L’étude révèle que la direction des grandes organisations est parfaitement consciente des risques associés aux secrets codés en dur. En effet, 75 % des répondants ont déclaré avoir déjà connu une fuite de de secrets, et 94 % prévoient d’améliorer leurs pratiques de gestion des secrets au cours des 12 à 18 prochains mois. Plus de 50% des répondants ont identifié "le code source et les dépôts" comme étant les principaux points de risque au sein de leurs chaînes d’approvisionnement logicielles, 47 % d’entre eux citant spécifiquement les secrets codés en dur.

Malgré cette prise de conscience accrue, l’étude met également en évidence d’importantes disparités dans les stratégies de réduction des risques adoptées par l’industrie. Par exemple, 27% des répondants ont révélé qu’ils s’appuyaient sur des examens de code manuels, inefficaces, pour se protéger contre les fuites de secrets.

En plus des résultats du sondage, l’étude examine les points de friction courants que les grandes organisations rencontrent lorsqu’elles luttent contre l’accumulation de vulnérabilités. En 2022, GitGuardian a collaboré avec une entreprise de grande envergure pour aider à étendre ses efforts de prévention des fuites en utilisant une approche multifacette. Avec 7 500 développeurs et plus de 50 000 sources surveillées, cette entreprise nécessitait une solution à la fois robuste et évolutive.

Les résultats de ce déploiement réussi fournissent des informations précieuses sur la meilleure façon de développer une stratégie de sécurité d’application dans les grandes entreprises. Selon les données, l’impact le plus significatif pour réduire les risques de prolifération des secrets provient de l’intégration de la solution de GitGuardian aux premières étapes du cycle de développement et de la capacité à rendre les développeurs autonomes sur les fronts de la prévention et de la remédiation.

“Dans l’ensemble, l’étude souligne la nécessité pour les organisations d’adopter une approche plus proactive en matière de sécurité, en utilisant des outils et des processus automatisés pour identifier et remédier rapidement et efficacement aux vulnérabilités. En automatisant les processus de triage et d’attribution, les organisations peuvent accélérer leur orchestration de sécurité, améliorer leur posture de sécurité et libérer des ressources précieuses pour se concentrer sur d’autres tâches critiques.” précise Éric Fourrier CEO de GitGuardian.

“Alors que la couverture médiatique des questions de sécurité technologique tend à se concentrer sur les intrusions dans les systèmes de production, les ransomwares et autres incidents impliquant des attaquants externes, la vérité est que l’une des préoccupations les plus pressantes pour la plupart des organisations est la publication involontaire de secrets internes”, déclare Stephen O’Grady, analyste principal chez RedMonk. “À mesure que le code source est de plus en plus fragmenté et réparti largement dans les organisations et à travers le monde, il est devenu trop courant de voir des certificats, des clés et des mots de passe secrets se retrouver dans des référentiels accessibles au public. Empêcher ce scénario cauchemardesque est un domaine d’intérêt majeur pour les grandes et petites organisations.”

“Les entreprises font face à des risques considérables dus à la prolifération rapide des clés API, des variables de configuration et des secrets au sein des équipes d’ingénierie. Les secrets sont la porte d’entrée vers l’actif le plus précieux d’une entreprise, ses données. Nous sommes à un moment critique où il est nécessaire que les équipes d’ingénierie et de sécurité adoptent une stratégie de gestion des secrets globale. Bien que la prolifération soit un problème que la plupart des entreprises rencontrent, ce n’est pas un problème difficile à résoudre. Il existe aujourd’hui des outils qui s’intègrent nativement aux flux de travail des développeurs pour gérer, orchestrer et faire tourner les secrets.” explique Brian Vallelunga, PDG de Doppler.