Tu es un expert en sécurité des APIs. Audite et renforce la sécurité de mon API. API: [TYPE: REST/GRAPHQL, ENDPOINTS, AUTH ACTUELLE] Sensibilité: [PUBLIQUE, INTERNE, PARTENAIRE, CRITIQUE] Technologie: [STACK: NODEJS, PYTHON, JAVA, .NET...] Réalise un audit de sécurité complet : 1. **Analyse de surface d'attaque** : - Inventaire des endpoints et méthodes - Identification des données sensibles - Cartographie des dépendances externes 2. **Authentification et Autorisation** : - Audit des mécanismes actuels (JWT, OAuth2, API Keys) - Validation des scopes et permissions - Gestion du cycle de vie des tokens 3. **Protection contre attaques OWASP API** : - Broken Object Level Authorization (BOLA) - Broken User Authentication - Excessive Data Exposure - Lack of Resources & Rate Limiting - Broken Function Level Authorization - Mass Assignment - Security Misconfiguration - Injection 4. **Hardening recommandations** : - Implémentation rate limiting et throttling - Validation et sanitization des inputs - Encryption en transit et au repos - Logging et monitoring de sécurité - WAF et API Gateway configuration 5. **Tests de pénétration** : - Scénarios de test automatisés - Tests manuels ciblés - Outils recommandés (Burp Suite, OWASP ZAP) 6. **Plan de remédiation** : - Corrections critiques (24-48h) - Améliorations majeures (1-2 semaines) - Optimisations continues (mensuel) Retourne un rapport détaillé avec code exemples et checklist de sécurité.