Qu'est-ce que le contrôle d'accès? | Autorisation vs authentification

Le contrôle d'accès est un ensemble de règles conçues pour déterminer qui peut avoir accès à des informations restreintes ou à un emplacement restreint.

Share facebook icon linkedin icon twitter icon email icon

Contrôle d’accès

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir le contrôle d'accès
  • Faire la différence entre le contrôle d'accès physique et le contrôle d'accès à l'information
  • Expliquer la différence entre un VPN et une solution de sécurité à confiance nulle

Qu'est-ce que le contrôle d'accès ?

Access Control

Le contrôle d'accès est un terme de sécurité utilisé pour faire référence à un ensemble de politiques pour restreindre l'accès à l'information, aux outils et aux emplacements physiques. Le contrôle d'accès relève généralement du domaine du contrôle d'accès physique ou du contrôle d'accès à l'information. Cet article se concentrera sur ce dernier.

Qu'est-ce que le contrôle d'accès physique ?

Bien que cet article se concentre sur le contrôle d'accès à l'information, il est intéressant pour démarrer d'avoir une bonne compréhension du contrôle d'accès physique. Le contrôle d'accès physique est un ensemble de politiques permettant de contrôler à qui est accordé l'accès à un emplacement physique.

Voici quelques exemples concrets de contrôle d'accès physique :

  • Videurs de bar
  • Tourniquets de métro
  • Agents en douane des aéroports
  • Lecteurs de cartes clés pour chambres d'hôtel

Dans tous ces exemples, une personne ou un appareil suit un ensemble de politiques pour décider qui a accès à un emplacement physique restreint. Par exemple, un lecteur de cartes clés d'hôtel ne donne accès qu'aux clients autorisés qui ont une carte.

Qu'est-ce que le contrôle d'accès à l'information ?

Le contrôle d'accès à l'information restreint l'accès aux données ainsi qu'aux logiciels utilisés pour manipuler ces données. Le contrôle d'accès à l'information est très couramment utilisé dans la sécurité informatique et réseau. Citons quelques exemples :

  • Un utilisateur se connectant à son ordinateur portable à l'aide d'un mot de passe
  • Un utilisateur déverrouillant son smartphone par empreinte digitale
  • Un utilisateur Gmail se connectant à son compte de messagerie
  • Un employé distant accédant au réseau interne de son employeur à l'aide d'un VPN

Dans tous ces cas, un logiciel est utilisé pour authentifier et accorder une autorisation aux utilisateurs souhaitant accéder aux informations numériques. L'authentification et l'autorisation font partie intégrante du contrôle d'accès à l'information.

Quelle est la différence entre l'authentification et l'autorisation ?

Pour faire simple, l'authentification est la pratique de sécurité consistant à confirmer que quelqu'un est bien celui qu'il prétend être, tandis que l'autorisation concerne le niveau d'accès accordé à chaque utilisateur.

Par exemple, imaginez un voyageur accomplissant les formalités d'enregistrement dans un hôtel. Lorsqu'ils se présente à la réception, il doit présenter son passeport pour prouver qu'ils est bien celui qui a effectué la réservation. Ceci est un exemple d'authentification.

Une fois que le réceptionniste de l'hôtel a authentifié le client, celui-ci reçoit une carte clé avec des privilèges limités. Cet exemple est un exemple d'autorisation. La carte clé du client lui permettra d'accéder à sa chambre, à l'ascenseur et à la piscine. Par contre, cette carte ne permet pas d'ouvrir les chambres des autres clients ni d'appeler l'ascenseur de service, car le client n'est pas autorisé à accéder à ces emplacements.

Une femme de ménage de l'hôtel disposera d'une carte clé avec un niveau d'autorisation plus élevé. Elle pourra accéder à toutes les chambres, à l'ascenseur de service, à la buanderie et à la salle de repos des employés. Elle ne pourra toujours pas accéder à certaines zones sensibles, comme le centre de sécurité ou le coffre-fort. Quant au responsable de la sécurité de l'hôtel, il possède une carte clé qui lui permet d'accéder à n'importe quelle partie de l'hôtel. Il est autorisé à avoir un accès illimité.

Les systèmes informatiques et de mise en réseau ont des contrôles d'authentification et d'autorisation très similaires. Lorsqu'un utilisateur se connecte à son e-mail ou à son compte bancaire en ligne, il utilise une combinaison identifiant + mot de passe que lui seul est censé connaître. Le logiciel utilise ces informations pour authentifier l'utilisateur. Certaines applications ont des exigences d'autorisation beaucoup plus strictes que d'autres : alors qu'un mot de passe suffit pour certaines, d'autres peuvent nécessiter une authentification à deux facteurs ou même une confirmation biométrique, comme une empreinte digitale ou un scan d'identification faciale.

Une fois authentifié, un utilisateur ne peut voir que les informations auxquelles il est autorisé à accéder. Dans le cas d'un compte bancaire en ligne, l'utilisateur ne peut voir que les informations relatives à son compte bancaire personnel. Un gestionnaire de fonds qui travaille dans cette banque peut se connecter à la même application et voir les données sur les avoirs financiers de la banque. Il peut également avoir accès à un outil lui permettant d'acheter et de vendre des titres pour le compte de la banque. Étant donné que la banque traite des informations personnelles très sensibles, il est tout à fait possible que personne ne dispose d'un accès illimité aux données. Même le directeur de la banque ou le responsable de la sécurité doivent passer par un protocole de sécurité pour accéder aux données complètes des clients.

Un autre exemple d'authentification se produit pendant le chiffrement TLS . Lorsqu'un navigateur se connecte à un site web HTTPS, ce qui déclenche un handshake TLS qui authentifie le serveur web en utilisant le chiffrement à clé publique/privée. Le serveur web doit prouver son identité avant que le navigateur télécharge tout contenu à afficher à l'utilisateur.

Quelles sont les méthodes pour la mise en œuvre du contrôle d'accès ?

Les réseaux privés virtuels (VPN) sont des outils très populaires pour le contrôle d'accès à l'information. Un VPN est un service qui permet aux utilisateurs distants d'accéder à Internet comme s'ils étaient connectés à un réseau privé. Les réseaux d'entreprise utilisent souvent des VPN pour gérer le contrôle d'accès à leur réseau interne sur une distance géographique. Par exemple, si une entreprise a un bureau à San Francisco, un autre à New York et des employés distants disséminés à travers le monde, elle peut utiliser un VPN pour que tous ses employés puissent se connecter en toute sécurité à leur réseau interne, indépendamment de leur emplacement physique. La connexion au VPN contribuera également à protéger les employés contre les attaques de l'homme du milieu s'ils sont connectés à un réseau WiFi public.

Les VPN présentent cependant certains inconvénients. Premièrement, les VPN ont un impact sur les performances. Lorsqu'un utilisateur est connecté à un VPN, chaque paquet de données qu'il envoie ou reçoit doit parcourir un trajet supplémentaire avant d'arriver à destination, car chaque requête et chaque réponse doivent atteindre le serveur VPN avant d'atteindre leur destination. Cela augmente souvent la latence. Deuxièmement, les VPN fournissent généralement une approche tout ou rien à la sécurité du réseau. Les VPN sont parfaits pour fournir une authentification, mais ne le sont pas pour fournir des contrôles d'autorisation granulaires. Par conséquent, si une organisation souhaite accorder différents niveaux d'accès à différents employés, elle doit utiliser plusieurs VPN. Cela crée beaucoup de complexité et ne répond pas toujours aux exigences de la sécurité Zero Trust.

Qu'est-ce que la sécurité Zero Trust ?

La sécurité Zero Trust est un modèle de sécurité informatique qui requiert une vérification d'identité stricte pour chaque personne et appareil qui tentent d'accéder aux ressources sur un réseau privé, indépendamment de leur position à l'intérieur ou à l'extérieur du périmètre du réseau. Les réseaux Zero Trust utilisent également la microsegmentation. La microsegmentation consiste à diviser les périmètres de sécurité en petites zones pour maintenir un accès séparé pour des parties distinctes du réseau.

Aujourd'hui, de nombreuses organisations se détournent des VPN au profit de solutions de sécurité de confiance zéro comme Cloudflare Access. Une solution de sécurité Zero Trust peut être utilisée pour gérer le contrôle d'accès pour les employés qui travaillent dans leur bureau et pour ceux qui travaillent à distance, tout en évitant les inconvénients majeurs de l'utilisation d'un VPN.