Pendant des années, sécuriser les systèmes d’une entreprise était synonyme de sécuriser son « périmètre ». Il y avait ce qui était sûr « à l’intérieur » et le monde extérieur dangereux. Nous avons construit des pare-feu robustes et déployé des systèmes de détection sophistiqués, convaincus que garder les barbares hors des murs garantissait la sécurité de nos données et de nos systèmes.
Le problème est que nous n’opérons plus dans les limites d’installations physiques sur site et de réseaux contrôlés. Les données et les applications résident désormais dans des environnements cloud et des centres de données distribués, accessibles par les utilisateurs et les appareils connectés depuis n’importe où sur la planète. Les murs se sont effondrés et le périmètre s’est dissous, ouvrant la porte à un nouveau champ de bataille : identité.
L’identité est au centre de ce que l’industrie considère comme la nouvelle référence en matière de sécurité d’entreprise : le « zéro confiance ». Dans ce paradigme, la confiance explicite devient obligatoire pour toute interaction entre les systèmes, et aucune confiance implicite ne doit subsister. Chaque demande d’accès, quelle que soit son origine, doit être authentifiée, autorisée et validée en permanence avant que l’accès ne soit accordé.
La double nature de l’identité
L’identité est un concept large avec une double réalité. D’une part, personnes ont besoin d’accéder à leur courrier électronique et à leur calendrier, et certains (ingénieurs logiciels en particulier) d’un accès privilégié à un serveur ou à une base de données pour effectuer leur travail. L’industrie a perfectionné la gestion de ces identités au cours des 20 dernières années, à mesure que les employés rejoignent l’entreprise, obtiennent des privilèges pour certains systèmes et finissent par quitter l’entreprise.
En revanche, nous avons un autre type d’identité : identités de machines, également référencé comme identités non humaines (NHI)qui représentent la grande majorité de toutes les identités (on estime qu’elles sont plus nombreuses que les identités humaines au moins par un facteur de 45 à 1).
Contrairement à leurs homologues humains, les NHI – qu’il s’agisse de serveurs, d’applications ou de processus – ne sont pas liés aux individus et posent donc un tout autre problème :
- Ils manque de mesures de sécurité traditionnelles car, contrairement aux utilisateurs humains, nous ne pouvons pas simplement appliquer la MFA à un serveur ou à une clé API.
- Ils peut être créé à tout moment par n’importe qui dans l’entreprise (pensez au marketing connectant leur CRM au client de messagerie) avec peu ou pas de supervision. Ils sont dispersés dans une diversité d’outils, ce qui rend leur gestion incroyablement complexe.
- Ils sont extrêmement privilégié et très souvent « obsolètes » : contrairement aux identités humaines, les NHI sont beaucoup plus susceptibles de rester longtemps après avoir été utilisés. Cela crée une situation à haut risque dans laquelle des informations d’identification surprovisionnées avec des autorisations étendues restent même après la fin de leur utilisation prévue.
Tout cela combiné constitue une situation idéale pour les grandes entreprises aux prises avec des environnements cloud tentaculaires et des chaînes d’approvisionnement logicielles complexes. Il n’est pas surprenant que les identités mal gérées… dont la propagation des secrets est un symptôme— sont désormais à l’origine de la plupart des incidents de sécurité affectant les entreprises dans le monde entier.
Le coût élevé de l’inaction : des violations concrètes
Les conséquences de la négligence de la sécurité de NHI ne sont pas théoriques. L’actualité regorge d’exemples de violations très médiatisées où des NHI compromis ont servi de point d’entrée aux attaquants, entraînant des pertes financières importantes, des atteintes à la réputation et une érosion de la confiance des clients. Dropbox, Sisense, Microsoft et le New York Times sont tous des exemples d’entreprises qui ont admis avoir été touchées par un NHI compromis en 2024. seul.
Le pire, peut-être, est que ces incidents ont des effets d’entraînement. En janvier 2024, les systèmes Atlassian internes de Cloudflare ont été piratés parce que les jetons et les comptes de service – en d’autres termes, les NHI – étaient auparavant compromis chez Okta, une plateforme d’identité leader. Ce qui est particulièrement révélateur ici, c’est que Cloudflare a rapidement détecté l’intrusion et a réagi en alternant les informations d’identification suspectes. Cependant, ils ont réalisé plus tard que certains jetons d’accès n’avaient pas été correctement alternés, donnant ainsi aux attaquants une autre chance de compromettre leur infrastructure.
Il ne s’agit pas d’une histoire isolée : 80 % des organisations ont été confrontées à des failles de sécurité liées à l’identité, et l’édition 2024 du DBIR a classé la « compromission de l’identité ou des informations d’identification » comme le vecteur numéro un des cyberattaques.
Devez-vous vous inquiéter ? Si l’on revient sur l’histoire de Cloudflare, l’impact n’est pas encore connu. Cependant, la société a révélé que les efforts de remédiation comprenaient une rotation tous 5 000 références de productionun tri médico-légal approfondi et le redémarrage de tous les systèmes de l’entreprise. Pensez au temps, aux ressources et à la charge financière qu’un tel incident imposerait à votre organisation. Pouvez-vous vous permettre de prendre ce risque ?
S’attaquer aux identités mal gérées, en corrigeant à la fois les expositions actuelles et les risques futurs, est un long voyage. Même s’il n’existe pas de solution miracle, il est possible de s’attaquer à l’un des risques de sécurité les plus importants et les plus complexes de notre époque. Organisations peut atténuer les risques associés aux identités non humaines en combinant des actions immédiates avec des stratégies à moyen et long terme.
Accompagner les clients Fortune 500 dans cette démarche depuis 7 ans, c’est ce qui a fait GitGuardian le leader de l’industrie en matière de sécurité des secrets.
Maîtriser les NHI, en commençant par la sécurité des secrets
Les organisations doivent adopter une approche proactive et globale de la sécurité NHI, en commençant par la sécurité des secrets. Prendre le contrôle des NHI commence par la mise en œuvre de capacités efficaces de sécurité des secrets :
1. Établir une visibilité complète et continue
Tu ne peux pas protéger ce que tu ne connais pas. La sécurité des secrets commence par la surveillance d’un large éventail d’actifs à grande échelle, des référentiels de code source aux systèmes de messagerie et au stockage cloud. Il est crucial d’étendre votre surveillance au-delà des sources internes pour détecter tout secret lié à l’entreprise dans des domaines hautement exposés comme GitHub. Ce n’est qu’alors que les organisations pourront commencer à comprendre l’étendue de leur exposition aux informations sensibles et prendre des mesures pour corriger ces vulnérabilités.
GitGuardian Secret Detection possède le plus grand nombre de détecteurs et la plus large gamme d’actifs surveillés sur le marché, notamment toutes les activités publiques de GitHub au cours des 5 dernières années.
2. Rationalisez la remédiation
La sécurité des secrets n’est pas une tâche ponctuelle mais un processus continu. Il doit être intégré au développement de logiciels et à d’autres flux de travail pour rechercher et corriger (révoquer) les secrets codés en dur et prévenir la cause première des violations. Des capacités de remédiation rapides et efficaces, limitant la fatigue des alertes et rationalisant le processus de remédiation à grande échelle sont essentielles. Cela permet aux organisations de résoudre les problèmes avant que les attaquants ne puissent les exploiter, réduire les risques de manière efficace et mesurable.
La plateforme GitGuardian fait de la remédiation la priorité numéro un. Une gestion unifiée des incidents, des directives de remédiation personnalisées et des informations détaillées sur les incidents permettent aux organisations de lutter contre la menace de prolifération des secrets à grande échelle.
3. Intégration aux systèmes d’identité et de secrets
Analyser le contexte d’une fuite de secret est crucial pour déterminer sa sensibilité et le risque associé. L’intégration avec les systèmes de gestion des identités et des accès (IAM), de gestion des accès privilégiés (PAM) et Secrets Managers offre une vue plus complète de l’empreinte et de l’activité de NHI.
Le partenariat de GitGuardian avec CyberArk Conjur, leader de la gestion des secrets et de la sécurité des identités, est une première dans l’industrie. Ce partenariat apporte sécurité des secrets de bout en bout sur le marché, ouvrant la voie à de nouveaux cas d’utilisation tels que la détection automatisée de l’exposition du public, l’application des politiques de gestion des secrets et la rotation automatisée suite à une fuite.
Changer les mentalités : de la sécurité du périmètre à la sécurité des secrets
La prolifération rapide des identités non humaines a créé un défi de sécurité complexe et souvent négligé. Les mesures de sécurité traditionnelles basées sur le périmètre ne suffisent plus dans les environnements distribués et centrés sur le cloud d’aujourd’hui. Les risques associés à une mauvaise gestion des NHI sont réels et potentiellement dévastateurs, comme en témoignent les violations très médiatisées qui ont entraîné d’importants dommages financiers et de réputation.
Cependant, il y a de l’espoir. En nous concentrant sur la sécurité des secrets et en adoptant une approche globale comprenant une détection robuste, une correction automatisée et une intégration avec les systèmes d’identité, les organisations peuvent réduire considérablement leur surface d’attaque et renforcer leur posture de sécurité globale.
Cela peut paraître intimidant, mais il s’agit d’une évolution nécessaire dans notre approche de la cybersécurité. Il est temps d’agir maintenant – la question est : es-tu prêt à prendre contrôle de la sécurité de vos secrets ? Commencez dès aujourd’hui avec GitGuardian.