Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC)?

Le contrôle d'accès basé sur les rôles autorise ou restreint l'accès des utilisateurs aux données en fonction uniquement du rôle de l'utilisateur au sein de l'organisation.

Share facebook icon linkedin icon twitter icon email icon

RBAC

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrir comment fonctionne le contrôle d'accès basé sur les rôles (RBAC)
  • Comparer le RBAC avec d'autres types de contrôle d'accès, tels que le contrôle d'accès basé sur des attributs et sur des règles

Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC) ?

Le contrôle d'accès basé sur les rôles (RBAC) est une méthode qui permet de contrôler ce que les utilisateurs peuvent faire dans les systèmes informatiques d'une entreprise. Le RBAC accomplit cette tâche en attribuant un ou plusieurs « rôles » à chaque utilisateur et en accordant à chaque rôle des autorisations différentes. Le RBAC peut être appliqué pour une seule application logicielle ou pour plusieurs applications.

role-based access control example

Pensez à une résidence où vivent plusieurs personnes. Chaque résident reçoit un double de la clé qui ouvre la porte d'entrée : il ne reçoit pas de passes supplémentaires conçus différemment qui ouvriraient la porte d'entrée. Si un résident a besoin d'accéder à une autre partie de la propriété, comme la remise dans la cour du bâtiment, il reçoit dans ce cas une deuxième clé. Aucun résident ne reçoit de passe ou de clé spéciale ouvrant à la fois la remise et la porte d'entrée.

Dans le RBAC, les rôles sont statiques, comme les clés donnant accès à la résidence dans l'exemple ci-dessus. Ils sont les mêmes pour ceux qui les détiennent, et toute personne qui a besoin de plus d'accès se voit attribuer un rôle supplémentaire (ou une deuxième clé), au lieu d'obtenir des autorisations personnalisées.

Théoriquement, cette approche basée sur les rôles pour contrôler les accès simplifie la gestion des autorisations des utilisateurs, car les autorisations ne sont pas adaptées aux utilisateurs individuels. Cependant, dans les grandes entreprises avec de nombreux rôles et de nombreuses applications, le RBAC devient parfois complexe et difficile à suivre, et les utilisateurs peuvent de ce fait se retrouver avec plus d'autorisations que nécessaire.

Qu'est-ce que le contrôle d'accès ?

En matière de cybersécurité, le contrôle d'accès fait référence aux outils permettant de restreindre et de contrôler ce que les utilisateurs peuvent faire et les données qu'ils peuvent voir. La saisie d'un code d'accès pour déverrouiller un smartphone est l'illustration simple d'un contrôle d'accès : seule une personne qui connaît le code d'accès peut accéder aux fichiers et aux applications sur le téléphone.

Qu'est-ce qu'un rôle ?

La position d'une personne dans une entreprise peut être appelée « rôle ». Toutefois, un rôle a une définition plus technique dans le RBAC : il s'agit d'un ensemble de capacités clairement définis, ou autorisations, à utiliser dans les systèmes de l'entreprise. Chaque utilisateur interne a au moins un rôle qui lui est attribué, et certains peuvent avoir plusieurs rôles.

Les rôles sont génériques et ne sont adaptés à aucun employé au sein d'une organisation. Par exemple, un vendeur ne recevra pas d'autorisations configurées spécifiquement pour son compte d'utilisateur. Par contre, il se verra attribuer le rôle de « vendeur » avec toutes les autorisations associées, telles que la possibilité d'afficher et de modifier la base de données des comptes clients. Les autres vendeurs de l'équipe se verront attribuer le même rôle. Si un vendeur spécifique avait besoin d'autorisations étendues, un rôle supplémentaire lui serait attribué.

Cette approche rend l'ajout ou la suppression d'un utilisateur relativement simple : au lieu de modifier les autorisations pour des utilisateurs individuels, un administrateur peut simplement changer de rôle.

Qu'est-ce qu'une autorisation d'utilisateur ?

Dans le contexte du contrôle d'accès, une autorisation est la possibilité d'effectuer une action. Par exemple, la possibilité de télécharger un fichier dans la base de données d'une société. Un utilisateur de confiance (par exemple, un employé interne) sera autorisé à charger des fichiers, tandis qu'un entrepreneur externe n'aura probablement pas cette possibilité. Dans le RBAC, chaque rôle possible est fourni avec un ensemble d'autorisations.

Qu'est-ce que le contrôle d'accès basé sur les attributs (ABAC) ?

Le contrôle d'accès basé sur les attributs, ou ABAC, est une méthode alternative pour contrôler l'accès au sein d'une organisation. ABAC est quelque peu similaire à RBAC mais est plus précis: les autorisations dans ABAC sont basées sur des attributs utilisateur, et non sur des rôles utilisateur. Les attributs peuvent être à peu près n'importe quoi : des caractéristiques spécifiques de l'utilisateur (par exemple, un titre de poste ou une habilitation de sécurité), des attributs de l'action en cours d'exécution, ou même des « propriétés réelles », telles que l'heure actuelle ou l'emplacement physique des données en cours d'accès.

Le RBAC comparé à l'ABAC

Le RBAC et l'ABAC prennent en compte les caractéristiques de l'utilisateur. Cependant, l'ABAC peut prendre en compte un contexte plus étendu, comme l'action en cours et les propriétés des données ou du système auxquelles l'utilisateur accède, tandis que le RBAC ne prend en compte que le ou les rôles de l'utilisateur. Cela rend l'ABAC plus dynamique que le RBAC, mais aussi plus complexe à gérer efficacement.

Qu'est-ce que le contrôle d'accès basé sur les règles ?

Le contrôle d'accès basé sur les rôles est différent du contrôle d'accès basé sur les règles. Le contrôle d'accès basé sur les règles repose sur un ensemble de règles, tandis que le contrôle d'accès basé sur les rôles repose sur les utilisateurs. Un contrôleur basé sur les règles permet de bloquer certaines actions, comme un port, une adresse IP, ou un type d'entrée de données, peu importe d'où la requête provient. Les pare-feu sont souvent utilisés pour implémenter un contrôle d'accès basé sur les règles.

Comment Cloudflare aide-t-il les entreprises à appliquer les politiques de contrôle d'accès ?

Cloudflare Access, une partie de la suite Cloudflare for Teams, permet aux entreprises de sécuriser, d'authentifier, de surveiller et d'accorder ou de refuser l'accès utilisateur à un domaine, une application ou un chemin dans Cloudflare. Cloudflare Access applique rapidement les autorisations utilisateur de niveau application aux ressources internes d'une entreprise, et conserve également un journal de toutes les ressources auxquelles les utilisateurs accèdent.