Secrets dévoilés : pourquoi les RSSI devrait s'inquiéter de Slack ?
Clés d'API, clés privées, combinaisons nom d'utilisateur et mot de passe, etc. Dans le domaine numérique, les secrets sont les clés du royaume.
Dans le domaine numérique, les secrets (clés API, clés privées, combinaisons nom d'utilisateur et mot de passe, etc.) sont les clés du royaume. Mais que se passerait-il si ces clés étaient accidentellement laissées à la vue de tous dans les outils que nous utilisons pour collaborer au quotidien ?
Un seul secret peut faire des ravages
Imaginez ceci : une équipe de développement est plongée dans les sprints, les tickets Jira volent, tandis que Slack bourdonne avec le mélange habituel de mèmes de chats et d'extraits de code. Enfoui dans ce bavardage numérique se trouve une bombe à retardement - des identifiants en clair qui donnent un accès illimité aux joyaux de votre entreprise.
Un peu plus tard, des téraoctets de données clients, y compris des millions de détails de comptes bancaires, ont été exfiltrés. L’entreprise fait la une des journaux, et de nouveaux incidents surgissent chaque jour. Le coupable ? Un secret partagé par inadvertance dans un commentaire Jira.
Ce n'est pas un scénario tiré par les cheveux. C'est arrivé récemment à une entreprise d'analyse de données valorisée à 40 milliards de dollars. Cet événement, comme tant d'autres, nous oblige à repenser notre approche de la gestion des secrets et à étendre notre vigilance au-delà des dépôts de code traditionnels.
Le problème : les secrets sont partout, et ils se multiplient
Soyons francs : les secrets sont comme des pissenlits dans une brise printanière - ils se répandent et prolifèrent plus vite que nous ne pouvons les suivre. Il ne s'agit pas seulement de mots de passe ordinaires ; nous parlons des clés qui permettent à nos systèmes de plus en plus complexes de communiquer en toute sécurité. Clés API, jetons d'accès, clés de chiffrement - ce sont les facilitateurs silencieux de notre écosystème numérique interconnecté.
Selon CyberArk, les identités machine dépassent désormais les identités humaines dans un rapport stupéfiant de 45 contre 1. Pour chaque identité humaine dans une organisation, il y a 45 identités machine, chacune détenant potentiellement son propre ensemble de secrets.
Mais voici où cela devient vraiment intéressant (ou terrifiant) : ces secrets ne se cachent pas seulement dans votre code source. Ils sont éparpillés dans un éventail vertigineux d'outils de collaboration - Slack, Microsoft Teams, Jira, Confluence - et consorts. Ces plateformes, conçues pour stimuler la productivité et favoriser le travail d'équipe, sont devenues par inadvertance la nouvelle frontière des fuites de secrets.
Les outils de collaboration sont une mine d'or pour les attaquants
Dans une analyse récente, il a été observé que :
- Les secrets codés en dur dans le code source sont courants (plus de 12 millions de secrets ont été exposés publiquement sur GitHub en 2023 seulement). Cependant, les collaborateurs d’une entreprise sont encore plus susceptibles de révéler des secrets dans les outils de collaboration.
- Les secrets trouvés dans ces outils étaient souvent différents de ceux du code source, doublant effectivement la surface d'attaque.
- Plus alarmant encore, les secrets exposés dans Slack et Jira étaient, en moyenne, de gravité plus élevée que ceux du code source.
Nous ne parlons pas seulement de clés API de bas niveau ici. Nous parlons de secrets de hautement sensibles qui pourraient potentiellement accorder un large accès à des systèmes critiques.
Avec plus de 65 000 entreprises qui dépendent de Jira Software pour la gestion de projet, et des centaines de milliers d'instances Atlassian Confluence vulnérables risquant un accès à distance, l'ampleur de ce problème est vraiment stupéfiante.
La solution : élargir le périmètre de détection des secrets
Alors, que doit faire une organisation soucieuse de la sécurité ? La réponse est claire : il est temps d'étendre le périmètre de détection des secrets au-delà du code source et dans le domaine des outils de collaboration.
Mais il ne s'agit pas seulement d'élargir le filet. Il s'agit d'être extrêmement rapide dans sa réponse. Dans le monde des fuites de secrets, chaque seconde compte. Le RSSI a besoin de capacités de détection et de remédiation en temps réel qui peuvent suivre le rythme rapide des acteurs de la menace.
Bien qu’une entreprise ne puisse jamais être trop rapide pour être complètement à l'abri de tous les attaquants, une action rapide peut réduire significativement la fenêtre d'exposition.
Cultiver une culture de sensibilisation aux secrets
Bien qu'étendre ses capacités de détection soit une mesure de cyberdéfense critique, il est également important de favoriser une culture de sensibilisation aux secrets au sein d’une organisation. Voici quelques stratégies à considérer :
- Formez continuellement votre équipe sur l'importance de la gestion des secrets et les risques associés au partage d'informations sensibles dans les outils de collaboration.
- Établissez et communiquez des directives claires sur la façon de gérer les secrets dans différents contextes.
- Fournissez des alternatives sécurisées pour partager des informations sensibles lorsque nécessaire, telles que des canaux chiffrés ou des outils dédiés à la gestion des secrets.
- Effectuez des audits réguliers de vos outils de collaboration pour identifier et traiter tous les secrets persistants.
La route à venir : rester en avance
À mesure que les écosystèmes numériques continuent d'évoluer, les défis de la gestion des secrets évolueront également. La clé est de rester vigilant et adaptable. Garder un œil sur les outils de collaboration émergents et être proactif dans l'extension de ses capacités de détection des secrets pour couvrir de nouveaux vecteurs de fuite potentiels fait partie des priorités.
En cybersécurité, ce dont on n’a pas connaissance peut nous nuire. En étendant son périmètre de détection des secrets pour inclure les outils de collaboration, une entreprise ne se contente pas de colmater une fuite – elle renforce sa posture de sécurité.