Qu'est-ce que la gestion des secrets ?
- Glossaire IAM
- Qu'est-ce que la gestion des secrets ?
La gestion des secrets est le processus d'organisation, de gestion et de sécurisation des secrets d'infrastructure informatique. Elle permet aux entreprises de stocker, de transmettre et d'auditer en toute sécurité les secrets. La gestion des secrets protège les secrets des accès non autorisés et veille à ce que les systèmes d'une entreprise fonctionnent correctement. Un gestionnaire de secrets est un système de stockage sécurisé et une source unique de vérité pour les identifiants privilégiés, les clés d'API et d'autres informations hautement sensibles utilisées dans les infrastructures informatiques.
Continuez à lire pour en savoir plus sur la gestion des secrets et sur ce que vous pouvez faire pour protéger l'environnement de données de votre entreprise.
Qu'est-ce qu'un secret ?
Dans un environnement de données informatiques, les secrets sont des identifiants privilégiés non humains, le plus souvent utilisés par les systèmes et les applications pour l'authentification ou comme entrées d'un algorithme cryptographique. Les secrets permettent aux applications et aux systèmes de transmettre des données et de demander des services les uns avec les autres. Ils déverrouillent des applications, des services et des ressources informatiques renfermant des informations hautement sensibles et des systèmes privilégiés.
Voici les types de secrets les plus courants :
- Identifiants de connexion non humains
- Chaînes de connexion à la base de données
- Clés cryptographiques
- Identifiants d'accès au service cloud
- Clés d'interface de programmation d'application (API)
- Jetons d'accès
- Clés SSH (Secure Shell)
Pourquoi la gestion des secrets est-elle importante ?
La gestion des secrets est une bonne pratique de cybersécurité pour appliquer de manière constante des politiques de sécurité cohérentes pour des identifiants d'authentification non humains, en veillant à ce que seules les entités authentifiées et autorisées puissent accéder aux ressources renformant des données privées, des applications et des systèmes hautement sensibles. Avec un outil de gestion des secrets, les entreprises ont une visibilité sur l'emplacement des secrets, qui peut y accéder et comment ils sont utilisés.
À mesure que les entreprises se développent, les équipes informatiques et DevOps font face à un problème appelé « secrets sprawl ». Cela se produit lorsqu'une entreprise a trop de secrets à gérer et ce que ces secrets deviennent dispersés dans toute l'entreprise et stockés dans des endroits non sécurisés avec des méthodes non sécurisées. Sans politique ou outil de gestion des secrets centralisés, chaque équipe d'une entreprise gère ses secrets de manière indépendante, ce qui peut entraîner des secrets mal gérés. Pendant ce temps, les administrateurs informatiques manquent de visibilité, de vérifiabilité et de contrôle centralisés sur le stockage et l'utilisation de ces secrets.
Meilleures pratiques de gestion des secrets
Parce que les secrets sont trop nombreux, les clés SSH peuvent se compter par milliers pour certaines organisations. L'utilisation d'une solution de gestion de secrets comme Keeper Secrets Manager® est essentielle. L'utilisation d'un outil de gestion des secrets garantit que les secrets sont stockés dans un seul endroit chiffré, ce qui permet aux entreprises de suivre, d'accéder, de gérer et d'auditer facilement leurs secrets.
Cependant, un outil technique ne peut que faire autant ! En plus de mettre en œuvre un gestionnaire de secrets, les entreprises doivent également suivre les meilleures pratiques de gestion des secrets.
Gérer les privilèges et les utilisateurs autorisés
Après avoir centralisé et sécurisé vos secrets avec une solution de gestion des secrets, la prochaine étape est de s'assurer que seuls les personnes et les systèmes autorisés peuvent y accéder. Cela se fait grâce au contrôle d'accès à base de rôles (RBAC). Le contrôle d'accès à base de rôles définit les rôles et les autorisations en fonction de la fonction de travail d'un utilisateur au sein de l'entreprise pour restreindre l'accès au système aux utilisateurs autorisés. Le contrôle d'accès à base de rôles empêche les utilisateurs non autorisés d'accéder aux secrets.
Les entreprises doivent également gérer les privilèges de ces secrets en raison de leur accès à des données hautement sensibles. Si les privilèges sont mal gérés, les entreprises sont susceptibles d'être utilisées à des fins malveillantes sous la forme de menaces internes et de mouvement latéral de la part des cybercriminels au sein de leur réseau. Ils doivent mettre en œuvre l'accès de moindre privilège, une notion de cybersécurité qui accorde aux utilisateurs et aux systèmes juste assez d'accès aux ressources sensibles pour faire leur travail, et pas plus. La meilleure façon de gérer les privilèges et de mettre en œuvre l'accès au moindre privilège est d'utiliser un outil de gestion des accès privilégiés (PAM).
Rotation des secrets
De nombreuses entreprises utilisent des secrets statiques qui permettent à un trop grand nombre d'utilisateurs d'y accéder au fil du temps. Pour éviter que les secrets ne soient compromis et mal utilisés, les entreprises doivent régulièrement faire pivoter les secrets selon un calendrier prédéterminé pout limiter leur durée de vie. La rotation des secrets limite la durée pendant laquelle un utilisateur a accès aux secrets, ce qui lui donne juste assez d'accès pour faire son travail. Elle empêche les secrets de fuir accidentellement en raison d'utilisateurs négligents ou malveillants. Les entreprises doivent également protéger les secrets avec des mots de passe forts et uniques et une authentification multifacteur.
Distinguez les secrets des identifiants
Les entreprises doivent rassembler tous les secrets de leur entreprise pour s'assurer qu'elles sont à l'abri des accès non autorisés. Cependant, les entreprises doivent faire la différence entre les secrets et les identifiants lorsqu'elles collectent des secrets.
Un identifiant est la façon dont un système de gestion des identités et des accès (IAM) ou une autre entité se réfère à une identité numérique. Les noms d'utilisateur et les adresses e-mail sont des exemples courants d'identifiants. Les identifiants sont souvent partagés librement au sein d'une entreprise et même à l'extérieur d'elle. Ils sont utilisés pour accorder un accès général aux ressources et aux systèmes de l'entreprise.
Les secrets, à l'inverse, sont hautement secrets. Si un secret est compromis, les acteurs malveillants peuvent l'utiliser pour accéder à des systèmes hautement privilégiés, et l'entreprise pourrait subir des dommages majeurs, voire catastrophiques. Les secrets doivent être strictement surveillés et commandés pour empêcher l'accès non autorisé aux données et aux systèmes sensibles.