Cela peut surprendre, mais la gestion des secrets est devenue l’éléphant dans la salle AppSec. Alors que les vulnérabilités de sécurité telles que les vulnérabilités et expositions communes (CVE) font souvent la une des journaux dans le monde de la cybersécurité, la gestion des secrets reste un problème négligé qui peut avoir des conséquences immédiates et importantes pour la sécurité de l’entreprise.
Une étude récente de GitGuardian a révélé que 75 % des décideurs informatiques aux États-Unis et au Royaume-Uni ont signalé au moins un secret divulgué à partir d’une application, 60 % causant des problèmes à l’entreprise ou aux employés. Étonnamment, moins de la moitié des répondants (48 %) étaient confiants dans leur capacité à protéger les secrets des applications « dans une large mesure ».
L’étude, nommée Voix des praticiens : L’état des secrets dans AppSec (disponible en téléchargement gratuit ici), apporte un regard neuf sur la gestion des secrets, souvent réduite à des clichés qui ne reflètent pas la réalité opérationnelle des services d’ingénierie.
Malgré leur omniprésence dans les opérations modernes de cloud et de développement, les secrets restent un problème épineux, même pour les organisations les plus matures. La multiplication du nombre de secrets utilisés simultanément dans le cycle de développement fait qu’il est trop facile de s’affranchir du contrôle des bonnes mesures de sécurité et des « fuites ».
Protéger les secrets des applications
Lorsqu’un secret a fui, il n’est plus un secret et est accessible aux systèmes ou aux personnes non autorisés pendant une certaine durée. Les fuites se produisent principalement en interne car les secrets sont copiés et collés dans les fichiers de configuration, les fichiers de code source, les e-mails, les applications de messagerie, etc. Surtout, si un développeur code en dur des secrets dans son code ou ses fichiers de configuration et que le code est poussé vers un référentiel GitHub, ces secrets sont également poussés. Un autre scénario du pire des cas se produit lorsqu’un acteur malveillant parvient à mettre la main sur des informations d’identification divulguées en interne après l’accès initial, comme ce qui s’est passé l’année dernière pour Uber.
L’étude Voice of Practioners montre que le danger des secrets exposés est reconnu par une grande majorité des personnes interrogées. Soixante-quinze pour cent des personnes interrogées ont déclaré qu’une fuite secrète s’était produite dans leur organisation dans le passé, et 60 % ont reconnu qu’elle avait causé de graves problèmes à l’entreprise, aux employés ou aux deux.
Interrogés sur les principaux points de risque au sein de leurs chaînes d’approvisionnement en logiciels, 58 % ont trouvé le « code source et les référentiels » comme principal domaine de risque, avec 53 % pour les « dépendances open source » et 47 % pour les « secrets codés en dur ».
Néanmoins, les réponses indiquent un écart important de maturité. Plus précisément, moins de la moitié des répondants (48 %) sont confiants dans leur capacité à protéger les secrets des applications dans une large mesure :
De plus, plus d’un quart (27 %) des répondants ont admis s’appuyer sur des revues de code manuelles pour prévenir les fuites de secrets, qui sont particulièrement inefficaces pour détecter les secrets codés en dur.
Enfin, l’étude a également révélé que 53 % des cadres supérieurs (tels que les OSC, les RSSI et les vice-présidents de la cybersécurité) pensent que les secrets sont partagés en texte clair via des applications de messagerie.
Malgré les défis, il y a de l’espoir d’amélioration. L’étude a révélé que 94 % des personnes interrogées prévoient d’améliorer leurs pratiques en matière de secrets au cours des 12 à 18 prochains mois, ce qui constitue une étape positive vers une meilleure gestion des secrets et la sécurité de l’entreprise. Cependant, il convient de noter que la détection et la correction des secrets, ainsi que la gestion des secrets, doivent être prioritaires en termes d’investissement par rapport à d’autres outils, tels que les outils de protection de l’exécution. Alors que 38 % des répondants prévoient d’investir dans des outils de protection des applications d’exécution, seuls 26 % et 25 %, respectivement, prévoient d’allouer des fonds à la détection et à la correction des secrets, ainsi qu’à la gestion des secrets.
Un programme complet de gestion des secrets
De plus en plus de secrets sont divulgués chaque année. GitGuardian surveille le nombre annuel de fuites sur la plate-forme de partage de code numéro un, GitHub, et publie les résultats dans son rapport annuel State of Secrets Sprawl. Une fois de plus, les chiffres sont alarmants : de 3 millions de secrets détectés en 2021, le nombre a bondi de 67 % à 10 millions en 2022. Et ce n’est que la pointe de l’iceberg. La plupart des fuites se produisent dans le périmètre de l’entreprise, ce qui rend très difficile l’estimation d’un chiffre global.
Pour faire face à ce risque croissant, les entreprises doivent renforcer en priorité leur gestion des secrets afin de durcir leurs défenses.
Dans une récente interview avec GitGuardian, l’ancien CISO d’Ubisoft, Jason Haddix, a décrit comment l’importance de la gestion des secrets est devenue évidente après que l’entreprise a été ciblée par le gang de piratage Laspsus$ en mars 2022. Après avoir parlé avec 40 autres CISO concernés, il a proposé un plan à quatre axes. programme pour développer un programme complet de gestion des secrets :
- Détecter: être capable de trouver toutes les fuites passées nécessite un outil automatisé et constitue une étape essentielle pour obtenir une visibilité sur la posture de sécurité réelle d’une entreprise.
- Prévenir: gagner du temps pour le futur en prévenant au maximum les fuites, avec des garde-corps sécurisés comme les crochets de pré-commit.
- Répondre: les secrets sont divulgués parce qu’ils doivent être partagés. Il est également essentiel de disposer d’outils pour stocker, partager et faire pivoter ces secrets, ainsi que de contrôles d’accès précis.
- Éduquer: le fait d’avoir des sessions d’apprentissage continues sur les secrets, non seulement pour les développeurs mais pour tous les employés, garantit que les risques associés au codage en dur des secrets et des mots de passe, ainsi que les meilleures pratiques, sont compris.
Conclusion
L’étude Voice of Practitioners souligne l’importance d’une stratégie holistique des secrets dans AppSec et fournit des informations précieuses sur les meilleures pratiques pour réduire les risques associés à la prolifération des secrets. La gestion des secrets ressemble à une dette qui s’accumule avec le temps. Si vous attendez trop longtemps, l’éléphant dans la pièce finira par devenir trop gros pour être ignoré, ce qui exposera votre organisation à de graves conséquences.
Si vous cherchez à améliorer votre programme de gestion des secrets, une simple mesure que vous pouvez prendre dès maintenant est de demander un audit gratuit des fuites de secrets de votre entreprise sur GitHub auprès de GitGuardian. Le rapport automatique que vous recevrez vous indiquera le nombre de développeurs actifs sur GitHub, le nombre de secrets trouvés exposés sur les référentiels de GitHub au fil du temps (catégorisés) et le pourcentage de secrets valides parmi eux.
Cela vous aidera à déterminer avec précision votre périmètre de développeur sur GitHub, à évaluer l’ordre de grandeur du risque auquel votre entreprise est confrontée et à faire le premier pas vers un programme complet de gestion des secrets.
