L'étude, intitulée « Voice of Practitioners : l’état des secrets en sécurité applicative », vise à mettre en lumière les risques posés par la prolifération des secrets et les mesures prises pour les atténuer dans les grandes entreprises.
Réalisée pour le compte de GitGuardian, une plateforme de sécurité du code, cette enquête fournit un éclairage sur les perceptions et les pratiques de 507 décideurs en sécurité et informatique aux États-Unis et au Royaume-Uni., sur la prolifération des secrets et la réduction des risques.
Premier constat, la direction des grandes organisations est parfaitement consciente des risques associés aux secrets codés en dur. La majorité des personnes interrogées considèrent la protection de la supply chain logicielle comme un élément essentiel de la gestion des risques liés aux applications.
Examens de code manuels
Ils sont encore plus nombreux (94 %) à prévoir d'améliorer leurs pratiques de gestion des secrets au cours des 12 à 18 prochains mois. Plus de la moitié a identifié « le code source et les dépôts » comme étant les principaux points de risque au sein de leurs chaînes d'approvisionnement logicielles, 47 % d'entre eux citant spécifiquement les secrets codés en dur.Malgré cette prise de conscience accrue, l'étude met également en évidence d'importantes disparités dans les stratégies de réduction des risques adoptées par l'industrie. Ainsi, moins d’un tiers (27 %) a précisé qu'ils s'appuyaient sur des examens de code manuels, inefficaces, pour se protéger contre les fuites de secrets.
« Dans l'ensemble, l'étude souligne la nécessité pour les organisations d'adopter une approche plus proactive en matière de sécurité, en utilisant des outils et des processus automatisés pour identifier et remédier rapidement et efficacement aux vulnérabilités. En automatisant les processus de triage et d'attribution, les organisations peuvent accélérer leur orchestration de sécurité, améliorer leur posture de sécurité et libérer des ressources précieuses pour se concentrer sur d'autres tâches critiques. » précise Éric Fourrier CEO de GitGuardian.
Référentiels accessibles au public
« Alors que la couverture médiatique des questions de sécurité technologique tend à se concentrer sur les intrusions dans les systèmes de production, les ransomwares et autres incidents impliquant des attaquants externes, la vérité est que l'une des préoccupations les plus pressantes pour la plupart des organisations est la publication involontaire de secrets internes », déclare Stephen O'Grady.« À mesure que le code source est de plus en plus fragmenté et réparti largement dans les organisations et à travers le monde, il est devenu trop courant de voir des certificats, des clés et des mots de passe secrets se retrouver dans des référentiels accessibles au public », note cet analyste principal chez RedMonk.