1.6 KiB
1.6 KiB
title, created, updated, type, tags, confidence, contested, sources
| title | created | updated | type | tags | confidence | contested | sources | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Rotation des Secrets | 2026-06-06 | 2026-06-06 | concept |
|
high | false |
|
🔁 Rotation des Secrets
Définition Courte
Pratique consistant à renouveler périodiquement les secrets (clés API, mots de passe, certificats, tokens) pour limiter l'impact d'une compromission.
Explication Détaillée
Pourquoi ?
- Si un secret fuite (log, repo Git, capture d'écran), la fenêtre de vulnérabilité est limitée.
- Conformité (SOC2, ISO 27001, PCI-DSS imposent souvent une rotation).
- Hygiène de base en production.
Stratégies :
- Périodique : tous les 30/60/90 jours.
- À la demande : après un incident, un départ d'employé.
- Automatique : via Vault, AWS Secrets Manager, Cloudflare R2.
- Zero-downtime : courte overlap où les deux clés sont valides.
Certificats : la rotation est devenue critique avec Let's Encrypt (90 jours max) et la promesse de certificats à 7 jours.
Cas d'Usage
- Clés AWS / GCP / Azure.
- Tokens de base de données.
- API keys de services tiers (Stripe, OpenAI).
- Certificats TLS.
- Secrets Kubernetes.
Outils Liés
- HashiCorp Vault (Dynamic Secrets, rotation auto).
- AWS Secrets Manager, GCP Secret Manager.
- cert-manager (Kubernetes, pour les certs).
- SOPS + GitOps.
Pages Liées
Questions Ouvertes
- Quelle fréquence optimale pour des secrets internes peu sensibles ?
- Comment éviter les pannes pendant une rotation mal orchestrée ?