Pourquoi les informations d'identification exposées continuent-elles de passer entre les mailles du filet ?

Les informations d’identification exposées restent valables longtemps après leur détection, ce qui crée un risque permanent.

Détecter les informations d’identification exposées est facile. Les corriger ? Pas tant que ça.

Trop d’entreprises s’arrêtent à la détection, comme si le problème s’arrêtait là. Mais d’après le rapport State of Secrets Sprawl 2025 de GitGuardian, il est désormais clairement établi que les informations d’identification exposées, une fois découvertes, ne disparaissent pas. Ces secrets, clés d’API, jetons d’accès, identifiants de base de données, restent vivants et exploitables bien au-delà du moment où ils ont été identifiés. Ce n’est pas de la théorie. Les recherches montrent qu’un pourcentage important des informations d’identification exposées dès 2022 restent valables aujourd’hui. Cela signifie qu’elles ont été découvertes il y a des années et qu’elles n’ont toujours pas été révoquées.

C’est un problème. Parce que risque de sécurité ne reste pas inactif. Chaque minute où ces informations d’identification restent valides, la surface d’attaque s’agrandit. Vous donnez aux attaquants les clés pour entrer, accéder à vos systèmes, extraire vos données et causer des dommages dont vous ne vous rendrez compte que trop tard.

La détection ne suffit pas. C’est l’exécution qui compte. Si vous ne traitez pas les secrets exposés avec rapidité et certitude, vous laissez des portes ouvertes dans l’ensemble de votre système.

Il ne s’agit pas d’un problème technique de niche. Il s’étend à tous les secteurs d’activité, à tous les systèmes et à toutes les équipes. Pour toute organisation fonctionnant dans un environnement cloud, construisant des logiciels ou traitant des données clients, l’exposition persistante des informations d’identification constitue un risque opérationnel. Ce qu’il faut retenir : agissez immédiatement dès qu’une exposition est découverte. Ne rien faire n’est pas seulement un retard, c’est une vulnérabilité.

Les organisations ont du mal à remédier à la situation en raison d’angles morts et d’un manque de ressources.

La plupart des équipes n’ignorent pas les fuites d’informations d’identification parce qu’elles s’en moquent. Elles les ignorent parce qu’elles ne peuvent pas suivre.

Il existe deux défis majeurs : la visibilité et l’exécution. Tout d’abord, de nombreuses organisations ne savent toujours pas quand leurs informations d’identification sont exposées. Leurs outils ne le font pas apparaître. Leur personnel ne le voit pas. Et lorsque le problème est découvert, peut-être à la suite d’une analyse de routine ou, pire, d’une intrusion, les dégâts peuvent déjà être en cours.

Deuxièmement, même lorsque l’exposition est confirmée, il n’est pas simple d’y remédier. Les secrets sont intégrés dans les bases de code des différents services, équipes, systèmes et environnements. La rotation des secrets, c’est-à-dire le remplacement d’un identifiant compromis par un nouveau, nécessite une coordination. Vous devez mettre à jour l’infrastructure, redéployer les services et prendre en compte toutes les dépendances. Dans de nombreux cas, vous touchez aux systèmes de production. Cela introduit un risque, c’est pourquoi les équipes tardent à agir.

Les dirigeants s’intéressent d’abord aux risques importants. Si le secret ne semble pas présenter un risque élevé, ou s’il ne déclenche pas d’alertes de la part d’auditeurs externes, il peut être complètement ignoré. Les petites équipes ou les services de sécurité surchargés n’ont tout simplement pas le temps ou le personnel nécessaire pour traquer manuellement chaque fuite d’informations d’identification. Ce n’est pas l’idéal, mais c’est la situation dans laquelle vivent la plupart des entreprises.

L « élément critique ici est l’exécution sous pression. Les systèmes existants ne prennent pas en charge les pratiques de sécurité modernes. Les identifiants codés en dur existent parce que c » était le moyen le plus rapide de mettre en place une fonctionnalité ou d’exécuter un service. Mais les décisions rapides prises il y a deux ans nuisent aujourd’hui à la sécurité.

Si vous voulez résoudre le problème à la base, réparez le système. Ajoutez l’automatisation. Déployez des gestionnaires d’informations d’identification. Appliquez des clés à courte durée de vie. Il ne s’agit pas d’une question de coût, mais d’un changement de priorité. Concentrez-vous sur une remédiation rapide ou acceptez le risque que les informations d’identification exposées continuent à fonctionner sous votre nez. Dans l’environnement actuel, ce n’est pas un pari qui vaut la peine d’être fait.

Les systèmes de production restent menacés

La plupart des secrets dévoilés ne sont pas destinés à des environnements de test. Ils donnent un accès direct aux systèmes de production. Cela devrait préoccuper tous les dirigeants.

Nous parlons ici de véritables identifiants, de connexions à des bases de données, de jetons d’API et de clés d’accès au cloud, intégrés dans le code des applications, puis publiés dans des référentiels publics tels que GitHub. Une fois exposées, ces informations d’identification peuvent permettre aux attaquants de se déplacer dans l’infrastructure du cloud, de lire les enregistrements des clients, d’écrire dans les services de production ou de déclencher des vulnérabilités du système que les contrôles de sécurité traditionnels ne parviendront pas à détecter.

Il ne s’agit pas de spéculations. GitGuardian a analysé les fuites de 2022 à 2024 et a trouvé des expositions persistantes pour MongoDB, AWS, Google Cloud, Tencent Cloud, MySQL et PostgreSQL. Tous ces services sont essentiels. Il ne s’agit pas de systèmes en bac à sable, ils sont connectés à des données clients réelles et à des fonctions opérationnelles.

Le point essentiel est que même après que ces informations d’identification ont été exposées publiquement, elles sont restées actives. Cela signifie que les entreprises ne les ont pas vues, ou les ont vues et n’ont pas, ou n’ont pas pu, prendre des mesures. Dans les deux cas, les attaquants ont plus de temps pour les exploiter.

Pour les décideurs, c’est là que la posture de sécurité passe de la théorie à la continuité de l’activité. Lorsque des informations d’identification restent exposées, vous ne sécurisez pas votre produit, vous mettez en péril l’ensemble de vos opérations. Concentrez-vous sur l’hygiène de l’infrastructure. Surveillez les dépôts. Cryptez les secrets. Auditez les accès. Le coût de l’ignorance des informations d’identification de niveau production après exposition n’est pas seulement technique. Il est également d’ordre financier et réputationnel.

Les expositions aux informations d’identification dans le cloud augmentent, tandis que les expositions aux informations d’identification dans les bases de données s’améliorent.

La tendance est claire : les références exposées au cloud se développent rapidement.

De 2023 à 2024, la part des secrets cloud exposés encore actifs a bondi d’un peu moins de 10 % à près de 16 %, selon le rapport 2025 de GitGuardian. Il s’agit d’une forte augmentation, qui reflète l’adoption croissante du cloud dans tous les secteurs d’activité. Plus de services, plus de machines, plus de personnes y accédant, ce qui signifie également plus de secrets laissés dans les systèmes de contrôle de version ou partagés à travers des pipelines déconnectés.

En comparaison, l’exposition aux données d’identification des bases de données est en baisse. Elles sont passées de plus de 13 % à moins de 7 % au cours de la même période. Il y a là un progrès, probablement dû à l’utilisation accrue de bases de données gérées et à de meilleurs contrôles d’accès à l’infrastructure traditionnelle. Les entreprises ont appris à leurs dépens ce qui se passe lorsque la sécurité des bases de données est défaillante.

Mais le passage au cloud ajoute une nouvelle pression. Les identifiants cloud se connectent souvent à plus d’un service. Une clé mal configurée peut conduire à un accès interrégional ou à l’exposition non désirée d’API et de stockage internes. Et la nature des systèmes cloud, éphémères, distribués, en évolution rapide, rend le suivi et la rotation des secrets plus difficiles.

Les dirigeants doivent lire le signal. L’amélioration de la sécurité des bases de données montre que les entreprises peuvent s’adapter et améliorer l’hygiène des informations d’identification si elles s’y attachent. Mais le pic d’exposition au cloud signifie qu’un nouveau niveau de risque est en train d’émerger. Évitez de traiter les secrets du cloud comme des détails jetables. Ce sont des points d’accès à votre entreprise. Donnez la priorité à la gouvernance automatisée, introduisez des politiques de rotation des secrets pour les clés du cloud et surveillez de près votre modèle d’identité dans le cloud.

Attendre pour réagir n’est pas une stratégie viable dans ce cas. Les données indiquent que les violations sont déjà en cours, par le biais d’informations d’identification exposées, personne ne s’est retiré. Agissez dès maintenant.

La gestion automatisée des secrets et les informations d’identification à durée de vie limitée sont inestimables.

Si vous utilisez encore des informations d’identification à longue durée de vie ou des secrets codés en dur, vous êtes à la traîne par rapport à la norme opérationnelle.

Aujourd’hui, la gestion des secrets doit être rapide, dynamique et automatisée. Les processus manuels ne sont pas évolutifs. Attendre que quelqu’un révoque un identifiant ayant fait l’objet d’une fuite, en délivre un autre, mette à jour les services, déploie des changements, ce n’est plus viable. Cela laisse trop de temps, trop de place à l’erreur humaine et trop d’exposition.

La solution est claire : des gestionnaires de secrets centralisés, des identifiants de courte durée et une rotation automatisée. Il ne s’agit pas de fonctionnalités supplémentaires. Il s’agit d’une infrastructure de base. La rotation des informations d’identification MongoDB se fait automatiquement via l’API. Vous révoquez immédiatement les clés Google Cloud exposées et remplacez les clés statiques par des comptes d’identité de charge de travail, d’usurpation d’identité ou de service attaché. Et pour AWS, vous éliminez complètement les clés d’accès IAM à longue durée de vie, en utilisant des rôles et des jetons de session temporaires via AWS STS ou IAM Roles Anywhere.

Il s’agit de solutions pratiques, déployées et largement disponibles chez les fournisseurs de services. Si vous ne les appliquez pas, vous acceptez des risques inutiles. L’automatisation permet de remédier aux menaces en quelques secondes, et non en plusieurs semaines. Elle élimine les conjectures et la dépendance à l’égard des tickets et des examens.

C’est là que l’attention des cadres fait la différence. Construisez les pipelines. Financez l’outillage. Poussez l’équipe de sécurité à adopter des identifiants de courte durée pour tous les services. En effet, plus vous vous reposez sur des méthodes manuelles, plus les vulnérabilités s’accumulent dans les couches de l’infrastructure que vous ne voyez pas tous les jours.

La fenêtre d’exposition s’allonge, le changement systémique n’est plus facultatif

Les données de GitGuardian mettent en évidence une chose : les informations d’identification exposées sont de plus en plus difficiles à éliminer.

Entre 2022 et 2024, le nombre de secrets trouvés dans des dépôts publics qui sont restés valides longtemps après leur découverte a augmenté. Il ne s’agit pas d’un changement temporaire. Malgré une plus grande sensibilisation, davantage d’outils et d’alertes, la remédiation est à la traîne par rapport à l’exposition. Les organisations identifient les faiblesses, mais ne les comblent pas assez rapidement. Et chaque exposition s’ajoute à la suivante.

C’est l’effet cumulatif d’une automatisation insuffisante, d’un retard opérationnel et d’une prise de décision à court terme. Les entreprises résolvent les risques de manière réactive, juste assez pour passer les audits ou fermer un ticket. Ce n’est pas viable avec une infrastructure moderne. Vos systèmes fonctionnent 24 heures sur 24, 7 jours sur 7. Les attaquants aussi. La gestion des justificatifs d’identité doit suivre ce rythme.

La solution passe par un changement institutionnel. Une réflexion à plus long terme. Les secrets ne devraient pas être codés. Ils ne devraient pas persister au-delà de leur utilisation. Et ils ne devraient pas attendre une crise pour être révoqués. Les organisations d’ingénierie qui fonctionnent bien sont en train de passer à des architectures conçues pour limiter la durée de vie des secrets et leur fenêtre d’exposition.

Si vous souhaitez réduire votre surface d’attaque, concentrez-vous sur ce point. Intégrez la rotation des secrets dans le processus CI/CD. Automatisez la révocation après exposition. Réduisez le délai de réponse de plusieurs jours à quelques minutes. Une fois que cela devient un comportement par défaut, la tendance de l’exposition s’inverse.

La sécurité n’est pas statique, elle est systémique. Les institutions qui s’adaptent maintenant préviendront la plupart des violations de demain avant qu’elles ne commencent. C’est l’effet de levier qui résulte de l’intégration d’une résilience à long terme dans vos systèmes.

Faits marquants

Les informations d’identification exposées restent actives longtemps après leur détection : Les organisations doivent aller au-delà de la détection et se concentrer sur une remédiation rapide, car des secrets valides datant de plusieurs années permettent toujours d’accéder directement à des systèmes actifs.
Les lacunes opérationnelles retardent la remédiation : Les dirigeants doivent combler les lacunes en matière de visibilité et de bande passante en investissant dans l’automatisation et la coordination entre les équipes afin d’éviter que les informations d’identification exposées ne restent en suspens.
Les environnements de production sont les plus à risque : Les informations d’identification divulguées dans les référentiels publics appartiennent souvent à des systèmes réels, et non à des environnements de test, ce qui nécessite l’application immédiate d’une politique d’hygiène des informations d’identification et de contrôle d’accès.
Les secrets du cloud sont en plein essor tandis que l’exposition aux bases de données diminue : Les dirigeants devraient réaffecter leurs efforts de sécurité à la gestion des informations d’identification dans le cloud, car leur exposition augmente considérablement en raison de l’adoption accrue du cloud.
Les identifiants éphémères et l’automatisation ne sont plus facultatifs : La direction doit imposer l’adoption de gestionnaires secrets et d’identifiants éphémères au sein des équipes afin de réduire l’erreur humaine et les fenêtres d’exposition.
Les fenêtres d’exposition s’allongent, au lieu de se raccourcir : les organisations ont besoin d’un changement systémique dans la manière dont les secrets sont traités, en intégrant la rotation, la révocation et la validation dans les flux de travail quotidiens de l’ingénierie afin de rester en avance sur l’évolution des menaces.

Alexander Procter

juin 6, 2025

13 Min

Stratégies et transformation
Préparer votre cloud avant que la crise n’éclate
Juin 13, 2025
12 min
Stratégies et transformation
L’IA générative ne fonctionne pas sans ces bases
Juin 13, 2025
14 min
Stratégies et transformation
Générer rapidement des user stories efficaces avec l’IA
Juin 13, 2025
12 min

Pourquoi les informations d’identification exposées continuent-elles de passer entre les mailles du filet ?

Les informations d’identification exposées restent valables longtemps après leur détection, ce qui crée un risque permanent.

Les organisations ont du mal à remédier à la situation en raison d’angles morts et d’un manque de ressources.

Les systèmes de production restent menacés

Les expositions aux informations d’identification dans le cloud augmentent, tandis que les expositions aux informations d’identification dans les bases de données s’améliorent.

La gestion automatisée des secrets et les informations d’identification à durée de vie limitée sont inestimables.

La fenêtre d’exposition s’allonge, le changement systémique n’est plus facultatif

Faits marquants

Préparer votre cloud avant que la crise n’éclate

L’IA générative ne fonctionne pas sans ces bases

Générer rapidement des user stories efficaces avec l’IA

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !