Lorsque votre entreprise est affectée par un incident de sécurité, vous pouvez répondre en empêchant l’accès programmatique à votre entreprise ou à ses organisations.
Actions disponibles :
- Révoquez les autorisations d’authentification unique pour supprimer l’accès aux ressources d’organisation protégées par l’authentification unique pour les informations d’identification utilisateur de votre entreprise.
- Supprimez les clés et les jetons pour supprimer des jetons utilisateur et des clés SSH dans votre entreprise, même s’ils n’ont pas d’autorisation d’authentification unique (Enterprise Managed Users uniquement).
Dans la section « Sécurité de l’authentification » de vos paramètres d’entreprise, vous pouvez passer en revue les nombres de jetons utilisateur et de clés autorisés pour l’authentification unique (SSO). Ensuite, si nécessaire, vous pouvez effectuer des actions sur les informations d’identification :
- Pour les membres individuels : révoquez des autorisations d’authentification unique ou supprimez des informations d’identification pour un utilisateur spécifique lors de la réponse à un incident ciblé ou effectuez un nettoyage d’accès de routine.
- Pour tous les membres (action en bloc) : effectuez une action en bloc pour révoquer des autorisations d’authentification unique ou supprimer des informations d’identification sur tous les membres lors de la réponse à un incident de sécurité majeur.
Accès à la page de sécurité de l’authentification
- Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
- En haut de la page, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.
Examen des informations d’identification
Dans la section « Informations d’identification », vous pouvez afficher le nombre d’informations d’identification de chaque type ayant au moins une autorisation d’authentification unique pour une organisation de votre entreprise. Pour plus d’informations, consultez « À propos de l’authentification unique ».
Les nombres sont les suivants :
- Fine-grained personal access tokens
- Personal access tokens (classic)
- Clés SSH utilisateur
- GitHub App et OAuth app les jetons d’accès utilisateur
Un nombre exact est affiché s’il y a 10 000 ou moins d’un type de jeton. Au-dessus de cette figure, la description 10k+ tokens s’affiche.
Présentation des actions disponibles
Les sections suivantes décrivent ce que fait chaque action, les autorisations ou informations d’identification de l’authentification unique qui sont affectées et les événements de journal d’audit associés.
Remarque
Si votre entreprise n’utilise ****Enterprise Managed Users et n’a pas activé l’authentification unique SAML, aucune de ces actions n’est disponible. Autrement, si vous devez demander aux utilisateurs de remplacer personal access tokens dans le cadre de votre réponse à un incident, vous pouvez configurer une stratégie d’entreprise pour faire expirer tous les personal access tokens. Consultez « Application de stratégies pour les jetons d’accès personnels dans votre entreprise ».
Révoquer des autorisations d’authentification unique
Cette action est disponible pour Enterprise Managed Users ou pour les entreprises qui utilisent le SSO SAML.
La révocation des autorisations supprime les autorisations d’authentification unique pour les jetons utilisateur et les clés SSH, soit pour un utilisateur spécifique, soit pour toutes les organisations de votre entreprise.
- Les informations d’identification dont les autorisations d’authentification unique ont été révoquées ne peuvent pas être réautorisées pour les organisations affectées. Pour restaurer l’accès, les utilisateurs doivent créer de nouvelles informations d’identification et les autoriser.
- Les informations d’identification elles-mêmes ne sont pas supprimées, et leurs autorisations pour les étendues utilisateur et entreprise, et pour les organisations non protégées par l’authentification unique, restent actives.
- Les informations d’identification qui n’ont pas été autorisées pour l’authentification unique ne sont pas affectées.
L’autorisation de fine-grained personal access tokens fonctionne différemment ; cette action a donc un effet différent sur ce type de jeton. Pour les PAT affinés où une organisation est le « propriétaire des ressources », le propriétaire de la ressource est supprimé, en supprimant l’accès aux ressources de l’organisation. Les utilisateurs peuvent changer le propriétaire de la ressource pour le compte de l’organisation, ce qui peut nécessiter une approbation (consultez Application de stratégies pour les jetons d’accès personnels dans votre entreprise).
Supprimer des clés et des jetons
Cette action est disponible pour Enterprise Managed Users uniquement.
La suppression des clés et des jetons supprime les informations d’identification qui permettent d’accéder à votre entreprise, soit pour un utilisateur spécifique, soit pour tous les utilisateurs, qu’elles soient autorisées ou non pour l’authentification unique. Les informations d’identification arrêtent de fonctionner et ne sont plus visibles dans l’interface utilisateur.
Pour restaurer l’accès par programmation, les utilisateurs doivent créer de nouvelles informations d’identification, les autoriser avec les organisations si nécessaire et mettre à jour les processus affectés pour utiliser les nouvelles informations d’identification.
Informations d’identification incluses
Les deux actions incluent les types d’informations d’identification suivants :
- Clés SSH utilisateur
- OAuth apps jetons d’accès utilisateur (
ghu_) - GitHub App jetons d’accès utilisateur
- Personal access tokens (classic)
- Fine-grained personal access tokens
Notez que l’action « révoquer les autorisations » fonctionne différemment pour fine-grained personal access tokens, comme expliqué ci-dessus.
Les types d’informations d’identification suivants ne sont pas affectés :
- GitHub App jetons d’installation (
ghs_) - Fine-grained personal access tokens
- Clés de déploiement
- GitHub Actions
GITHUB_TOKENaccès
Événements d’audit et de journal de sécurité
L’action « révoquer les autorisations » génère les événements suivants :
org_credential_authorization.deauthorizeorg_credential_authorization.revokepersonal_access_token.access_revoked
L’action « supprimer des jetons » génère également ces événements, et génère également les événements suivants :
oauth_access.destroypersonal_access_token.destroy
Prendre des mesures contre des membres individuels
Vous pouvez révoquer des autorisations d’authentification unique ou supprimer des informations d’identification pour un utilisateur spécifique. Cela est utile pour répondre aux incidents affectant des comptes individuels, tels qu’un compte compromis ou un matériel perdu, ou pour le nettoyage d’accès de routine.
Révocation des autorisations pour un utilisateur spécifique
- Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
- En haut de la page, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.
- Dans la section « Zone de danger », cliquez sur Révoquer pour ▼, puis cliquez sur Un utilisateur spécifique.
- Sélectionnez l’utilisateur dont vous souhaitez révoquer les autorisations.
- Pour confirmer, tapez
USERNAME credentials(en remplaçantUSERNAMEpar le nom d’utilisateur de l’utilisateur). - Cliquez sur Révoquer les autorisations.
Suppression d’informations d’identification pour un utilisateur spécifique
Cette action est disponible pour Enterprise Managed Users uniquement.
- Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
- En haut de la page, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.
- Dans la section « Zone de danger », cliquez sur Supprimer pour ▼, puis cliquez sur Un utilisateur spécifique.
- Sélectionnez l’utilisateur dont vous souhaitez supprimer les informations d’identification.
- Pour confirmer, tapez
USERNAME credentials(en remplaçantUSERNAMEpar le nom d’utilisateur de l’utilisateur). - Cliquez sur Supprimer les clés et les jetons.
Action en bloc contre tous les membres
Utilisez les boutons d’action en bloc de zone danger pour répondre à un incident de sécurité majeur en prenant des mesures contre tous les membres de votre entreprise.
Avertissement
Les actions en bloc sont des actions à impact élevé qui doivent être réservées aux principaux incidents de sécurité. Ils sont susceptibles d’interrompre les automatisations, et cela peut prendre des mois de travail pour restaurer votre état d’origine.
Révocation des autorisations pour tous les membres
- Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
- En haut de la page, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.
- Dans la section « zone de danger », cliquez sur Révoquer pour ▼, puis sur Tous les utilisateurs.
- Lisez l’avertissement sur l’impact de cette action.
- Pour confirmer, tapez le nom de votre entreprise.
- Cliquez sur Révoquer les autorisations.
Suppression des informations d’identification pour tous les membres
Cette action est disponible pour Enterprise Managed Users uniquement.
- Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
- En haut de la page, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.
- Dans la section « Zone de danger », cliquez sur Supprimer pour ▼, puis sur Tous les utilisateurs.
- Lisez l’avertissement sur l’impact de cette action.
- Pour confirmer, tapez le nom de votre entreprise.
- Cliquez sur Supprimer les clés et les jetons.
Ressources pour les réponses à plus petite échelle
Les articles suivants décrivent des actions alternatives pour gérer les incidents qui sont plus petits dans l’étendue, où vous pouvez identifier des jetons compromis spécifiques ou des comptes d’utilisateur.
- Identification des événements du journal d’audit effectués par un jeton d’accès
- Corriger une exposition de secret dans votre référentiel
- Révocation dans la documentation de l’API REST