Le contrôle d'accès, qu'est-ce que c'est ?

Copier l'URL

Le contrôle d'accès est une technique de sécurité basée sur l'autorisation qui détermine les ressources qu'un utilisateur ou système peut voir ou avec lesquelles il peut interagir au sein d'une infrastructure informatique.

Ce composant essentiel de la cybersécurité vise à protéger des données sensibles contre des accès non autorisés. Les systèmes de contrôle d'accès vérifient d'abord les informations d'identification d'un utilisateur ou d'un autre système, puis accordent un accès adapté au rôle ou au niveau d'habilitation qui lui est attribué. Plusieurs mécanismes, notamment la surveillance en temps réel, la conformité et l'analyse, permettent à ces systèmes de renforcer la sécurité des entreprises et de limiter les menaces.

En savoir plus sur l'automatisation de la sécurité

Il existe six principaux types de modèles de contrôle d'accès qui reposent sur différentes méthodes d'autorisation :

Contrôle d'accès basé sur les rôles ou RBAC (Role-based Access Control)

Ce modèle autorise ou refuse l'accès des utilisateurs en fonction des rôles et responsabilités qui leur sont attribués. Ces rôles déterminent les ressources auxquelles certains utilisateurs ont accès, et les administrateurs système peuvent gérer directement les droits d'accès selon les rôles attribués. Le contrôle d'accès basé sur les rôles utilise les hiérarchies héritées, et les rôles de niveau supérieur héritent des autorisations d'accès des rôles de niveau inférieur, ce qui simplifie la gestion. Par exemple, un utilisateur ayant le rôle « membre d'équipe » pourra disposer d'autorisations limitées, comme un accès en lecture seule ou pour le partage de fichiers, tandis qu'un utilisateur ayant le rôle « responsable » disposera d'autres droits d'accès en plus des autorisations du membre d'équipe. Ce modèle suit le principe de moindre privilège, à la base de la sécurité Zero Trust.

Contrôle d'accès basé sur les règles ou RuBAC (Rule-based Access Control)

Dans le cadre de ce modèle, l'accès est autorisé ou refusé en fonction de règles prédéfinies qui fixent des critères ou des conditions pour chaque utilisateur. Sa mise en œuvre implique l'identification des besoins de chaque type d'utilisateur, la création de politiques de gestion des identités et des accès qui définissent les règles relatives à ces besoins, ainsi que l'application de conditions pour renforcer la sécurité. En général, les règles reposent sur des conditions telles que l'heure d'accès et l'adresse IP, ainsi que sur l'authentification à plusieurs facteurs. Par exemple, l'accès peut être accordé uniquement pendant les heures de bureau, si l'utilisateur est connecté de manière sécurisée à un réseau privé virtuel ou à des applications sur site.

Contrôle d'accès obligatoire ou MAC (Mandatory Access Control)

Cette méthode de sécurité restreint les accès en fonction de politiques et de règles obligatoires définies par les administrateurs système, les autorisations ne pouvant pas être modifiées par les utilisateurs. En empêchant les utilisateurs de modifier les accès, les entreprises s'assurent que les données sensibles sont protégées selon des protocoles de sécurité inévitables. Dans le cadre de ce modèle, chaque utilisateur est associé à un niveau de sécurité prédéfini et les ressources sont classées en fonction de leur degré de sensibilité. L'accès sera autorisé ou refusé à l'utilisateur si son niveau de sécurité est égal ou supérieur à celui de la ressource.

Le contrôle d'accès obligatoire ne doit pas être confondu avec le contrôle d'accès basé sur les rôles ou les règles. S'il vise principalement l'application de règles, ce type de contrôle ne permet pas aux utilisateurs de contrôler les autorisations d'accès (quel que soit leur niveau de sécurité), et les niveaux de sécurité ne sont pas définis par les rôles des utilisateurs. Le contrôle d'accès obligatoire peut toutefois être associé à des concepts du contrôle d'accès basé sur les rôles dans certains systèmes de protection des données.

Contrôle d'accès discrétionnaire ou DAC (Discretionary Access Control)

Ce système flexible de gestion de la sécurité des ressources permet d'autoriser ou de refuser l'accès d'un utilisateur à une ressource à la discrétion de son propriétaire. Lorsqu'un utilisateur crée ou charge des fichiers vers son environnement cloud, il peut définir des autorisations pour chacun de ces fichiers afin d'en partager l'accès avec certains ou tous les utilisateurs, ou d'en conserver l'accès exclusif. Couramment utilisé dans les systèmes de fichiers, ce type de contrôle permet au propriétaire de la ressource de modifier les autorisations ou de révoquer l'accès d'un utilisateur à tout moment.

Contrôle d'accès basé sur les attributs ou ABAC (Attribute-based Access Control)

Ce modèle de contrôle d'accès repose sur les attributs de l'utilisateur, de la ressource et de l'environnement qui sont évalués simultanément. Par exemple, lorsqu'un utilisateur fournit des informations d'identification pour se connecter à un service cloud, le système récupère les attributs de l'utilisateur (son rôle ou ses autorisations) à partir de son profil. Il identifie ensuite les attributs de la ressource (type de fichier, propriétaire et niveau de sensibilité) ainsi que les attributs contextuels (heure d'accès, localisation de l'utilisateur, sécurité du réseau). Le système détermine alors si l'ensemble des attributs respectent les politiques de sécurité et décide d'autoriser ou de refuser l'accès.

Listes de contrôle d'accès ou ACL (Access Control Lists)

Les listes de contrôle d'accès définissent les autorisations de l'utilisateur ou du système, ainsi que les actions qu'il peut effectuer une fois qu'il a accès à une ressource. Si ces listes sont généralement créées et gérées par des administrateurs système, certains systèmes automatisés peuvent en générer sur la base de règles ou de politiques prédéfinies. 
 

Les systèmes de contrôle d'accès sont indispensables pour sécuriser les infrastructures informatiques des entreprises. Celles-ci doivent évaluer leurs besoins en matière de sécurité et de conformité pour déterminer les modèles qui leur conviendront.

Découvrir comment simplifier le centre opérationnel de sécurité 

Red Hat, un partenaire de choix en matière de DevSecOps

Une liste de contrôle d'accès est un ensemble de règles qui indiquent les utilisateurs ou entités ayant accès ou non à un fichier ou une ressource dans un environnement informatique. Plus précisément, cette liste sert de filtre associé à des ressources système. Par exemple, lorsqu'un utilisateur tente d'accéder à une ressource, le système vérifie la liste de contrôle d'accès associée et compare l'identité de l'utilisateur au contenu de cette liste. Si le système trouve une correspondance, l'accès est accordé à l'utilisateur avec les autorisations spécifiées. S'il ne trouve pas de correspondance, l'accès est refusé. À l'instar des pare-feu, les listes de contrôle d'accès utilisent des règles et des critères prédéfinis pour évaluer les demandes d'accès. Cependant, si les listes de contrôle d'accès spécifient les autorisations des utilisateurs, les pare-feu établissent les règles d'approbation ou de refus du trafic réseau. 

Il existe deux types de listes de contrôle d'accès.

Liste de contrôle d'accès au système de fichiers : définit et gère le contenu et les répertoires d'un système de fichiers et filtre l'accès aux fichiers. Reposant sur des règles prédéfinies, ce type de liste indique au système d'exploitation les utilisateurs disposant d'un accès ainsi que leurs privilèges au sein du système.

Liste de contrôle d'accès au réseau : filtre les accès aux périphériques réseau tels que les routeurs, les commutateurs et les pare-feu, et gère la sécurité en indiquant le trafic pouvant accéder au réseau et les activités autorisées une fois dans son périmètre.

Cette fonction de sécurité essentielle peut être utilisée sur tous types d'appareils de sécurité ou de routage pour faciliter l'identification des utilisateurs ou des systèmes et gérer leurs interactions avec des données sensibles. 

Les listes de contrôle d'accès et le contrôle d'accès basé sur les rôles sont deux méthodes de gestion des ressources qui fonctionnent différemment. Les listes de contrôle d'accès gèrent les autorisations de chaque utilisateur à un faible niveau de sécurité des données, tandis que les systèmes de contrôle d'accès basé sur les rôles gèrent la sécurité au niveau de l'entreprise sous la supervision d'administrateurs. Le contrôle d'accès basé sur les rôles propose une approche plus large pour faciliter la gestion de la sécurité basée sur les rôles des utilisateurs. De leur côté, les listes de contrôle d'accès permettent d'adapter des règles plus détaillées à chaque utilisateur pour chaque ressource, sans affecter les rôles des utilisateurs.

Adapté aux entreprises qui utilisent des rôles définis, le contrôle d'accès basé sur les rôles est un système efficace pour garantir la sécurité à l'échelle de l'entreprise sous la supervision d'un administrateur. Les listes de contrôle d'accès sont plus efficaces pour contrôler de manière détaillée des ressources individuelles et faciliter leur gestion. Pour choisir entre ces deux méthodes, chaque entreprise doit prendre en compte ses exigences structurelles et de sécurité, notamment les audits en matière de conformité et de réglementation. Ces audits peuvent porter sur le volume d'utilisateurs ou de trafic non autorisé qui ont accès à l'administration du système. La gestion des ressources facilite l'analyse de la sécurité des données pour garantir la conformité de l'entreprise.

En savoir plus sur le contrôle d'accès basé sur les rôles

Si elles ne déploient pas l'automatisation informatique, les équipes sont contraintes d'effectuer leurs tâches manuellement, ce qui augmente les délais de production, les coûts d'exploitation et les vulnérabilités de sécurité, notamment les accès non autorisés. L'automatisation diminue les erreurs humaines en facilitant les tâches quotidiennes telles que le provisionnement des utilisateurs, les mises à jour des systèmes, la révision des accès et la création d'audits, à un rythme qu'il serait difficile de suivre manuellement. Elle aide aussi les entreprises qui se développent à gérer des volumes croissants de données et d'utilisateurs tout en renforçant leur sécurité grâce à la détection et au traitement des menaces en temps réel.

En mettant en œuvre la gestion automatisée des correctifs et la gestion des informations et des événements de sécurité avec une méthode de contrôle d'accès, il est possible de réduire les erreurs humaines dans les processus de sécurité informatique ainsi que de renforcer la conformité. Les entreprises peuvent associer des solutions de gestion des correctifs à des logiciels d'automatisation pour corriger les vulnérabilités connues dans des systèmes ou des applications qui utilisent des politiques de contrôle d'accès. De plus, l'automatisation de la gestion des informations et des événements de sécurité permet de détecter les anomalies en analysant des schémas d'accès en temps réel pour ensuite alerter automatiquement les équipes de sécurité lorsqu'un événement se produit. Les journaux d'audit peuvent également être enregistrés, afin de surveiller et d'enregistrer les accès pour des raisons de conformité. 

En optimisant leur stratégie de contrôle d'accès avec l'automatisation, les entreprises peuvent mettre en œuvre le principe de moindre privilège tout en répondant aux besoins de leurs équipes en matière d'accès.

Découvrir le guide de l'automatisation à l'usage des responsables informatiques

La solution Red Hat® Ansible® Automation Platform aide à automatiser les tâches manuelles et à réduire le délai de rentabilisation, tout en adaptant l'automatisation à l'échelle, la complexité et la flexibilité qu'exige une entreprise moderne. Plan de contrôle d'Ansible Automation Platform, le composant Automation Controller permet aux administrateurs de définir, d'exploiter et de déléguer l'automatisation au sein des équipes. Il offre des fonctionnalités de RBAC détaillées et intégrées et s'intègre aux systèmes d'authentification de l'entreprise pour garantir que l'automatisation respecte les normes de sécurité et de conformité. Les équipes chargées des opérations de sécurité peuvent également utiliser cette solution pour gérer d'autres applications d'entreprise, comme les solutions d'orchestration, d'automatisation et de réponse aux incidents de sécurité informatique.

Pour une gestion des identités et des accès plus sécurisée, conforme et efficace au niveau des conteneurs, nous proposons la solution Red Hat OpenShift® qui facilite la gestion des accès des utilisateurs aux pods, aux nœuds et aux clusters entiers. Avec cette plateforme d'applications de cloud hybride pour les entreprises, il est possible de gérer, déployer et mettre à l'échelle des applications conteneurisées en tirant parti de composants Kubernetes efficaces, notamment des fonctions de sécurité telles que le RBAC pour Kubernetes.

Débuter avec Automation Controller

Ressource

L'entreprise automatisée

Découvrez dans ce livre numérique comment tirer parti de l'automatisation pour transformer vos services informatiques, notamment le réseau, l'infrastructure, la sécurité, les pratiques DevOps et l'edge computing.

Formations et certifications pour Red Hat Ansible Automation Platform

Explorez les formations et certifications pour Red Hat Ansible Automation Platform et trouvez le parcours de compétences adapté à votre profil.

En savoir plus

La gestion d'une infrastructure virtuelle, qu'est-ce que c'est ? Et pourquoi l'automatiser ?

La gestion d'une infrastructure virtuelle correspond à la coordination des logiciels, ressources informatiques et autres outils utilisés pour gérer des machines virtuelles et les environnements associés tout au long de leur cycle de vie.

Un module Ansible, c'est quoi ?

Un module Ansible® est un programme qui exécute des opérations sur une machine locale, une API ou un hôte distant.

Un rôle Ansible, c'est quoi ?

Les rôles Ansible® sont des unités autonomes de la technologie d'automatisation Ansible qui permettent de regrouper des tâches et autres ressources connexes dans une structure de fichiers connue.

Automatisation et gestion : ressources recommandées

Produit recommandé

Articles associés