---
title: Rotation des Secrets
created: 2026-06-06
updated: 2026-06-06
type: concept
tags: [security, devops, tech]
confidence: high
contested: false
sources: [synthesized]
---
# 🔁 Rotation des Secrets

## Définition Courte
Pratique consistant à **renouveler périodiquement** les secrets (clés API, mots de passe, certificats, tokens) pour limiter l'impact d'une compromission.

## Explication Détaillée
**Pourquoi ?**
- Si un secret fuite (log, repo Git, capture d'écran), la fenêtre de vulnérabilité est limitée.
- Conformité (SOC2, ISO 27001, PCI-DSS imposent souvent une rotation).
- Hygiène de base en production.

**Stratégies** :
- **Périodique** : tous les 30/60/90 jours.
- **À la demande** : après un incident, un départ d'employé.
- **Automatique** : via Vault, AWS Secrets Manager, Cloudflare R2.
- **Zero-downtime** : courte overlap où les deux clés sont valides.

**Certificats** : la rotation est devenue **critique** avec Let's Encrypt (90 jours max) et la promesse de certificats à 7 jours.

## Cas d'Usage
- Clés AWS / GCP / Azure.
- Tokens de base de données.
- API keys de services tiers (Stripe, OpenAI).
- Certificats TLS.
- Secrets Kubernetes.

## Outils Liés
- **HashiCorp Vault** (Dynamic Secrets, rotation auto).
- **AWS Secrets Manager**, **GCP Secret Manager**.
- **cert-manager** (Kubernetes, pour les certs).
- **SOPS** + GitOps.

## Pages Liées
- [[secret-management]]
- [[zero-trust]]
- [[checklist-securite-vps]]
- [[tls-https]]

## Questions Ouvertes
- Quelle fréquence optimale pour des secrets internes peu sensibles ?
- Comment éviter les pannes pendant une rotation mal orchestrée ?