🎬Démo-Urba-EFOP: Gravitee (API Manager) : structurer et sécuriser l’exposition des API en open source

🎬 Les Démonstrations de l’écosystème des SI EFOP

Gravitee (API Manager) : structurer et sécuriser l’exposition des API en open source

👤 Intervenant

Ludovic – France Compétences
Retour d’expérience sur la mise en place d’un API Manager open source pour la gestion des API.

🧭 Contexte

France Compétences expose aujourd’hui plusieurs API publiques :

• Référentiels RNCP / RS
  
• API SIRO
  
• API internes
  
• Autres services métiers
  

Problématique :

Comment centraliser, sécuriser et superviser l’ensemble des flux API sans complexifier l’accès pour les consommateurs ?

🧱 La solution retenue

Gravitee

Gravitee est un API Manager open source.

⚠️ Open source ne signifie pas gratuit :

• Version communautaire open source
  
• Modules enterprise sous licence
  
• Support éditeur possible
  

🎯 Rôle d’un API Manager

Un API Manager permet de :

1. Regrouper toutes les API derrière un point d’entrée unique
   
2. Gérer la sécurité et les accès
   
3. Suivre les flux et la consommation
   
4. Superviser les performances
   
5. Rendre la documentation accessible aux développeurs
   

🖥️ Deux volets principaux

1️⃣ Le portail développeur

Interface destinée :

• Aux développeurs externes
  
• Aux équipes internes
  

On y trouve :

• Catalogue des API disponibles
  
• Documentation des routes (endpoints)
  
• Méthodes (GET, POST…)
  
• Modèles de réponses
  
• Environnements de test
  

Exemple France Compétences :

• API RNCP
  
• API SIRO
  
• API internes non publiques
  

L’ouverture peut être configurée :

• API publique
  
• API restreinte
  
• API interne
  

2️⃣ L’administration et le monitoring

L’API Manager permet de :

• Suivre les appels en temps réel
  
• Visualiser la consommation par application
  
• Tracer les flux
  
• Mettre en place des contrôles
  
• Gérer les quotas
  

Chaque application consommatrice dispose :

• D’une clé d’accès
  
• D’un suivi analytique
  
• D’un monitoring des appels
  

🔐 Bénéfice majeur : point d’entrée unique

Les consommateurs n’ont qu’une seule URL à appeler.

Exemple :

api.francecompetences.fr

Même si :

• Les endpoints internes changent
  
• Les microservices évoluent
  
• L’architecture backend est modifiée
  

👉 Tout reste transparent pour les utilisateurs.

C’est l’API Manager qui gère :

• Le routage interne
  
• Les redirections
  
• Les changements d’infrastructure
  

🏛 Adoption dans la sphère publique

France Compétences a fait ce choix.
L’INSEE a également adopté Gravitee.

Gravitee est référencé dans le catalogue SIN (Socle Interministériel Numérique).

❓ Questions soulevées

Impact pour les consommateurs existants ?

Aucun impact visible :

• Les URLs restent stables
  
• Les appels restent identiques
  
• Les changements backend sont invisibles
  

Documentation incomplète sur certaines API ?

La documentation dépend :

• Des équipes internes
  
• De la publication des fichiers techniques
  

L’outil permet la documentation, mais celle-ci doit être alimentée.

🧩 Lecture stratégique pour l’écosystème des SI EFOP

Avec la multiplication :

• Des API publiques
  
• Des référentiels
  
• Des flux inter-opérateurs
  

Un API Manager devient une brique structurante.

Pour l’écosystème des SI EFOP, les enjeux sont :

1️⃣ Gouvernance

• Centralisation des expositions API
  
• Meilleure lisibilité pour les partenaires
  

2️⃣ Sécurité

• Gestion des accès
  
• Traçabilité des usages
  

3️⃣ Interopérabilité

• Point d’entrée stable
  
• Indépendance des évolutions backend
  

4️⃣ Mutualisation

• Partage de retours d’expérience
  
• Possibilité d’identifier des référents publics