Aujourd’hui, les organisations automatisent de nombreux processus et workflows clés à l’aide d’outils tels que l’automatisation robotisée des processus (RPA) et, plus récemment, les agents et assistants d’IA. Tout comme les utilisateurs humains, ces entités non humaines ont besoin d’identifiants (souvent appelés « secrets ») pour accéder aux ressources de l’organisation.
Les utilisateurs non humains doivent souvent disposer de privilèges élevés pour accomplir leurs tâches. Par exemple, un processus de sauvegarde automatisé peut avoir accès à des fichiers et à des paramètres système confidentiels.
Ces comptes non humains privilégiés sont des cibles de choix pour les pirates informatiques, qui peuvent abuser de leurs droits d’accès pour voler des données et endommager des systèmes critiques tout en échappant à la détection. De fait, le détournement de comptes valides est le vecteur de cyberattaque le plus courant aujourd’hui, selon l’IBM X-Force Threat Intelligence Index. Ces attaques représentent 30 % de tous les incidents auxquels X-Force a répondu récemment.
Grâce aux systèmes et processus de gestion des secrets, les organisations peuvent créer, contrôler et sécuriser les secrets que les entités non humaines utilisent pour accéder aux ressources informatiques. Les outils de gestion des secrets permettent de gérer et de protéger les identifiants des entités non humaines tout au long de leur cycle de vie, afin de rationaliser les workflows automatisés tout en empêchant les violations de données, la falsification, le vol et d’autres types d’accès non autorisés.
Un secret est un identifiant numérique contenu dans une application ou un service qui permet à des utilisateurs non humains de communiquer avec un service, une base de données, une application ou une autre ressource informatique et d’y effectuer des actions. Les secrets aident les organisations à renforcer leur posture de sécurité en garantissant que seuls les utilisateurs autorisés ont accès aux données et aux systèmes sensibles.
Voici quelques exemples de secrets :
Les outils de gestion des secrets dédiés aux entreprises aident ces dernières à détecter, prévenir et remédier aux accès non autorisés et à l’utilisation abusive de données et de systèmes sensibles, tels que les données personnelles (PII). Les organisations peuvent réduire le risque de violation et de vol de données, évitant ainsi la perte de données précieuses, les amendes potentielles et les atteintes à la réputation.
La gestion des secrets est l’un des piliers de la gestion des accès privilégiés (PAM), le sous-ensemble de la gestion des identités et des accès (IAM) axé sur la sécurisation des comptes et des utilisateurs privilégiés.
Les trois autres piliers de la PAM sont les suivants :
La gestion des secrets est importante pour la méthodologie DevOps, qui met l’accent sur la livraison automatisée et continue de logiciels.
Les équipes DevOps emploient souvent plusieurs outils de configuration ou d’orchestration pour gérer des écosystèmes numériques entiers, des workflows et des points de terminaison. Ces outils font souvent appel à l’automatisation et à des scripts qui exigent l’accès à des secrets pour être activés. Sans un service de gestion des secrets dédié aux entreprises, un usage hasardeux des secrets pourrait accroître la vulnérabilité du système.
De nombreuses entreprises intègrent les fonctions de gestion des secrets dans le pipeline d’intégration et de livraison continues (ou pipeline CI/CD). Ainsi, toutes les parties mobiles (développeurs, outils et processus automatisés) disposent d’un accès sécurisé aux systèmes sensibles dont elles ont besoin, au moment où elles en ont besoin.
La gestion des secrets est considérée comme un élément central du DevSecOps, une évolution de la méthodologie DevOps qui intègre et automatise en permanence la sécurité tout au long du cycle de vie DevOps.
Le processus de gestion des secrets s’appuie généralement sur des outils de gestion des secrets. Déployés sur site ou sous forme de services cloud, ces outils permettent de centraliser, d’automatiser et de rationaliser la création, l’utilisation, la rotation et la protection des secrets.
Les fonctionnalités les plus courantes des outils de gestion des secrets sont notamment :
Avec un service de gestion des secrets dédié aux entreprises, les organisations peuvent gérer plusieurs types de secrets dans une vue unifiée.
Plutôt que de laisser les utilisateurs individuels gérer les secrets dans de petits silos, les solutions de gestion des secrets peuvent stocker les secrets dans un endroit central et sécurisé appelé « coffre-fort des secrets ».
Lorsqu’un utilisateur autorisé souhaite accéder à un système sensible, il peut obtenir le secret correspondant à partir du coffre-fort. L’outil de gestion des secrets peut automatiquement vérifier, approuver et accorder aux utilisateurs les autorisations nécessaires à l’exécution de leurs workflows.
La standardisation peut aider à prévenir la prolifération des secrets. On parle de prolifération des secrets lorsque ceux-ci sont stockés à divers endroits dans une organisation, souvent codés en dur dans des applications ou sous forme de texte brut dans un document partagé. Ce phénomène nuit à la protection des secrets contre les acteurs malveillants et au suivi de l’utilisation des secrets.
Les secrets créés dans un gestionnaire de secrets peuvent être statiques ou dynamiques. Un secret statique reste valide pendant une longue période, généralement jusqu’à ce qu’il soit modifié manuellement ou qu’il atteigne une date d’expiration prédéfinie.
En revanche, un secret dynamique est créé par le gestionnaire de secrets à la demande, au moment où il est nécessaire. Les secrets dynamiques expirent assez rapidement, voire sont à usage unique.
Un secret dynamique pourrait servir à protéger une ressource confidentielle en générant dynamiquement des clés d’API chaque fois que cette ressource est lue ou consultée. Cela permet de veiller à ce que les acteurs malveillants ne puissent pas voler et réutiliser les clés d’API.
De nombreux gestionnaires de secrets peuvent également automatiser la rotation des secrets, c’est-à-dire l’action de changer les secrets régulièrement. Celle-ci peut être automatisée selon un calendrier ou à la demande, sans qu’il soit nécessaire de redéployer ou de perturber les applications. Il est possible de définir une durée de vie (TTL) ou une durée de location pour un secret lors de sa création afin de réduire la période d’existence du secret.
Les secrets peuvent être accordés à des entités ou à des groupes spécifiques afin d’organiser et de restreindre l’accès. L’accès à ces secrets est souvent accordé selon le principe du moindre privilège, c’est-à-dire que chaque processus ne se voit accorder que l’ensemble de privilèges le plus restrictif nécessaire à l’accomplissement d’une tâche. Les utilisateurs ne peuvent accéder qu’aux secrets nécessaires à l’exécution de leurs tâches autorisées.
De nombreux gestionnaires de secrets peuvent suivre la manière dont les utilisateurs et les applications interagissent avec les secrets et les utilisent, afin de vérifier qu’ils sont correctement exploités tout au long de leur cycle de vie. L’organisation peut ainsi contrôler en temps réel et de bout en bout les authentifications et les autorisations.
Les gestionnaires de secrets peuvent rapidement identifier les tentatives non autorisées de consultation ou d’utilisation des secrets et en interdire l’accès, ce qui permet d’arrêter les pirates informatiques, les menaces internes et tout autre acteur malveillant.
Au-delà de l’utilisation de solutions de gestion des secrets, de nombreuses organisations suivent des pratiques fondamentales communes dans leurs processus de gestion des secrets. Celles-ci incluent :
La complexité croissante des écosystèmes informatiques rend la gestion des secrets de plus en plus difficile à contrôler efficacement. Voici quelques-uns des défis les plus courants en matière de gestion des secrets :
Les écosystèmes décentralisés dans lesquels les administrateurs, les développeurs et les utilisateurs gèrent leurs secrets séparément peuvent présenter des risques, car les lacunes en matière de sécurité et l’utilisation des secrets peuvent ne pas être convenablement contrôlées ou auditées.
Les solutions centralisées de gestion des secrets peuvent apporter aux organisations une visibilité et un contrôle accrus sur les secrets.
Lorsque des mots de passe ou d’autres secrets sont intégrés en texte brut dans du code source ou des scripts, les pirates informatiques peuvent facilement les découvrir et en faire usage pour accéder à des informations sensibles.
Les secrets codés en dur peuvent se retrouver à de nombreux endroits, notamment dans les chaînes d’outils CI/CD, les appareils de l’Internet des objets (IdO), les plateformes d’orchestration de conteneurs telles que Kubernetes, les serveurs d’applications, les scanners de vulnérabilités et les plateformes d’automatisation robotisée des processus (RPA).
La rotation régulière des secrets peut contribuer à prévenir le vol et les abus, mais elle risque d’être incohérente ou inefficace en l’absence d’un système de gestion des secrets. Si un secret reste inchangé pendant trop longtemps, un pirate peut parvenir à le déchiffrer par essais et erreurs ou par une attaque par force brute.
Plus un mot de passe est utilisé longtemps, plus le nombre d’utilisateurs y ayant accès est élevé et plus le risque de fuite est grand.
La croissance des systèmes informatiques peut entraîner une prolifération des secrets, ces derniers étant répartis dans de nombreuses parties cloisonnées du système. Cela peut être particulièrement préoccupant dans les écosystèmes de multicloud hybride, où les organisations mêlent des environnements de cloud public et de cloud privé assurés par de multiples fournisseurs.
Les organisations peuvent avoir des milliers, voire des millions, de secrets dans toutes leurs applications cloud natives, leurs conteneurs, leurs microservices et autres ressources informatiques. Cette prolifération entraîne une lourde responsabilité en matière de sécurité et élargit la surface d’attaque potentielle.
La visibilité peut être limitée d’un service à l’autre et la gestion des secrets peut rapidement devenir compliquée si elle est suivie manuellement ou par des systèmes disparates. L’absence d’un service centralisé de gestion des secrets peut rendre plus difficile, voire impossible, l’application d’une bonne hygiène des secrets.
Lorsqu’une organisation ne dispose pas d’un système de gestion des secrets, ces derniers peuvent être partagés manuellement (par exemple par le biais d’e-mails ou de SMS), ce qui permet aux acteurs malveillants de les intercepter.
Découvrez le paysage de la gestion des identités et des accès des clients (CIAM) et les tendances actuelles du marché.
Découvrez comment réduire la complexité de la gestion des identités grâce à l’approche agnostique des produits IBM en matière d’orchestration de la structure des identités.
Obtenez une définition claire de la structure des identités et découvrez comment celle-ci permet un contrôle et une visibilité continus.
Les coûts liés aux violations de données ont atteint un nouveau sommet. Découvrez comment aider vos équipes informatiques et de sécurité à mieux gérer les risques et à limiter les pertes.
Restez au courant des dernières tendances et actualités en matière de gestion des identités et des accès.