52 lines
1.6 KiB
Markdown
52 lines
1.6 KiB
Markdown
---
|
|
title: Rotation des Secrets
|
|
created: 2026-06-06
|
|
updated: 2026-06-06
|
|
type: concept
|
|
tags: [security, devops, tech]
|
|
confidence: high
|
|
contested: false
|
|
sources: [synthesized]
|
|
---
|
|
# 🔁 Rotation des Secrets
|
|
|
|
## Définition Courte
|
|
Pratique consistant à **renouveler périodiquement** les secrets (clés API, mots de passe, certificats, tokens) pour limiter l'impact d'une compromission.
|
|
|
|
## Explication Détaillée
|
|
**Pourquoi ?**
|
|
- Si un secret fuite (log, repo Git, capture d'écran), la fenêtre de vulnérabilité est limitée.
|
|
- Conformité (SOC2, ISO 27001, PCI-DSS imposent souvent une rotation).
|
|
- Hygiène de base en production.
|
|
|
|
**Stratégies** :
|
|
- **Périodique** : tous les 30/60/90 jours.
|
|
- **À la demande** : après un incident, un départ d'employé.
|
|
- **Automatique** : via Vault, AWS Secrets Manager, Cloudflare R2.
|
|
- **Zero-downtime** : courte overlap où les deux clés sont valides.
|
|
|
|
**Certificats** : la rotation est devenue **critique** avec Let's Encrypt (90 jours max) et la promesse de certificats à 7 jours.
|
|
|
|
## Cas d'Usage
|
|
- Clés AWS / GCP / Azure.
|
|
- Tokens de base de données.
|
|
- API keys de services tiers (Stripe, OpenAI).
|
|
- Certificats TLS.
|
|
- Secrets Kubernetes.
|
|
|
|
## Outils Liés
|
|
- **HashiCorp Vault** (Dynamic Secrets, rotation auto).
|
|
- **AWS Secrets Manager**, **GCP Secret Manager**.
|
|
- **cert-manager** (Kubernetes, pour les certs).
|
|
- **SOPS** + GitOps.
|
|
|
|
## Pages Liées
|
|
- [[secret-management]]
|
|
- [[zero-trust]]
|
|
- [[checklist-securite-vps]]
|
|
- [[tls-https]]
|
|
|
|
## Questions Ouvertes
|
|
- Quelle fréquence optimale pour des secrets internes peu sensibles ?
|
|
- Comment éviter les pannes pendant une rotation mal orchestrée ?
|