À propos de l’évaluation des risques liés aux secrets

Découvrez pourquoi il est si important de comprendre l’exposition de votre organisation aux fuites de données et comment le rapport secret risk assessment offre une vue d’ensemble de l’empreinte des fuites de secrets de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Secret risk assessment est disponible gratuitement dans les organisations sur GitHub Team et GitHub Enterprise
Découvrez comment exécuter une évaluation gratuite des risques liés aux secrets

Dans cet article

À propos de l’exposition aux fuites de secrets

Il est essentiel d’évaluer votre exposition aux fuites de secrets si vous voulez éviter :

Exploitation par des acteurs malveillants. Des acteurs malveillants peuvent se servir de fuites de secrets tels que des clés API, des mots de passe et des jetons pour accéder sans autorisation à des systèmes, des bases de données et des informations sensibles. Les fuites de secrets peuvent entraîner des violations de données, compromettre les données des utilisateurs et causer des dommages financiers et réputationnels importants.
Problèmes réglementaires. De nombreux secteurs d’activité sont soumis à des exigences réglementaires strictes en matière de protection des données. Toute fuite de secrets peut entraîner une non-conformité à la réglementation et, par conséquent, des sanctions juridiques et des amendes.
Interruptions de service. Un accès non autorisé aux systèmes peut entraîner des interruptions de service, affectant la disponibilité et la fiabilité des services fournis aux utilisateurs.
Perte de confiance. Les clients attendent des mesures de sécurité robustes pour protéger leurs données, et l’exposition à des fuites de secrets peut nuire à la confiance qu’ils accordent à votre organisation pour protéger leurs informations.
Retombées coûteuses. Faire face aux retombées suite à des fuites de secrets peut être coûteux, impliquant des efforts de réponse aux incidents, des audits de sécurité et une indemnisation potentielle des parties concernées.

L’évaluation régulière de votre exposition aux fuites de secrets est une bonne pratique qui permet d’identifier les vulnérabilités, de mettre en œuvre les mesures de sécurité nécessaires et de garantir que tout secret compromis est rapidement remplacé et invalidé. Consultez des exemples sectoriels et une analyse approfondie dans Comprendre l’exposition de votre organisation aux fuites de secrets dans GitHub Executive Insights.

À propos de secret risk assessment

Conseil

Ce rapport est uniquement disponible si vous êtes sur le plan GitHub Team. Pour plus d’informations sur le plan et la mise à niveau, consultez GitHub Team et Mettre à niveau le plan de votre organisation.

GitHub fournit un rapport d’évaluation des risques liés aux secrets que les propriétaires d’organisations et les gestionnaires de sécurité peuvent générer pour évaluer l’exposition d’une organisation aux fuites de secrets. Le secret risk assessment est une analyse ponctuelle à la demande du code au sein d’une organisation qui :

Affiche toutes les fuites de secrets au sein de l’organisation
Affiche les types de secrets qui sont divulgués en dehors de l’organisation
Fournit des informations exploitables pour la correction

Le rapport secret risk assessment fournit les informations suivantes :

Nombre total de secrets : nombre agrégé de secrets exposés détectés au sein de l’organisation.
Fuites publiques : secrets distincts trouvés dans les référentiels publics de votre organisation.
Fuites évitables : secrets qui auraient pu être protégés, en utilisant des fonctionnalités GitHub Secret Protection telles que secret scanning et la protection d’envoi (push).
Emplacements des secrets : emplacements analysés pour le rapport. Le secret risk assessment gratuit analyse uniquement le code de votre organisation, y compris le code des référentiels archivés. Vous pouvez étendre la surface analysée pour couvrir le contenu des demandes de tirage, des problèmes, des wikis et des GitHub Discussions avec GitHub Secret Protection.
Catégories de secrets : répartition des types de secrets ayant fait l’objet de fuites. Les secrets peuvent être des secrets de partenaire, qui sont des chaînes correspondant à des secrets émis par des prestataires de services dans notre programme de partenariat, ou des secrets génériques, qui sont des modèles non-fournisseurs tels que les clés SSH, les chaînes de connexion aux bases de données et les jetons web JSON.
Référentiels avec fuites : référentiels où des fuites de secrets ont été détectées, parmi tous les référentiels analysés.

Conseil

Vous ne pouvez générer le rapport qu’une fois tous les 90 jours. Nous vous recommandons d’implémenter GitHub Secret Protection pour la surveillance et la prévention continues des secrets. Consultez Choisir GitHub Secret Protection.

Le rapport secret risk assessment étant basé sur vos référentiels, quel que soit l’état d’activation des fonctionnalités GitHub Secret Protection, vous pouvez voir votre exposition actuelle aux fuites de secrets et mieux comprendre comment GitHub peut vous aider à empêcher de futures fuites de secrets.

Étapes suivantes

Maintenant que vous en savez plus sur le rapport secret risk assessment, vous voudrez peut-être apprendre à :

Générer le rapport pour évaluer les risques de votre organisation. Accédez à l'onglet ** Sécurité ** de votre organisation, affichez la page ** Évaluations **, puis cliquez sur Analyser votre organisation.
Interpréter les résultats du rapport. Consultez Interprétation des résultats de l’évaluation des risques liés aux secrets.
Activer GitHub Secret Protection pour améliorer votre empreinte de fuite de secrets. Consultez Choisir GitHub Secret Protection.