Quatre entreprises informatiques et DevOps sur cinq ne savent pas bien gérer leurs secrets, ce qui les rend vulnérables aux attaques, selon un rapport de 1password

Le rythme de distribution des logiciels ne cesse de s'accélérer, grâce à de nouvelles technologies telles que les services cloud, les microservices, l'intégration continue/déploiement continu (CI/CD) et DevOps. Ensemble, ces technologies ont pour effet d'accélérer les cycles de livraison.
Dans la poursuite de ces délais accélérés, les développeurs sont souvent obligés de choisir entre vitesse et sécurité. Ils laissent les secrets de l'infrastructure tels que les jetons d'API, les clés SSH et les certificats privés dans les fichiers de configuration ou à côté du code source pour qu'ils soient facilement accessibles. Bien sûr, plus il est facile pour les développeurs d'accéder à ces informations, plus il est facile pour les attaquants d'y parvenir également.

Une nouvelle étude de 1Password met en lumière la gravité et l'omniprésence du problème. Elle porte sur la manière dont 500 entreprises informatiques et DevOps gèrent les secrets qui alimentent leur infrastructure numérique. Il en ressort que, si les entreprises sont pour la plupart conscientes du problème, peu d'entre elles sont sur le point de le résoudre.

Près de 80 % des entreprises interrogées admettent ne pas bien contrôler leurs secrets, et 52 % des employés des services informatiques et DevOps déclarent que l'explosion des applications cloud a rendu la gestion des secrets plus difficile. En l'absence d'une solution ou d'un cadre de gestion des secrets, les entreprises doivent traiter les secrets de manière désordonnée et ad hoc. Elles consacrent environ 25 minutes par jour à la seule gestion des secrets, pour un coût collectif de 8,5 milliards de dollars par an.

Mais la menace la plus grave est le risque croissant d'une violation. 60 % des entreprises interrogées ont été confrontées à une fuite de données secrètes d'une manière ou d'une autre, et plus de trois travailleurs informatiques et DevOps sur quatre (77 %) ont encore accès aux secrets d'infrastructure de leur ancien employeur. C'est le Far West de la gestion des secrets, et il faudra un changement de mentalité pour corriger le tir.


Etat de la dispersion des secrets

Une entreprise interrogée sur quatre a des secrets stockés dans 10 endroits différents ou plus. Pire encore, 50 % des contributeurs individuels occupant des fonctions informatiques ou DevOps déclarent ne pas savoir dans combien de lieux différents leurs secrets pourraient se trouver, car il y en a trop pour les compter.

Les chiffres peuvent être alarmants, mais les causes sont prévisibles. Les secrets des machines tombent dans un no man's land numérique. L'informatique est traditionnellement chargée de préserver les secrets humains (mots de passe). Le jeton d'API dont les développeurs ont besoin
pour accéder à une base de données ne relève généralement pas de la responsabilité du service informatique.

Et comme nous l'avons vu, les DevOps doivent souvent faire des compromis en matière de sécurité pour gagner en rapidité, si bien qu'ils laissent des secrets dans des endroits facilement accessibles pour eux – et aussi pour les attaquants. En bref, ni l'informatique ni les DevOps ne sont bien positionnés ou correctement incités à protéger les secrets de l'infrastructure.

Et faute d'outils pour gérer correctement les secrets, ils sont obligés de faire face aux problèmes au fur et à mesure qu'ils se présentent et les interruptions s'accumulent.

La baisse de productivité

Environ 66 % des responsables informatiques et DevOps (VP et plus) et 63 % des chefs d'équipe et des managers disent être interrompus au moins quotidiennement pour trouver un secret ou gérer les secrets de leur entreprise. 21 % des travailleurs de l'IT/DevOps déclarent que leur flux de travail est interrompu pour trouver un secret ou gérer les secrets de l'entreprise au moins 4 fois par jour, en moyenne.

Pour beaucoup, c'est le pire moment de leur journée de travail.

30 % des chefs d'équipe et des managers IT/DevOps, 27 % des VP et plus, et 1 IT/DevOps sur 4 (26 %) déclarent que la gestion des secrets est la pire partie de leur journée de travail.

En moyenne, les employés des services informatiques et DevOps passent 25 minutes par jour à gérer des secrets, et ce chiffre est en augmentation. Près des deux tiers (66 %) des responsables informatiques et DevOps déclarent avoir passé plus de temps que jamais à gérer des secrets l'année dernière.

Le temps perdu

39 % des employés de l'informatique et des opérations de développement passent en moyenne 30 minutes ou plus par jour à gérer les secrets d'entreprise. La moitié (51 %) des informaticiens et des développeurs de logiciels déclarent que le temps passé à gérer les secrets a augmenté au cours de l'année écoulée, et pour 10 % d'entre eux, il a plus que doublé. 60 % des employés de start-ups IT/DevOps déclarent que le temps qu'ils consacrent à la gestion des secrets a augmenté au cours de l'année écoulée. Les VP et plus de l'IT/DevOps sont les plus susceptibles d'admettre des retards dans les projets en raison d'une mauvaise gestion des secrets (75%), par rapport aux chefs d'équipe et aux managers (60%), et aux contributeurs individuels (52 %).

Les retards sont également monnaie courante. Environ 61 % des projets sont retardés en raison d'une mauvaise gestion des secrets. Et parmi les organisations IT/DevOps qui signalent un retard de produit ou de fonctionnalité dû à une fuite de secrets, 55 % affirment que ce retard leur a coûté un mois ou plus.

Le problème de contournement

Comme indiqué précédemment, 80 % des organisations informatiques et DevOps admettent ne pas bien gérer les secrets. En d'autres termes, elles sont bien conscientes du problème. Mais en l'absence d'un mécanisme permettant de gérer correctement les secrets, elles sont obligées de recourir à des solutions de contournement non approuvées, ad hoc et risquées.

Comment (ne pas) partager des secrets

Près de la moitié (48 %) des entreprises utilisent un document ou un tableur partagé, avec ou sans accès restreint, pour stocker et gérer les secrets d'entreprise.
59 % des employés des services informatiques et de développement ont utilisé l'e-mail pour partager des secrets d'entreprise avec leurs collègues, suivis par les services de chat (40 %), les documents ou feuilles de calcul partagés (36 %) et les SMS (26 %).

Réutiliser les secrets : tout le monde le fait

Malgré les dangers bien connus de la réutilisation des secrets, les travailleurs n'ont souvent guère le choix. Et, de façon un peu contre-intuitive, les vice-présidents et les personnes de rang supérieur sont deux fois plus susceptibles de dire qu'ils ont réutilisé des secrets.

Nom : 1pass.png Affichages : 1028 Taille : 26,7 Ko

Quel en est le coût ?

Avec la généralisation des gestionnaires de mots de passe d'entreprise et la multiplication des secrets, les attaquants commençaient déjà à se détourner des particuliers pour se concentrer sur les entreprises. Pendant longtemps, cibler l'entreprise représentait trop d'efforts pour trop peu de chances d'obtenir des résultats.

Mais une mauvaise gestion des secrets permet aux attaquants de trouver plus facilement leur chemin. Et une fois qu'ils y sont parvenus, les gains sont plus importants que jamais. Les organisations qui ont subi des fuites de secrets ayant entraîné des dommages financiers ont perdu, en moyenne, 1,2 million de dollars de revenus.

Le fossé financier de la gestion des secrets

Les entreprises qui ont subi une fuite de secrets entraînant un préjudice financier ont perdu en moyenne 1,2 million de dollars.

Les organisations perdent 8,5 milliards de dollars par an à cause des travailleurs qui gèrent des secrets.

Les dommages ne se limitent cependant pas à l'impact direct sur les revenus. En plus du coût immédiat, 40 % des entreprises interrogées ont indiqué que l'atteinte à la réputation de la marque comme le deuxième coût le plus important d'une violation. Beaucoup perdent des pans entiers de leur activité, 32 % de celles qui ont perdu des clients en raison d'une fuite de données secrètes ont perdu plus de 15 % de leur clientèle globale. 15 % de leur clientèle globale.

Peut-être plus important encore, les brèches peuvent compromettre vos clients et vos employés. Lorsqu'un attaquant accède à votre infrastructure, il est souvent amené à trouver des mots de passe que les clients et les employés ont réutilisés. Si un attaquant accède à un compte, il accède également à tout autre compte où ce mot de passe a été utilisé.

Maîtriser l'étalement des secrets grâce à une culture de la sécurité

Une bonne sécurité ne se résume pas à la technologie utilisée. C'est aussi – et même surtout – une question de personnes. En effet, la technologie la plus sûre du monde a peu d'impact si les gens ne l'utilisent pas. Environ 70 % des travailleurs américains pensent qu'il incombe uniquement à l'entreprise de veiller à ce que les comptes professionnels ne soient pas piratés ou violés, ce qui complique d'autant plus la tâche du service informatique.

Pour créer un système de sécurité, il faut que tout le monde, de la direction à chaque employé, comprenne que la sécurité de votre entreprise dépend de son maillon le plus faible :

Construire une culture de la sécurité


  • Consacrez une planification et des ressources suffisantes, notamment du matériel pédagogique et des politiques officielles en matière de mots de passe.
  • Organisez un lancement officiel, avec un événement de lancement officiel, pour montrer aux employés que l'entreprise prend la sécurité au sérieux.
  • Formez régulièrement les employés nouveaux et existants.
  • Récompensez les employés pour leur implication et renforcez les meilleures pratiques.
  • Réexaminez régulièrement les politiques et les technologies. Le paysage des menaces est en constante évolution, et la culture de la sécurité doit évoluer avec lui.


La dernière pièce du puzzle : la gestion des secrets humains et machines en une seule plateforme

1Password permet aux employés de générer et de gérer facilement des mots de passe forts et sécurisés pour tout site Web ou service.

Source : 1password

Et vous ?

Que pensez-vous de cette étude ? La trouvez-vous pertinente ?
Qu'en est-il au sein de votre entreprise ?