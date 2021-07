Le rythme de distribution des logiciels ne cesse de s'accélérer, grâce à de nouvelles technologies telles que les services cloud, les microservices, l'intégration continue/déploiement continu (CI/CD) et DevOps. Ensemble, ces technologies ont pour effet d'accélérer les cycles de livraison.Dans la poursuite de ces délais accélérés, les développeurs sont souvent obligés de choisir entre vitesse et sécurité. Ils laissent les secrets de l'infrastructure tels que les jetons d'API, les clés SSH et les certificats privés dans les fichiers de configuration ou à côté du code source pour qu'ils soient facilement accessibles. Bien sûr, plus il est facile pour les développeurs d'accéder à ces informations, plus il est facile pour les attaquants d'y parvenir également.Une nouvelle étude de 1Password* met en lumière la gravité et l'omniprésence du problème. Elle porte sur la manière dont 500 entreprises informatiques et DevOps gèrent les secrets qui alimentent leur infrastructure numérique. Il en ressort que, si les entreprises sont pour la plupart conscientes du problème, peu d'entre elles sont sur le point de le résoudre.Près de 80 % des entreprises interrogées admettent ne pas bien contrôler leurs secrets, et 52 % des employés des services informatiques et DevOps déclarent que l'explosion des applications cloud a rendu la gestion des secrets plus difficile. En l'absence d'une solution ou d'un cadre de gestion des secrets, les entreprises doivent traiter les secrets de manière désordonnée et ad hoc. Elles consacrent environ 25 minutes par jour à la seule gestion des secrets, pour un coût collectif de 8,5 milliards de dollars par an.Mais la menace la plus grave est le risque croissant d'une violation. 60 % des entreprises interrogées ont été confrontées à une fuite de données secrètes d'une manière ou d'une autre, et plus de trois travailleurs informatiques et DevOps sur quatre ont encore accès aux secrets d'infrastructure de leur ancien employeur. C'est le Far West de la gestion des secrets, et il faudra un changement de mentalité pour corriger le tir.Une entreprise interrogée sur quatre a des secrets stockés dans 10 endroits différents ou plus. Pire encore, 50 % des contributeurs individuels occupant des fonctions informatiques ou DevOps déclarent ne pas savoir dans combien de lieux différents leurs secrets pourraient se trouver, car il y en a trop pour les compter.Les chiffres peuvent être alarmants, mais les causes sont prévisibles. Les secrets des machines tombent dans un no man's land numérique. L'informatique est traditionnellement chargée de préserver les secrets humains (mots de passe). Le jeton d'API dont les développeurs ont besoinpour accéder à une base de données ne relève généralement pas de la responsabilité du service informatique.Et comme nous l'avons vu, les DevOps doivent souvent faire des compromis en matière de sécurité pour gagner en rapidité, si bien qu'ils laissent des secrets dans des endroits facilement accessibles pour eux - et aussi pour les attaquants. En bref, ni l'informatique ni les DevOps ne sont bien positionnés ou correctement incités à protéger les secrets de l'infrastructure.Et faute d'outils pour gérer correctement les secrets, ils sont obligés de faire face aux problèmes au fur et à mesure qu'ils se présentent et les interruptions s'accumulent.Environ 66 % des responsables informatiques et DevOps (VP et plus) et 63 % des chefs d'équipe et des managers disent être interrompus au moins quotidiennement pour trouver un secret ou gérer les secrets de leur entreprise. 21 % des travailleurs de l'IT/DevOps déclarent que leur flux de travail est interrompu pour trouver un secret ou gérer les secrets de l'entreprise au moins 4 fois par jour, en moyenne.Pour beaucoup, c'est le pire moment de leur journée de travail.En moyenne, les employés des services informatiques et DevOps passent 25 minutes par jour à gérer des secrets, et ce chiffre est en augmentation. Près des deux tiers (66 %) des responsables informatiques et DevOps déclarent avoir passé plus de temps que jamais à gérer des secrets l'année dernière.Les retards sont également monnaie courante. Environ 61 % des projets sont retardés en raison d'une mauvaise gestion des secrets. Et parmi les organisations IT/DevOps qui signalent un retard de produit ou de fonctionnalité dû à une fuite de secrets, 55 % affirment que ce retard leur a coûté un mois ou plus.Comme indiqué précédemment, 80 % des organisations informatiques et DevOps admettent ne pas bien gérer les secrets. En d'autres termes, elles sont bien conscientes du problème. Mais en l'absence d'un mécanisme permettant de gérer correctement les secrets, elles sont obligées de recourir à des solutions de contournement non approuvées, ad hoc et risquées.Malgré les dangers bien connus de la réutilisation des secrets, les travailleurs n'ont souvent guère le choix. Et, de façon un peu contre-intuitive, les vice-présidents et les personnes de rang supérieur sont deux fois plus susceptibles de dire qu'ils ont réutilisé des secrets.Avec la généralisation des gestionnaires de mots de passe d'entreprise et la multiplication des secrets, les attaquants commençaient déjà à se détourner des particuliers pour se concentrer sur les entreprises. Pendant longtemps, cibler l'entreprise représentait trop d'efforts pour trop peu de chances d'obtenir des résultats.Mais une mauvaise gestion des secrets permet aux attaquants de trouver plus facilement leur chemin. Et une fois qu'ils y sont parvenus, les gains sont plus importants que jamais. Les organisations qui ont subi des fuites de secrets ayant entraîné des dommages financiers ont perdu, en moyenne, 1,2 million de dollars de revenus.Les dommages ne se limitent cependant pas à l'impact direct sur les revenus. En plus du coût immédiat, 40 % des entreprises interrogées ont indiqué que l'atteinte à la réputation de la marque comme le deuxième coût le plus important d'une violation. Beaucoup perdent des pans entiers de leur activité, 32 % de celles qui ont perdu des clients en raison d'une fuite de données secrètes ont perdu plus de 15 % de leur clientèle globale. 15 % de leur clientèle globale.Peut-être plus important encore, les brèches peuvent compromettre vos clients et vos employés. Lorsqu'un attaquant accède à votre infrastructure, il est souvent amené à souvent des mots de passe que les clients et les employés ont réutilisés. un attaquant accède à un compte, il accède également à tout autre compte où ce mot de passe a été utilisé. compte où ce mot de passe a été utilisé.Une bonne sécurité ne se résume pas à la technologie utilisée. C'est aussi - et même surtout - une question de personnes. En effet, la technologie la plus sûre du monde a peu d'impact si les gens ne l'utilisent pas. Environ 70 % des travailleurs américains pensent qu'il incombe uniquement à l'entreprise de veiller à ce que les comptes professionnels ne soient pas piratés ou violés, ce qui complique d'autant plus la tâche du service informatique.Pour créer un système de sécurité, il faut que tout le monde, de la direction à chaque employé, comprenne que la sécurité de votre entreprise dépend de son maillon le plus faible :1Password permet aux employés de générer et de gérer facilement des mots de passe forts et sécurisés pour tout site Web ou service.Source : 1password Que pensez-vous de cette étude ? La trouvez-vous pertinente ?Qu'en est-il au sein de votre entreprise ?