Qu'est-ce que la gestion des secrets ?

17 décembre 2024

Auteurs

James Holdsworth

Content Writer

Matthew Kosinski

Enterprise Technology Writer

Qu'est-ce que la gestion des secrets ?

La gestion des secrets est la protection des identifiants (y compris les certificats, les clés, les mots de passe et les jetons) pour les utilisateurs non humains, tels que les applications, les serveurs et les workloads.

Aujourd’hui, les organisations automatisent de nombreux processus et workflows clés à l’aide d’outils tels que l’automatisation robotisée des processus (RPA) et, plus récemment, les agents et assistants d’IA. Tout comme les utilisateurs humains, ces entités non humaines ont besoin d’identifiants (souvent appelés « secrets ») pour accéder aux ressources de l’organisation.

Les utilisateurs non humains doivent souvent disposer de privilèges élevés pour accomplir leurs tâches. Par exemple, un processus de sauvegarde automatisé peut avoir accès à des fichiers et à des paramètres système confidentiels.

Ces comptes non humains privilégiés sont des cibles de choix pour les pirates informatiques, qui peuvent abuser de leurs droits d’accès pour voler des données et endommager des systèmes critiques tout en échappant à la détection. De fait, le détournement de comptes valides est le vecteur de cyberattaque le plus courant aujourd’hui, selon l’IBM X-Force Threat Intelligence Index. Ces attaques représentent 30 % de tous les incidents auxquels X-Force a répondu récemment.

Grâce aux systèmes et processus de gestion des secrets, les organisations peuvent créer, contrôler et sécuriser les secrets que les entités non humaines utilisent pour accéder aux ressources informatiques. Les outils de gestion des secrets permettent de gérer et de protéger les identifiants des entités non humaines tout au long de leur cycle de vie, afin de rationaliser les workflows automatisés tout en empêchant les violations de données, la falsification, le vol et d’autres types d’accès non autorisés.

Qu’est-ce qu’un secret ?

Un secret est un identifiant numérique contenu dans une application ou un service qui permet à des utilisateurs non humains de communiquer avec un service, une base de données, une application ou une autre ressource informatique et d’y effectuer des actions. Les secrets aident les organisations à renforcer leur posture de sécurité en garantissant que seuls les utilisateurs autorisés ont accès aux données et aux systèmes sensibles.

Voici quelques exemples de secrets :

  • Les identifiants des comptes de service : les comptes de service permettent aux applications et aux workflows automatisés d’interagir avec les systèmes d’exploitation. Les identifiants des comptes de service incluent notamment les mots de passe, les jetons de sécurité, les tickets Kerberos et d’autres secrets.

  • Les clés API : elles permettent aux utilisateurs, aux applications et aux services de s’authentifier auprès des interfaces de programmation des applications (API).

  • Les clés de chiffrement : elles permettent aux utilisateurs de chiffrer et de déchiffrer les données.

  • Les jetons d’authentification et d’autorisation : les jetons, tels que ceux utilisés dans le protocole OAuth, sont des éléments d’information qui permettent de vérifier l’identité d’un utilisateur et de déterminer les ressources spécifiques auxquelles il peut accéder.

  • Les clés SSH (Secure Shell) : elles sont utilisées par les serveurs SSH pour identifier un utilisateur ou un appareil par le biais de la cryptographie à clé publique.

  • Les certificats SSL/TLS : un certificat numérique qui permet d’établir des communications privées entre un serveur et un client à l’aide du protocole Secure Sockets Layer/Transport Layer Security (SSL/TLS).

  • Les secrets arbitraires : les données sensibles, y compris tout type de données structurées ou non structurées qui peuvent être utilisées pour accéder à une application ou à une ressource.

  • Les autres clés privées : il peut s’agir de certificats d’infrastructure à clé publique (PKI), de clés HMAC (code d’authentification de message basé sur le hachage) et de clés de signature.
Homme regardant un ordinateur

Renforcez vos renseignements de sécurité 


Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think. 


Pourquoi la gestion des secrets est-elle importante ?

Les outils de gestion des secrets dédiés aux entreprises aident ces dernières à détecter, prévenir et remédier aux accès non autorisés et à l’utilisation abusive de données et de systèmes sensibles, tels que les données personnelles (PII). Les organisations peuvent réduire le risque de violation et de vol de données, évitant ainsi la perte de données précieuses, les amendes potentielles et les atteintes à la réputation.

La gestion des secrets est l’un des piliers de la gestion des accès privilégiés (PAM), le sous-ensemble de la gestion des identités et des accès (IAM) axé sur la sécurisation des comptes et des utilisateurs privilégiés.

Les trois autres piliers de la PAM sont les suivants :

  • La gestion des comptes et des sessions privilégiés (PASM) gère le cycle de vie des comptes, la gestion des mots de passe et la surveillance des sessions.

  • La gestion de l’élévation et de la délégation des privilèges (PEDM) consiste à évaluer, approuver et refuser automatiquement les demandes d’accès privilégié. 

  • La gestion des droits de l’infrastructure cloud (CIEM) supervise les processus IAM dans les environnements de cloud computing.

La gestion des secrets est importante pour la méthodologie DevOps, qui met l’accent sur la livraison automatisée et continue de logiciels.

Les équipes DevOps emploient souvent plusieurs outils de configuration ou d’orchestration pour gérer des écosystèmes numériques entiers, des workflows et des points de terminaison. Ces outils font souvent appel à l’automatisation et à des scripts qui exigent l’accès à des secrets pour être activés. Sans un service de gestion des secrets dédié aux entreprises, un usage hasardeux des secrets pourrait accroître la vulnérabilité du système.

De nombreuses entreprises intègrent les fonctions de gestion des secrets dans le pipeline d’intégration et de livraison continues (ou pipeline CI/CD). Ainsi, toutes les parties mobiles (développeurs, outils et processus automatisés) disposent d’un accès sécurisé aux systèmes sensibles dont elles ont besoin, au moment où elles en ont besoin.

La gestion des secrets est considérée comme un élément central du DevSecOps, une évolution de la méthodologie DevOps qui intègre et automatise en permanence la sécurité tout au long du cycle de vie DevOps.

Groupe d’experts | Podcast

Décryptage de l’IA : Tour d’horizon hebdomadaire

Rejoignez notre panel d’ingénieurs, de chercheurs, de chefs de produits et autres spécialistes de premier plan pour connaître l’essentiel de l'actualité et des dernières tendances dans le domaine de l’IA.

Gestion des secrets : fonctionnement

Le processus de gestion des secrets s’appuie généralement sur des outils de gestion des secrets. Déployés sur site ou sous forme de services cloud, ces outils permettent de centraliser, d’automatiser et de rationaliser la création, l’utilisation, la rotation et la protection des secrets.

Les fonctionnalités les plus courantes des outils de gestion des secrets sont notamment :

  • La gestion centralisée et standardisée des secrets
  • La création dynamique et la rotation automatique des secrets
  • Les contrôles d’accès
  • Le suivi et l’audit des activités

La gestion centralisée et standardisée des secrets

Avec un service de gestion des secrets dédié aux entreprises, les organisations peuvent gérer plusieurs types de secrets dans une vue unifiée.

Plutôt que de laisser les utilisateurs individuels gérer les secrets dans de petits silos, les solutions de gestion des secrets peuvent stocker les secrets dans un endroit central et sécurisé appelé « coffre-fort des secrets ».

Lorsqu’un utilisateur autorisé souhaite accéder à un système sensible, il peut obtenir le secret correspondant à partir du coffre-fort. L’outil de gestion des secrets peut automatiquement vérifier, approuver et accorder aux utilisateurs les autorisations nécessaires à l’exécution de leurs workflows.

La standardisation peut aider à prévenir la prolifération des secrets. On parle de prolifération des secrets lorsque ceux-ci sont stockés à divers endroits dans une organisation, souvent codés en dur dans des applications ou sous forme de texte brut dans un document partagé. Ce phénomène nuit à la protection des secrets contre les acteurs malveillants et au suivi de l’utilisation des secrets.  

La création dynamique et la rotation automatique des secrets

Les secrets créés dans un gestionnaire de secrets peuvent être statiques ou dynamiques. Un secret statique reste valide pendant une longue période, généralement jusqu’à ce qu’il soit modifié manuellement ou qu’il atteigne une date d’expiration prédéfinie.

En revanche, un secret dynamique est créé par le gestionnaire de secrets à la demande, au moment où il est nécessaire. Les secrets dynamiques expirent assez rapidement, voire sont à usage unique.

Un secret dynamique pourrait servir à protéger une ressource confidentielle en générant dynamiquement des clés d’API chaque fois que cette ressource est lue ou consultée. Cela permet de veiller à ce que les acteurs malveillants ne puissent pas voler et réutiliser les clés d’API.

De nombreux gestionnaires de secrets peuvent également automatiser la rotation des secrets, c’est-à-dire l’action de changer les secrets régulièrement. Celle-ci peut être automatisée selon un calendrier ou à la demande, sans qu’il soit nécessaire de redéployer ou de perturber les applications. Il est possible de définir une durée de vie (TTL) ou une durée de location pour un secret lors de sa création afin de réduire la période d’existence du secret.

Les contrôles d’accès

Les secrets peuvent être accordés à des entités ou à des groupes spécifiques afin d’organiser et de restreindre l’accès. L’accès à ces secrets est souvent accordé selon le principe du moindre privilège, c’est-à-dire que chaque processus ne se voit accorder que l’ensemble de privilèges le plus restrictif nécessaire à l’accomplissement d’une tâche. Les utilisateurs ne peuvent accéder qu’aux secrets nécessaires à l’exécution de leurs tâches autorisées.

Le suivi et l’audit des activités

De nombreux gestionnaires de secrets peuvent suivre la manière dont les utilisateurs et les applications interagissent avec les secrets et les utilisent, afin de vérifier qu’ils sont correctement exploités tout au long de leur cycle de vie. L’organisation peut ainsi contrôler en temps réel et de bout en bout les authentifications et les autorisations.

Les gestionnaires de secrets peuvent rapidement identifier les tentatives non autorisées de consultation ou d’utilisation des secrets et en interdire l’accès, ce qui permet d’arrêter les pirates informatiques, les menaces internes et tout autre acteur malveillant. 

Pratiques courantes de gestion des secrets

Au-delà de l’utilisation de solutions de gestion des secrets, de nombreuses organisations suivent des pratiques fondamentales communes dans leurs processus de gestion des secrets. Celles-ci incluent :

  • Les secrets sont générés et stockés dans l’environnement où un service est déployé, comme les environnements de développement, de test et de production. Certaines organisations emploient des outils de gestion des secrets différents pour chaque environnement. D’autres adoptent une solution centrale et isolent les secrets de chaque environnement dans un compartiment dédié. Les secrets ne sortent jamais de leur environnement et sont sécurisés par des mesures strictes de contrôle d’accès.

  • L’accès des utilisateurs aux secrets est accordé au niveau minimum requis pour qu’ils puissent s’acquitter de leurs responsabilités. Intentionnel ou non, un accès excessif peut conduire à des violations de données.

  • Les secrets font l’objet d’une rotation régulière conformément aux exigences du système.

  • Les utilisateurs ne stockent pas de secrets dans le code source, les fichiers de configuration ou la documentation.

  • Les politiques de sécurité peuvent être renforcées en exigeant le chiffrement de toutes les données sensibles. Les clés de chiffrement peuvent être protégées par un service de gestion des clés (KMS).

  • L’organisation surveille en permanence les secrets, avec des journaux d’audit répertoriant chaque demande : qui a demandé le secret, pour quel système, si la demande a abouti, quand le secret a été utilisé, quand il a expiré et quand et si le secret a été mis à jour. Toute anomalie fait l’objet d’une enquête immédiate. 

Les défis de la gestion des secrets

La complexité croissante des écosystèmes informatiques rend la gestion des secrets de plus en plus difficile à contrôler efficacement. Voici quelques-uns des défis les plus courants en matière de gestion des secrets :

Gestion décentralisée des secrets

Les écosystèmes décentralisés dans lesquels les administrateurs, les développeurs et les utilisateurs gèrent leurs secrets séparément peuvent présenter des risques, car les lacunes en matière de sécurité et l’utilisation des secrets peuvent ne pas être convenablement contrôlées ou auditées.

Les solutions centralisées de gestion des secrets peuvent apporter aux organisations une visibilité et un contrôle accrus sur les secrets.

Identifiants codés en dur

Lorsque des mots de passe ou d’autres secrets sont intégrés en texte brut dans du code source ou des scripts, les pirates informatiques peuvent facilement les découvrir et en faire usage pour accéder à des informations sensibles.

Les secrets codés en dur peuvent se retrouver à de nombreux endroits, notamment dans les chaînes d’outils CI/CD, les appareils de l’Internet des objets (IdO), les plateformes d’orchestration de conteneurs telles que Kubernetes, les serveurs d’applications, les scanners de vulnérabilités et les plateformes d’automatisation robotisée des processus (RPA).

Rotation peu fréquente 

La rotation régulière des secrets peut contribuer à prévenir le vol et les abus, mais elle risque d’être incohérente ou inefficace en l’absence d’un système de gestion des secrets. Si un secret reste inchangé pendant trop longtemps, un pirate peut parvenir à le déchiffrer par essais et erreurs ou par une attaque par force brute.

Plus un mot de passe est utilisé longtemps, plus le nombre d’utilisateurs y ayant accès est élevé et plus le risque de fuite est grand.

Prolifération des secrets

La croissance des systèmes informatiques peut entraîner une prolifération des secrets, ces derniers étant répartis dans de nombreuses parties cloisonnées du système. Cela peut être particulièrement préoccupant dans les écosystèmes de multicloud hybride, où les organisations mêlent des environnements de cloud public et de cloud privé assurés par de multiples fournisseurs.

Les organisations peuvent avoir des milliers, voire des millions, de secrets dans toutes leurs applications cloud natives, leurs conteneurs, leurs microservices et autres ressources informatiques. Cette prolifération entraîne une lourde responsabilité en matière de sécurité et élargit la surface d’attaque potentielle.

La visibilité peut être limitée d’un service à l’autre et la gestion des secrets peut rapidement devenir compliquée si elle est suivie manuellement ou par des systèmes disparates. L’absence d’un service centralisé de gestion des secrets peut rendre plus difficile, voire impossible, l’application d’une bonne hygiène des secrets.

Partage manuel des secrets

Lorsqu’une organisation ne dispose pas d’un système de gestion des secrets, ces derniers peuvent être partagés manuellement (par exemple par le biais d’e-mails ou de SMS), ce qui permet aux acteurs malveillants de les intercepter. 

Solutions connexes
IBM Verify : solutions IAM

Modernisez l’identité et renforcez les outils d’identité existants tout en fournissant un accès sécurisé et sans friction pour toute identité à l’IA, aux applications et aux ressources sur site, cloud ou SaaS.

Découvrir Verify
Verify Identity Protection

Découvrez nos solutions de détection et de réponse aux menaces liées aux identités (ITDR) et de gestion de la posture de sécurité des identités (ISPM), qui vous offrent une visibilité de bout en bout sur l’activité des utilisateurs dans un environnement hybride.

Découvrir Verify Identity Protection
Services de gestion des identités et des accès (IAM)

Mettez en place un programme de gestion des identités et des consommateurs performant grâce aux compétences, à la stratégie et au soutien d'experts en matière d'identité et de sécurité.

    Découvrez les services IAM
    Passez à l’étape suivante

    Découvrez IBM Verify, une plateforme IAM de premier plan qui offre des capacités alimentées par l’IA pour gérer votre personnel et les besoins de vos clients. 

    Découvrir Verify Découvrir Verify Identity Protection