PODCAST Secrets exposés, accès oubliés : le vrai visage des cyberattaques en 2025

Le rapport State of Secrets Sprawl 2025 chiffre le phénomène : 28,65 millions de secrets compromis détectés l’an dernier sur GitHub, soit une hausse de 34 % en un an. Derrière ce volume, une réalité plus inquiétante encore — 66 % des secrets exposés en 2022 sont encore valides aujourd’hui. Jamais révoqués. Jamais remplacés.

L’essor des agents de code comme Claude Code ou Cursor joue un rôle dans cette accélération. En permettant à des non-développeurs de produire et pousser du code, ces outils démocratisent la création logicielle mais diffusent aussi des pratiques de sécurité défaillantes. Les erreurs de gestion des credentials ne viennent plus seulement des développeurs expérimentés qui vont trop vite — elles viennent aussi de profils qui n’ont jamais été formés à ces enjeux.

Le rapport pointe également un angle mort massif : les environnements internes. Le code privé des entreprises contient en moyenne six fois plus de secrets exposés que le code public. Ce qui était perçu comme un problème marginal, lié à GitHub, se révèle être un problème systémique, enfoui au cœur des infrastructures.

Face à ça, GitGuardian défend une posture de Zero Trust appliquée aux secrets : considérer que les systèmes internes seront compromis, et s’organiser pour détecter, contenir et remédier le plus vite possible. La levée de 50 millions de dollars annoncée récemment vise à étendre cette approche aux identités non humaines — ces 50 à 100 fois plus d’identités machines qu’humaines qui peuplent les systèmes d’entreprise, souvent sans aucune gouvernance.

La question n’est plus de savoir si une entreprise sera attaquée. C’est de savoir si elle sera capable de le voir à temps.