{"meta":{"title":"Évaluation de l’impact de la protection secrète GitHub","intro":"Mesurez comment GitHub Secret Protection réduit l’exposition des informations sensibles au sein de votre organisation, afin que vous puissiez démontrer la valeur et identifier les zones d'amélioration pour renforcer la sécurité.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/enterprise-server@3.16/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/enterprise-server@3.16/code-security/tutorials","title":"Tutorials"},{"href":"/fr/enterprise-server@3.16/code-security/tutorials/remediate-leaked-secrets","title":"Corriger les secrets fuites"},{"href":"/fr/enterprise-server@3.16/code-security/tutorials/remediate-leaked-secrets/assessing-ghsp-impact","title":"Évaluer l’impact du GHSP"}],"documentType":"article"},"body":"# Évaluation de l’impact de la protection secrète GitHub\n\nMesurez comment GitHub Secret Protection réduit l’exposition des informations sensibles au sein de votre organisation, afin que vous puissiez démontrer la valeur et identifier les zones d'amélioration pour renforcer la sécurité.\n\n## Présentation\n\nAprès avoir activé GitHub Secret Protection (GHSP) pour votre organisation, vous devez évaluer son impact et comprendre comment il protège votre organisation. Ce tutoriel vous guide à travers l'accès aux données liées aux secrets et l’interprétation des résultats pour mesurer les performances GHSP.\n\nDans ce tutoriel, vous apprendrez comment le faire :\n\n* Accéder à la vue d’ensemble de la sécurité de votre organisation pour afficher les secret scanning données\n* Passer en revue le rapport SRA secret risk assessment\n* Comparer et analyser les données pour évaluer l’impact de GHSP\n\nSi vous n'avez pas de rapport SRA historique datant d'avant le déploiement de votre GHSP, vous pouvez toujours évaluer l'efficacité de GHSP. Passez à [l’étape 4 : Analyser les tendances des données de vue d’ensemble de la sécurité](#step-4-analyze-security-overview-data-trends).\n\n## Prerequisites\n\n* Vous devez disposer du rôle de propriétaire de l’organisation ou de gestionnaire de sécurité.\n* Advanced Security doit être activé pour votre organisation.\n\n## Étape 1 : Accéder à la vue d’ensemble de la sécurité au niveau de l’organisation\n\nLa vue d’ensemble de la sécurité fournit des données en temps réel sur Alertes de détection de secrets l’ensemble de votre organisation.\n\n1. Sur GitHub, accédez à la page principale de l’organisation.\n2. Sous le nom de votre organisation, cliquez sur l’onglet **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** .\n3. Dans la page vue d’ensemble de la sécurité, cliquez sur l’onglet **Risque** pour afficher les données d’analyse des secrets.\n   La vue d’ensemble montre :\n   * Nombre total d’ouvertures Alertes de détection de secrets\n   * Tendances des alertes au fil du temps\n   * Répartition par référentiel\n   * Distribution de gravité des alertes\n\n## Étape 2 : Afficher votre secret risk assessment rapport\n\nSi vous avez déjà exécuté un rapport SRA, vous pouvez accéder au rapport pour établir une base de référence.\n\n1. Sur GitHub, accédez à la page principale de l’organisation.\n2. Sous le nom de votre organisation, cliquez sur l’onglet **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** .\n3. Dans la barre latérale, sous « Sécurité », cliquez sur **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-key\" aria-label=\"key\" role=\"img\"><path d=\"M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z\"></path></svg> Évaluations**.\n4. Passez en revue les métriques clés de l’évaluation, notamment :\n   * Nombre de secrets exposés détectés\n   * Types de secrets trouvés\n   * Référentiels présentant le risque le plus élevé\n   * Actions de correction recommandées\n\n> \\[!NOTE] Le rapport SRA représente un instantané de votre exposition de données sensibles avant et pendant la mise en œuvre de votre GHSP.\n\n## Étape 3 : Comparer les données SRA avec la vue d’ensemble de la sécurité actuelle\n\nLe rapport SRA est une capture instantanée à un moment donné prise avant ou pendant votre déploiement GHSP, tandis que l'aperçu de la sécurité affiche les données en temps réel qui sont mises à jour à mesure que les alertes sont ouvertes et résolues. Pour effectuer une comparaison significative, vous devez vous assurer que les deux jeux de données couvrent les mêmes types de secrets.\n\n### Filtrer en types de modèles comparables\n\nLe rapport SRA détecte uniquement les **modèles de fournisseur** et **les modèles génériques**. Toutefois, la vue d’ensemble de la sécurité peut également inclure les résultats des modèles personnalisés que vous avez configurés depuis l’activation de GHSP. Pour garantir une comparaison précise, filtrez la vue d’ensemble de la sécurité aux mêmes types de motifs que ce que couvre le SRA.\n\n#### Utilisation de l’interface utilisateur\n\nDans l’onglet **Risque** de la vue d’ensemble de la sécurité, utilisez la barre de filtre pour limiter les résultats aux modèles fournisseurs et génériques uniquement, à l’exclusion des modèles personnalisés.\n\n#### Utilisation de l’API\n\nVous pouvez également utiliser l’API REST pour récupérer par programmation des alertes filtrées par type de secret. Par exemple, pour répertorier uniquement les valeurs par défaut (fournisseur) Alertes de détection de secrets d’un référentiel :\n\n```shell copy\ngh api \\\n  -H \"Accept: application/vnd.github+json\" \\\n  /orgs/ORG/secret-scanning/alerts --paginate\n```\n\nCela retourne des alertes pour les modèles par défaut uniquement. Pour inclure également des modèles génériques dans vos résultats, transmettez les noms de jetons spécifiques à l’aide du `secret_type` paramètre.\n\nPour plus d’informations, consultez « [Points de terminaison d’API REST pour l’analyse de secrets](/fr/enterprise-server@3.16/rest/secret-scanning/secret-scanning) ».\n\n### Créer votre comparaison\n\n1. À l’aide des données filtrées, créez une table de comparaison avec ces métriques clés :\n\n   | Unité de mesure           | Rapport SRA (base de référence) | Vue d’ensemble de la sécurité actuelle (filtrée) | Change        |\n   | ------------------------- | ------------------------------- | ------------------------------------------------ | ------------- |\n   | Total des secrets exposés | \\[Numéro SRA]                   | \\[Nombre actuel]                                 | \\[Différence] |\n   | Alertes critiques         | \\[Numéro SRA]                   | \\[Nombre actuel]                                 | \\[Différence] |\n   | Référentiels affectés     | \\[Numéro SRA]                   | \\[Nombre actuel]                                 | \\[Différence] |\n\n2. Calculez la modification du pourcentage pour chaque métrique :\n   * **Indicateurs d’impact positifs :** Réduction du nombre total de secrets exposés, moins d’alertes critiques\n   * **Domaines d’amélioration :** Nouvelles alertes apparaissant, référentiels spécifiques avec tendances croissantes\n\n3. Notez les différences significatives dans les points suivants :\n   * Types de secrets détectés\n   * Couverture du référentiel\n   * Taux de résolution des alertes\n\n## Étape 4 : Analyser les tendances des données de vue d’ensemble de la sécurité\n\nMême sans rapport SRA, vous pouvez évaluer l’efficacité de GHSP en analysant les tendances dans la vue d’ensemble de la sécurité.\n\n1. Sur GitHub, accédez à la page principale de l’organisation.\n\n2. Sous le nom de votre organisation, cliquez sur l’onglet **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** .\n\n3. Dans l’onglet **Risques** de la vue d’ensemble de la sécurité, examinez le graphique de tendances affiché Alertes de détection de secrets au fil du temps.\n\n4. Identifier les modèles :\n   * **Tendance en baisse :** Indique une correction et une prévention réussies\n   * **Plateau :** Peut suggérer un état stable ou un besoin de sensibilisation accrue\n   * **Tendance croissante :** Peut suggérer une couverture de détection accrue ou une introduction de nouveaux secrets.\n\n5. Cliquez sur des référentiels individuels pour explorer les détails d’alerte spécifiques.\n\n6. Passez en revue le taux de résolution des alertes :\n   * Accédez à l’onglet **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** de votre organisation.\n   * Sous « Résultats », cliquez sur **Secret scanning**.\n   * Vérifiez le nombre d’alertes fermées par rapport au nombre d’alertes qui restent ouvertes.\n   * Sélectionnez le type d’alerte qui vous intéresse.\n   * Évaluez le temps moyen de résolution.\n\n## Étape 5 : Interpréter les résultats et prendre des mesures\n\nEn fonction de votre analyse, déterminez les étapes suivantes.\n\n### Si vous voyez des tendances positives\n\n* Documenter l’amélioration pour illustrer la valeur GHSP\n* Identifier les pratiques réussies à répliquer dans d’autres référentiels\n* Envisagez d’étendre la couverture GHSP aux dépôts ou organisations supplémentaires\n\n### Si vous voyez des domaines d’amélioration\n\n* Passer en revue les référentiels avec des alertes croissantes ou des temps de résolution lents\n* Fournir une formation supplémentaire aux équipes de développement\n* Évaluer si les modèles personnalisés doivent être configurés\n* Vérifiez si la protection Push est activée pour empêcher l’introduction de nouveaux secrets\n\n### Surveillance continue\n\n* Planifier des révisions régulières (hebdomadaires ou mensuelles) de la vue d’ensemble de la sécurité\n* Configurer des notifications pour les nouvelles Alertes de détection de secrets\n* Suivre les métriques au fil du temps pour illustrer l’amélioration continue\n\n## Lectures complémentaires\n\n* Pour comprendre secret scanning en détail les métriques, consultez [Affichage des aperçus de sécurité](/fr/enterprise-server@3.16/code-security/security-overview/viewing-security-insights)."}