Initial vault setup

concepts/rotation-secrets.md

@@ -0,0 +1,51 @@
+---
+title: Rotation des Secrets
+created: 2026-06-06
+updated: 2026-06-06
+type: concept
+tags: [security, devops, tech]
+confidence: high
+contested: false
+sources: [synthesized]
+---
+# 🔁 Rotation des Secrets
+
+## Définition Courte
+Pratique consistant à **renouveler périodiquement** les secrets (clés API, mots de passe, certificats, tokens) pour limiter l'impact d'une compromission.
+
+## Explication Détaillée
+**Pourquoi ?**
+- Si un secret fuite (log, repo Git, capture d'écran), la fenêtre de vulnérabilité est limitée.
+- Conformité (SOC2, ISO 27001, PCI-DSS imposent souvent une rotation).
+- Hygiène de base en production.
+
+**Stratégies** :
+- **Périodique** : tous les 30/60/90 jours.
+- **À la demande** : après un incident, un départ d'employé.
+- **Automatique** : via Vault, AWS Secrets Manager, Cloudflare R2.
+- **Zero-downtime** : courte overlap où les deux clés sont valides.
+
+**Certificats** : la rotation est devenue **critique** avec Let's Encrypt (90 jours max) et la promesse de certificats à 7 jours.
+
+## Cas d'Usage
+- Clés AWS / GCP / Azure.
+- Tokens de base de données.
+- API keys de services tiers (Stripe, OpenAI).
+- Certificats TLS.
+- Secrets Kubernetes.
+
+## Outils Liés
+- **HashiCorp Vault** (Dynamic Secrets, rotation auto).
+- **AWS Secrets Manager**, **GCP Secret Manager**.
+- **cert-manager** (Kubernetes, pour les certs).
+- **SOPS** + GitOps.
+
+## Pages Liées
+- [[secret-management]]
+- [[zero-trust]]
+- [[checklist-securite-vps]]
+- [[tls-https]]
+
+## Questions Ouvertes
+- Quelle fréquence optimale pour des secrets internes peu sensibles ?
+- Comment éviter les pannes pendant une rotation mal orchestrée ?