Gestion des secrets : maturité ne rime pas seulement avec outils.

Cependant, malgré toutes ces dépenses, les problèmes ne font que s'aggraver dans certains domaines, tels que la prolifération des secrets. Les rapports indiquent aujourd'hui que plus de 50 % des cyberattaquants ont réussi à s’infiltrer en exploitant des informations d'identification compromises. Aucune organisation ne souhaite vivre une situation comme celle de Samsung ou de Nvidia, ou répéter l'expérience malheureuse d'Uber.

Quelles actions faut-il alors entreprendre ?  Tout d'abord, il faut reconnaître que les outils de gestion des secrets ne peuvent à eux seuls sauver la situation. 

Un dispositif de protection adéquat ne garantit pas la sécurité

Un système de protection est inutile s' il n’est pas utilisé correctement, négligé ou complètement ignoré.

Une bonne gestion des secrets repose sur trois piliers fondamentaux :

• Les collaborateurs - Ils doivent être tenus au courant des problèmes et correctement formés aux outils et aux processus.
• Processus - Procédures claires et documentées pour la création, le stockage, l'accès et la rotation des secrets.
• Outils - Stockage et gestion des informations d'identification, ainsi que détection et correction des fuites.

Les collaborateurs doivent être formés à l'utilisation des outils et à la résolution des problèmes.

Chaque problème de sécurité comporte une dimension humaine. Si l’équipe n'est pas sensibilisée aux problèmes de sécurité spécifiques qui se posent et à la manière d'exploiter les outils de sécurité disponibles, il est peu probable que la  posture de sécurité s'améliore.

Il y a deux éléments majeurs à garder à l'esprit :

Sensibilisation - Expliquer le problème, ses risques et ce qui peut être fait pour y remédier.

Formation - Comment utiliser les outils spécifiques disponibles pour résoudre le problème.

Ces éléments représentent le "pourquoi" et le "comment", qui sont tous deux nécessaires pour réussir. Expliquer le problème sans présenter de solution ne fait que susciter de l’inquiétude. En énumérant simplement une série de "comment faire" pour un outil sans expliquer le contexte plus large, il est peu probable que l'outil soit utilisé et au bon moment. Il est essentiel que tout le monde soit sur la même longueur d'onde, en particulier entre les différentes équipes de l’organisation.

La sensibilisation des  équipes est au cœur de nombreux programmes de sécurité. L'OWASP a publié un guide gratuit sur les champions sécurité qui peut aider à démarrer, de même pour le guide de Snyk.

Des processus logiques pour des résultats cohérents

L'amélioration de la sécurité repose sur l'établissement et la communication de bonnes procédures. Quelle que soit la tâche, il existe une méthode recommandée et sécurisée pour l'accomplir. Créer des organigrammes peut être un excellent moyen de réfléchir aux processus. En transformant ces graphiques en diagrammes Kanban ou en diagrammes de flux, ils peuvent également constituer une excellente base pour les procédures écrites. Quelle que soit la manière dont les processus sont créés ou conçus, ils ne sont valables que s’ils sont communiqués efficacement, ce qui implique une documentation et une formation de qualité.

La cohérence est essentielle pour tout outil

Bien sûr, il est nécessaire d’avoir des outils pour accomplir quelconque travail, mais les outils doivent être utilisés de manière appropriée et cohérente pour obtenir des résultats fiables. 

Par exemple, les gestionnaires de secrets sont le fondement des stratégies de gestion des secrets. Des technologies telles que Vault de HashiCorp ou Doppler ou des systèmes de coffre-fort basés sur des plateformes comme Azure Key Vault ou AWS Secrets Manager offrent des avantages considérables. Ces avantages ne sont disponibles que lorsqu'une organisation les utilise de manière cohérente. Les développeurs qui ont mis en place leurs propres gestionnaires de secrets, loin de la supervision de l'équipe de sécurité, ou qui s'appuient entièrement sur les fichiers `.env`, s'exposent à des problèmes.

La détection des secrets est tout aussi importante que le stockage. L'exécution d'une analyse ne suffit pas à elle seule. L'exécution d'un plan d'action, une fois qu'un incident est identifié, est vitale.

Les outils, les collaborateurs et les processus déterminent une posture de sécurité

La mise en place d'un bon dispositif de sécurité ne se limite pas seulement à l'acquisition d'outils.

Si la prolifération des secrets reste un défi persistant, la bonne nouvelle est qu'avec une approche holistique, il est possible de s’en sortir.  Une bonne sécurité repose sur trois piliers fondamentaux : les personnes, les processus et les outils. Ces éléments fonctionnent de concert pour renforcer le dispositif de sécurité d'une organisation.