Le problème du trafic fantôme — instrumenter la confiance API

Lors d’un audit fintech, les serveurs encaissaient des milliers de requêtes par heure alors qu’aucun client n’était connecté. Des scripts de test hérités et clients oubliés conservaient des clés valides.

• Les clés n’expiraient jamais et n’étaient pas liées à des propriétaires.
• Des intégrations abandonnées frappaient la prod quotidiennement.
• Les rate limiters bloquaient sans attribution.
• Aucune vue unifiée des flux entre microservices.

1. Inventorié chaque credential API avec propriétaire, scopes et date d’usage dans un registre central.
2. Livré une politique de rotation/expiration appliquée via le CI, stoppant les builds aux clés obsolètes.
3. Placardé les services derrière API Gateway + WAF adaptatif tout en poussant les logs vers CloudWatch/Grafana pour l’analyse comportementale.
4. Instrumenté OpenTelemetry de bout en bout pour expliquer chaque requête et son impact downstream.
5. Défini des alertes d’anomalie sur la fréquence ou la géographie des appels.

Le trafic zombie a chuté de 90 % en deux semaines, le coût compute de 30 % et nous avons découvert un client bêta frappant encore des endpoints sensibles. Cette visibilité a servi de roadmap Zero Trust.

La sécurité commence par savoir qui vous parle. Si vous ne pouvez pas expliquer une requête, vous avez déjà perdu l’observabilité — et peut-être des données.