Pourquoi les équipes DevSecOps ont besoin de la gestion des secrets

publié le janvier 26, 2023

Une bonne gestion des secrets informatiques est essentielle pour protéger votre organisation des cybermenaces, notamment dans les environnements DevOps, où les outils de pipeline CI/CD courants tels que Jenkins, Ansible, Github Actions et Azure DevOps utilisent des secrets pour accéder aux bases de données, aux serveurs SSH, aux services HTTP et à d’autres systèmes hautement sensibles.

Malgré l’importance cruciale de la gestion des secrets, le rapport intitulé 2022 Cybersecurity Census Report de Keeper a révélé que près d’un tiers des organisations (32 %) ne disposent pas d’une solution dédiée pour protéger leurs secrets. En outre, 84 % des personnes interrogées s’inquiètent des risques associés aux identifiants codés en dur dans le code source, tandis que 25 % ne disposent pas de logiciel pour les supprimer.

C’est quoi DevSecOps ?

Avant de définir DevSecOps, il faut d’abord comprendre à quoi renvoie DevOps. DevOps est une philosophie de développement de logiciels qui cherche à briser les silos entre le développement de logiciels et les opérations informatiques (d’où le nom « DevOps »), dans le but de fournir des logiciels de qualité plus rapidement. DevOps est complémentaire au développement agile de logiciels et s’appuie fortement sur l’automatisation des processus tout au long du cycle de vie du développement logiciel (SDLC).

Toutefois, DevOps ne se limite pas au développement et aux opérations : la sécurité doit y occuper une place prépondérante. C’est ce qui explique le lancement de DevSecOps, qui vise à intégrer les initiatives de sécurité à tous les niveaux du cycle de développement durable afin de fournir rapidement des applications à la fois robustes et sécurisées.

Qu’est-ce que la gestion des secrets ?

La gestion des secrets fait référence aux outils et méthodes utilisés pour gérer les identifiants d’authentification qui permettent d’accéder à des systèmes hautement privilégiés et à des informations sensibles.

Au fond, les secrets ne désignent rien d’autre que des mots de passe. Toutefois, contrairement aux autres mots de passe, les secrets ne sont utilisés que par les applications et les machines, pas par des humains. Les types de secrets les plus courants sont les suivants :

Les identifiants de connexion non humains, tels que les comptes de service
Les bases de données et autres mots de passe de système à système.
Les clés cryptographiques et de chiffrement
Les identifiants d’accès aux services cloud
Les clés d’interface de programmation d’application (API)
Les jetons d’accès
Les clés SSH (Secure Shell)

En plus de protéger les secrets informatiques contre les acteurs de la cybermenace, les solutions de gestion des secrets offrent aux équipes DevSecOps une visibilité sur leur environnement de données, les aident à prévenir la prolifération des secrets et facilitent le partage sécurisé des secrets.

Les défis liés à la gestion des secrets pour DevSecOps

Les équipes DevSecOps font face à d’importants risques et défis liés à la gestion des secrets. Examinons les problèmes les plus courants.

1. La prolifération des secrets

La prolifération des secrets se produit lorsqu’une organisation stocke des secrets sur l’ensemble du réseau, sans utiliser de solution pour les organiser, les gérer et les sécuriser. Ce problème est exacerbé par l’adoption généralisée des applications SaaS et des modèles de développement conçus dans le cloud, qui ont considérablement augmenté le nombre de secrets dont disposent les organisations, tout en décentralisant leur stockage. Dans ce type d’environnement, les équipes DevOps ne disposent pas de la visibilité et des politiques de gestion uniformes dont elles ont besoin pour maîtriser leurs secrets, ce qui élargit la surface d’attaque de l’organisation et augmente le risque d’une violation de données.

2. Les identifiants codés en dur et intégrés

Les identifiants codés en dur/intégrés sont un facteur majeur de la prolifération des secrets et des violations de données. De nombreux appareils intelligents, d’autres plateformes matérielles et même logicielles sont livrés avec des identifiants par défaut codés en dur. Ces identifiants sont censés être modifiés avant le déploiement du produit, mais si les équipes DevSecOps manquent de visibilité sur leur environnement de données, cela ne se produit pas toujours. Lorsque des appareils et des applications sont déployés sans que les identifiants par défaut soient modifiés, les cybercriminels peuvent facilement y accéder en utilisant des outils d’analyse associés au manuel d’utilisation de l’appareil ou de l’application. Ces manuels sont disponibles en ligne et comportent les identifiants par défaut.

De plus, il arrive parfois que les développeurs codent en dur des secrets dans le code source. Ceci constitue une violation majeure des meilleures pratiques en matière de sécurité des applications, mais si les équipes DevSecOps manquent de visibilité, elles ne peuvent pas la prévenir de manière efficace.

3. Des ensembles d’outils multiples et disparates

De nombreux outils utilisés dans les environnements DevSecOps comprennent des gestionnaires de secrets intégrés, qui permettent aux équipes de supprimer les identifiants codés en dur/intégrés. Toutefois, ces outils de gestion des secrets sont exclusifs et ne fonctionnent qu’avec les solutions auxquelles ils sont associés, ce qui ne résout pas le problème plus général de la prolifération des secrets.

4. Les mauvaises pratiques en matière de sécurité des mots de passe

Comme indiqué précédemment dans ce blog, les secrets ne sont rien d’autre qu’un autre type de mot de passe, ce qui signifie qu’ils sont soumis aux mêmes problèmes de sécurité que tous les autres mots de passe. Parfois, les secrets sont stockés en texte clair, ce qui signifie qu’ils ne sont pas protégés. Les membres de l’équipe peuvent réutiliser les secrets d’une application à l’autre ou choisir des secrets faibles, tels que des modèles de clavier ou des mots du dictionnaire. Il peut arriver que des secrets ne soient pas modifiés ou révoqués lorsque les employés qui y ont accès quittent l’entreprise. Tous ces problèmes augmentent considérablement les risques de compromission, ce qui peut conduire à une violation de données.

Ce que vous devriez rechercher dans une solution de gestion des secrets DevSecOps

La meilleure façon de lutter contre la prolifération des secrets et de prévenir les violations de données est d’utiliser une solution de gestion des secrets dédiée qui comprend un coffre sécurisé et centralisé dans lequel les secrets sont stockés.

Lorsque vous évaluez les solutions de gestion des secrets DevSecOps, recherchez les fonctionnalités suivantes :

Un modèle de déploiement flexible — Les environnements de données actuels sont très complexes et chacun d’eux est unique. Assurez-vous que votre gestionnaire de secrets fonctionne dans l’ensemble de votre environnement, qu’il soit sur site, dans le cloud ou dans une configuration multi-cloud ou hybride.
Le chiffrement AES — Pour protéger efficacement les secrets, un gestionnaire de secrets doit chiffrer les données à la fois en transit et au repos, mais ce n’est pas tout. Assurez-vous que la solution que vous choisissez utilise le chiffrement AES 256 bits, le standard gold utilisé par les banques et les agences gouvernementales.
Une intégration à d’autres applications et services — La solution de gestion des secrets de votre organisation doit s’intégrer de manière transparente aux systèmes CI/CD populaires et à tous les autres outils utilisés dans vos environnements de développement.

Comment Keeper protège les secrets de votre entreprise

Keeper Secrets Manager est une solution Zero -Trust, Zero-Knowledge et cloud-based, qui fournit aux équipes DevSecOps un coffre centralisé optimisé pour les environnements DevOps. Avec Keeper Secrets Manager, tous les serveurs, pipelines CI/CD, environnements de développement et le code source tirent des secrets à partir d’un terminal API sécurisé. Chaque secret est chiffré avec une clé AES 256-bit, qui est chiffrée par une autre clé d’application AES-256.

Keeper Secrets Manager, une solution supplémentaire de la plateforme Keeper Enterprise Password Management (EPM), est intégré à votre coffre Web, à votre console d’administration et à votre application de bureau. Il offre également d’autres intégrations au module Advanced Reporting and Alerts de Keeper, à l’outil de surveillance du Dark Web BreachWatch, à l’intégration SIEM, aux webhooks et aux solutions de conformité.

Demandez une démo du Keeper Secrets Manager pour voir comment votre entreprise peut éliminer la prolifération des secrets et sécuriser votre environnement.

Teresa Rothaar

Par Teresa Rothaar

Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She is a CISSP, holds an MBA and an M.S. in management information systems from Wilmington University, and received a B.S. in mathematics and computer science from Temple University.