internes, portée par l’ESB, et la gouvernance des échanges avec l’extérieur, portée par la solution d’API Management. C’est votre besoin de transformation qui définit la valeur à tirer de chaque outil, et non l’inverse ! C’est une de nos convictions chez Blueway, et un des socles de notre solution « API Gouvernance » dédiée à la gestion des APIs et de sa complémentarité avec Data Foundation, notre plateforme technologique ESB dédié au transport, à la manipulation et au contrôle de la donnée !

Les échanges avec vos partenaires sont de nouveaux canaux de communication, qu’il est nécessaire d’organiser et d’industrialiser. C’est un sujet de transformation de la gouvernance avant d’être un sujet technique !

Edouard Cante – DGA Produit

Au plaisir d’échanger avec vous