Qu'est-ce que la gestion des secrets ?

La gestion des secrets est le processus d'organisation, de gestion et de sécurisation des secrets de l'infrastructure informatique. Un gestionnaire de secrets est un système de stockage sécurisé et une source unique de vérité pour les identifiants privilégiés, les clés API et autres informations hautement sensibles utilisées dans les infrastructures informatiques.

Continuez à lire pour en savoir plus sur la gestion des secrets et sur ce que vous pouvez faire pour protéger l'environnement de données de votre entreprise.

Qu'est-ce qu'un secret ?

Dans un environnement de données informatiques, les secrets sont des identifiants privilégiés non humains, le plus souvent ceux utilisés par les systèmes et les applications pour l'authentification ou comme entrée dans un algorithme cryptographique. Les secrets permettent de déverrouiller des applications, des services et des ressources informatiques contenant des informations très sensibles et des systèmes privilégiés.

Voici les types de secrets les plus courants :

  • Identifiants de connexion non humains
  • Chaînes de connexion à la base de données
  • Clés cryptographiques
  • Identifiants d'accès au service cloud
  • Clés d'interface de programmation d'application (API)
  • Jetons d'accès
  • Clés SSH (Secure Shell)

Pourquoi la gestion des secrets est-elle importante ?

La gestion des secrets est une des meilleures pratiques de cybersécurité qui permet d'appliquer de manière cohérente les politiques de sécurité relatives aux identifiants d'authentification non humains, en veillant à ce que seules les entités authentifiées et autorisées puissent accéder aux ressources.

Au fur et à mesure que les organisations se développent, les équipes informatiques et DevOps rencontrent un problème appelé « prolifération des secrets », où les secrets de l'infrastructure sont dispersés en de multiples endroits, avec différents services, équipes, et même des membres de l'équipe gérant indépendamment les secrets sous leur contrôle. Parallèlement, les administrateurs informatiques manquent de visibilité, d'auditabilité et d'alertes sur l'utilisation de ces secrets.

Meilleures pratiques en matière de gestion des secrets

Les secrets étant très nombreux (les clés SSH à elles seules peuvent se compter par milliers) l'utilisation d'une solution de gestion des secrets comme Keeper Secrets Manager est indispensable. Selon l'étude Global Encryption Trends Study de 2021 du Ponemon Institute, 28 % des entreprises utilisent des solutions de gestion des secrets pour protéger les secrets, et 33 % prévoient de déployer une solution de gestion des secrets au cours de l'année prochaine.

Un outil technologique ne peut toutefois pas tout faire ! Associez votre utilisation d'un outil de gestion des secrets aux meilleures pratiques suivantes :

Établissez un contrôle d'accès approprié

Après avoir centralisé et sécurisé vos secrets à l'aide d'une solution de gestion des secrets, l'étape suivante consiste à s'assurer que seules les personnes et les systèmes autorisés peuvent y accéder. Pour ce faire, il convient de combiner le contrôle d'accès basé sur les rôles (RBAC) à la gestion des accès privilégiés (PAM) selon le principe de moindre privilège.

Pensez à la rotation des secrets et à l'accès juste-à-temps

De nombreux secrets, tels que les clés et les certificats, nécessitent une rotation périodique, généralement tous les 30 à 90 jours. Un outil comme Keeper Secrets Manager peut automatiser ce processus pour vous.

En plus de la rotation des secrets, utilisez l'accès juste-à-temps chaque fois que cela est possible. Cela permet aux utilisateurs humains et aux applications d'accéder aux systèmes privilégiés en fonction de leur besoin pendant une durée déterminée. Il s'agit d'une mesure de sécurité pour éviter la compromission des identifiants privilégiés.

Distinguez les secrets des identifiants

Un identifiant désigne la manière dont un système de gestion de l'identité ou une autre entité se réfère à une identité numérique. Les noms d'utilisateur et les adresses électroniques sont des exemples courants d'identifiants. Les identifiants sont souvent partagés librement au sein d'une entreprise et même en dehors.

Les secrets, en revanche, sont hautement confidentiels. Si un secret est compromis, les acteurs de la menace peuvent l'utiliser pour accéder à des systèmes hautement privilégiés, et l'entreprise pourrait subir des dommages importants, voire catastrophiques.

close
Ventes pro
Assistance
closeChoix de la langue
close

Entreprises et professionnels

Protégez votre entreprise des cybercriminels.

Commencez l'essai gratuit

Secteur public et FedRAMP

Protégez votre agence ou votre établissement d'enseignement des cybercriminels.

Contact

MSP

Protégez votre entreprise de services gérés, vos clients finaux et bénéficiez de nouvelles sources de revenus.

Commencez l'essai gratuit

Particuliers et familles

Protégez-vous et votre famille des cybercriminels.

Me protéger tout de suite
close

Particuliers et familles

Protégez-vous et votre famille des cybercriminels.

Commencez l'essai gratuit

Entreprises et professionnels

Protégez votre entreprise des cybercriminels.

Commencez l'essai gratuit
Français (FR) Nous appeler
Télécharger sur l'App Store Télécharger sur Google Play