Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Bonnes pratiques pour sécuriser les comptes

Aide sur la façon de protéger les comptes ayant accès à votre chaîne d’approvisionnement logicielle.

À propos de ce guide

Ce guide décrit les modifications les plus importantes que vous pouvez apporter pour augmenter la sécurité des comptes. Chaque section décrit une modification que vous pouvez apporter à vos processus pour améliorer la sécurité. Les modifications les plus importantes sont listées en premier.

Quel est le risque ?

La sécurité des comptes est fondamentale pour la sécurité de votre chaîne d’approvisionnement. Si un attaquant peut prendre le contrôle de votre compte sur GitHub Enterprise Cloud, il peut apporter des modifications malveillantes à votre code ou processus de génération. Votre objectif premier doit donc être de compliquer la tâche à toute personne cherchant à prendre le contrôle de votre compte et des comptes des autres membres de votre organisation ou entreprise.

Centraliser l’authentification

Si vous êtes propriétaire d’une entreprise ou d’une organisation, vous pouvez configurer l’authentification centralisée avec SAML. Même si vous pouvez ajouter ou supprimer des membres manuellement, il est plus simple et plus sécurisé de configurer l’authentification unique (SSO) et SCIM entre GitHub Enterprise Cloud et votre fournisseur d’identité SAML (IdP). Cela simplifie également le processus d’authentification pour tous les membres de votre entreprise.

Vous pouvez configurer l’authentification SAML pour un compte d’entreprise ou d’organisation. Avec SAML, vous pouvez octroyer l’accès aux comptes personnels des membres de votre entreprise ou organisation sur GitHub.com via votre IdP (fournisseur d’identité), ou vous pouvez créer et contrôler les comptes qui appartiennent à votre entreprise en utilisant la fonctionnalité Enterprise Managed Users. Pour plus d’informations, consultez « À propos de l’authentification pour votre entreprise ».

Une fois que vous avez configuré l’authentification SAML, quand des membres demandent l’accès à vos ressources, ils sont dirigés vers votre flux d’authentification unique afin qu’il soit vérifié qu’ils sont toujours reconnus par votre fournisseur d’identité. S’ils ne sont pas reconnus, leur demande est refusée.

Certains fournisseurs d’identité prennent en charge un protocole appelé SCIM, qui peut provisionner ou déprovisionner automatiquement l’accès sur GitHub Enterprise Cloud quand vous apportez des modifications sur votre fournisseur d’identité. Avec SCIM, vous pouvez simplifier l’administration à mesure que votre équipe croît et vous pouvez révoquer rapidement l’accès aux comptes. SCIM est disponible pour les organisations individuelles sur GitHub Enterprise Cloud ou pour les entreprises qui utilisent Enterprise Managed Users. Pour plus d’informations, consultez « À propos de SCIM pour les organisations ».

Configurer l’authentification à 2 facteurs

La meilleure façon d’améliorer la sécurité de vos comptes consiste à configurer l’authentification à 2 facteurs (2FA). Les mots de passe eux-mêmes peuvent être compromis en étant devinables, en étant réutilisés sur un autre site compromis ou par l’ingénierie sociale, comme le hameçonnage. L’authentification à 2 facteurs rend beaucoup plus difficile la compromission de vos comptes, même si un attaquant a votre mot de passe.

Si vous êtes propriétaire d’entreprise, vous pouvez éventuellement configurer une stratégie afin d’exiger l’authentification à 2 facteurs pour toutes les organisations appartenant à votre entreprise.

Si vous êtes propriétaire d’une organisation, vous pouvez éventuellement exiger que tous les membres de l’organisation activent l’authentification à 2 facteurs.

Configurer votre compte d’entreprise

Les propriétaires d’entreprise peuvent éventuellement exiger l’authentification à 2 facteurs pour tous les membres de l’entreprise. La disponibilité des stratégies d’authentification à 2 facteurs sur GitHub Enterprise Cloud dépend de la façon dont les membres s’authentifient pour accéder aux ressources de votre entreprise.

Si votre entreprise utilise la fonctionnalité Enterprise Managed Users ou si l’authentification SAML est appliquée pour votre entreprise, vous ne pouvez pas configurer 2FA sur GitHub Enterprise Cloud. Une personne disposant d’un accès administratif à votre fournisseur d’identité doit configurer l’authentification à 2 facteurs pour le fournisseur d’identité.

Pour plus d’informations, consultez « À propos de la gestion des identités et des accès pour votre entreprise » et « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».

Configurer votre compte personnel

Remarque : Selon la méthode d’authentification qu’un propriétaire d’entreprise a configurée pour votre entreprise sur GitHub.com, vous ne pourrez peut-être pas activer l’authentification 2FA pour votre compte personnel.

GitHub Enterprise Cloud prend en charge plusieurs options pour l’authentification à 2 facteurs, et même si aucune ne se détache véritablement, l’option la plus sécurisée est WebAuthn. WebAuthn nécessite une clé de sécurité matérielle ou un appareil qui la prend en charge via des technologies telles que Windows Hello ou Mac TouchID. Il est possible, bien que difficile, d’hameçonner d’autres formes d’authentification à 2 facteurs (par exemple, quelqu’un vous demandant de lui lire votre mot de passe à 6 chiffres unique). Toutefois, il est impossible d’hameçonner WebAuthn, car l’étendue du domaine est intégrée au protocole, ce qui empêche les informations d’identification d’un site web imitant une page de connexion d’être utilisées sur GitHub Enterprise Cloud.

Quand vous configurez l’authentification à 2 facteurs, vous devez toujours télécharger les codes de récupération et configurer plusieurs facteurs. Cela garantit que l’accès à votre compte ne dépend pas d’un seul appareil. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs », « Configuration de méthodes de récupération pour l’authentification à 2 facteurs » et Clés de sécurité matérielles de marque GitHub dans le magasin GitHub.

Configurer votre compte d’entreprise

Remarque : Selon la méthode d’authentification qu’un propriétaire d’entreprise a configurée pour votre entreprise sur GitHub.com, vous ne pourrez peut-être pas imposer l’authentification 2FA pour votre organisation.

Si vous êtes propriétaire d’une organisation, vous pouvez voir quels utilisateurs n’ont pas l’authentification à 2 facteurs activée, les aider à la configurer, puis exiger l’authentification à 2 facteurs pour votre organisation. Pour vous guider dans ce processus, consultez :

  1. « Voir si l’authentification à 2 facteurs est activée pour des utilisateurs de votre organisation »
  2. « Se préparer pour exiger l’authentification à 2 facteurs dans votre organisation »
  3. « Exiger l’authentification à 2 facteurs dans votre organisation »

Se connecter à GitHub Enterprise Cloud avec des clés SSH

Il existe d’autres façons d’interagir avec GitHub Enterprise Cloud au-delà de la connexion au site web. De nombreuses personnes autorisent le code qu’elles poussent (push) vers GitHub avec une clé privée SSH. Pour plus d’informations, consultez « À propos de SSH ».

Tout comme le mot de passele mot de passe de votre compte, si un attaquant pouvait obtenir votre clé privée SSH, il pourrait emprunter votre identité et pousser du code malveillant vers n’importe quel référentiel auquel vous disposez d’un accès en écriture. Si vous stockez votre clé privée SSH sur un lecteur de disque, il est judicieux de la protéger avec une phrase secrète. Pour plus d’informations, consultez « Utilisation de phrases secrètes de clé SSH ».

Une autre option consiste à générer des clés SSH sur une clé de sécurité matérielle. Vous pouvez utiliser la même clé que celle que vous utilisez pour l’authentification à 2 facteurs. Les clés de sécurité matérielles sont très difficiles à compromettre à distance, car la clé SSH privée reste sur le matériel et n’est pas directement accessible à partir d’un logiciel. Pour plus d’informations, consultez « Génération d’une nouvelle clé SSH pour une clé de sécurité matérielle ».

Les clés SSH matérielles sont assez sécurisées, mais la configuration matérielle requise peut ne pas fonctionner pour certaines organisations. Une autre approche consiste à utiliser des clés SSH qui ne sont valides que pendant une courte période, de sorte que même si la clé privée est compromise, elle ne peut pas être exploitée pendant très longtemps. C’est le concept sur lequel repose l’exécution de votre propre autorité de certification SSH. Même si cette approche vous donne beaucoup de contrôle sur la façon dont les utilisateurs s’authentifient, elle vous impose de gérer vous-même une autorité de certification SSH. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Étapes suivantes