# À propos de l’analyse des secrets

Empêchez l’utilisation frauduleuse de vos secrets en détectant automatiquement les informations d’identification exposées avant qu’elles ne puissent être exploitées.

Lorsque des informations d’identification telles que des clés API et des mots de passe sont validées dans les référentiels en tant que secrets codés en dur, elles deviennent des cibles pour un accès non autorisé.
Secret scanning détecte automatiquement les fuites d’informations d’identification afin de pouvoir les sécuriser avant qu’elles ne soient exploitées.

> \[!TIP]
> À tout moment, vous pouvez exécuter une évaluation gratuite du code de votre organisation pour les secrets divulgués.
>
> Pour générer un rapport, ouvrez l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** de votre organisation, affiche la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg> page Évaluations** , puis cliquez sur **Analyser votre organisation**.

## Comment l’analyse des secrets protège votre code

```
          Secret scanning analyse l’intégralité de votre historique Git sur toutes les branches de votre référentiel pour obtenir des informations d’identification codées en dur, notamment les clés API, les mots de passe, les jetons et d’autres types de secrets connus. Cela vous aide à identifier l’expansion secrète, la prolifération incontrôlée des informations d’identification entre les référentiels, avant qu’il ne devienne un risque de sécurité. 
          GitHub réanalyse régulièrement les dépôts lorsque de nouveaux types de secrets sont ajoutés.

          GitHub analyse également automatiquement :
```

* Descriptions et commentaires dans les problèmes
* Titres, descriptions et commentaires dans les *problèmes* historiques ouverts et fermés
* Titres, descriptions et commentaires dans les demandes de tirage
* Titres, descriptions et commentaires dans GitHub Discussions
* Wikis
* Gists secrètes

###

```
          Secret scanning alertes et correction
```

Lorsque secret scanning détecte une fuite d’informations d’identification, GitHub génère une alerte dans l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** de votre référentiel avec des détails sur les informations d’identification exposées.

Lorsque vous recevez une alerte, faites pivoter immédiatement les informations d’identification affectées pour empêcher tout accès non autorisé. Bien que vous puissiez également supprimer des secrets de votre historique Git, cela est fastidieux et souvent inutile si vous avez déjà révoqué les informations d’identification.

### Intégration des partenaires

```
          GitHub s'associe à une grande variété de fournisseurs de services pour valider les secrets détectés. Lorsqu’un secret partenaire est détecté, nous informons le fournisseur afin qu’il puisse prendre des mesures, par exemple révoquer les informations d’identification. Les secrets partenaires sont signalés directement au fournisseur et ne s'affichent pas dans vos alertes de dépôt. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program) ».
```

## Personnalisabilité

Au-delà de la détection par défaut des secrets du partenaire et du fournisseur, vous pouvez développer et personnaliser secret scanning en fonction de vos besoins.

* **Schémas non fournisseurs.** Développez la détection vers des secrets qui ne sont pas liés à un fournisseur de services spécifique, tels que des clés privées, des chaînes de connexion et des clés API génériques.
* **Modèles personnalisés.** Définissez vos propres expressions régulières pour détecter les secrets spécifiques à l’organisation qui ne sont pas couverts par les modèles par défaut.
* **Vérifications de validité.** Hiérarchiser la correction en vérifiant si les secrets détectés sont toujours actifs.

***

```
          Analyse des secrets avec Copilot.** Utilisez l’IA pour détecter des secrets non structurés tels que des mots de passe ou pour générer des expressions régulières pour des modèles personnalisés.
```

### À propos des vérifications de validité

Les vérifications de validité vous aident à hiérarchiser les secrets à corriger en premier en vérifiant si un secret détecté est toujours actif. Lorsque vous activez les vérifications de validité, secret scanning peut contacter le service d’émission du secret pour déterminer si les identifiants ont été révoqués.

Les vérifications de validité sont distinctes du programme partenaire secret scanning. Bien que les secrets partenaires soient automatiquement signalés aux fournisseurs de services pour révocation, des vérifications de validité confirment l’état des secrets que vous gérez dans vos propres alertes. Pour plus d’informations, consultez « [À propos des vérifications de validité](/fr/enterprise-cloud@latest/code-security/concepts/secret-security/about-validity-checks) ».

## Comment puis-je accéder à cette fonctionnalité ?

Secret scanning est disponible pour les types de référentiels suivants :

* **Référentiels publics** : Secret scanning s’exécute automatiquement gratuitement.
* **Référentiels privés et internes appartenant à l’organisation** : disponible avec [GitHub Secret Protection](/fr/enterprise-cloud@latest/get-started/learning-about-github/about-github-advanced-security) activé sur GitHub Team ou GitHub Enterprise Cloud.
* **Dépôts appartenant à l'utilisateur** : disponibles sur GitHub Enterprise Cloud avec Enterprise Managed Users. Disponible sur GitHub Enterprise Server lorsque l’entreprise a [GitHub Secret Protection](/fr/enterprise-cloud@latest/get-started/learning-about-github/about-github-advanced-security) activée.

## Prochaines étapes

* **Si vous avez reçu une alerte**, consultez [Gérer les alertes d’analyse des secrets](/fr/enterprise-cloud@latest/code-security/secret-scanning/managing-alerts-from-secret-scanning) pour savoir comment passer en revue, résoudre et corriger les secrets exposés.
* **Si vous sécurisez une organisation**, consultez [Exécution de l’évaluation des risques secrets pour votre organisation](/fr/enterprise-cloud@latest/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) pour déterminer l’exposition de votre organisation aux secrets divulguées.

## Lectures complémentaires

* Pour obtenir la liste complète des secrets et fournisseurs de services pris en charge, consultez [Modèles de détection de secrets pris en charge](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets).