Une fuite de jeton GitHub révèle un risque caché chez Novo Nordisk
Une simple fuite de jeton GitHub vient de montrer à quel point les chaînes d'approvisionnement logicielles peuvent être compromises – cette fois chez Novo Nordisk. L’incident met en lumière une idée reçue : considérer la gestion des secrets comme un problème d’outils plutôt que comme une question d’identité et de contrôle d’accès.
L’identité prime sur les outils : la leçon de Novo Nordisk
Les équipes de sécurité se concentrent souvent sur le renforcement des pipelines CI/CD avec les derniers outils, la détection des vulnérabilités ou le durcissement des périmètres réseau. Pourtant, la faille chez Novo Nordisk révèle que des identifiants volés ou exposés – surtout ceux liés aux identités des développeurs – peuvent contourner toutes ces protections. Un jeton GitHub doté de permissions élevées fonctionne comme une clé passe-partout, offrant un accès aux dépôts privés, aux systèmes de compilation et même aux environnements de déploiement. Lorsque ces jetons ne sont pas associés à des identités individuelles soumises à des règles strictes de moindre privilège, leur révocation devient réactive plutôt que préventive.
De la détection à la prévention : repenser la gestion des secrets
Les organisations peuvent réduire ce risque en passant d’une détection réactive à une gouvernance proactive des identités. La rotation automatique des jetons liée aux identités des développeurs, l’authentification multifacteur imposée pour les comptes privilégiés et la surveillance en temps réel des accès inhabituels peuvent transformer une faille potentielle en un événement maîtrisé. L’affaire Novo Nordisk rappelle que, dans un monde où le code est la nouvelle monnaie, le maillon faible n’est pas l’outil, mais l’identité qui l’utilise.
Source : Dark Reading. Synthèse éditoriale assistée par IA — TechnoExpress.