Qu'est-ce que le contrôle d'accès ? | Autorisation vs authentification

Le contrôle d'accès est un ensemble de règles destinées à déterminer qui est autorisé à accéder à un lieu ou à des informations à accès restreint.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le contrôle d'accès
  • Faire la différence entre le contrôle d'accès physique et le contrôle d'accès à l'information
  • Expliquer la différence entre un VPN et une solution de sécurité à confiance nulle

Copier le lien de l'article

Qu'est-ce que le contrôle d'accès ?

Contrôle d’accès

Le contrôle d'accès est un terme de sécurité utilisé pour désigner un ensemble de politiques visant à restreindre l'accès aux informations, aux outils et aux lieux physiques.

Qu'est-ce que le contrôle d'accès physique ?

Bien que cet article se concentre sur le contrôle d'accès aux informations, le contrôle d'accès physique est une comparaison utile pour comprendre le concept général.

Le contrôle d'accès physique est un ensemble de politiques visant à contrôler qui est autorisé à accéder à un lieu physique. Voici quelques exemples concrets de contrôle d'accès physique :

  • Videurs de bar
  • Tourniquets de métro
  • Agents en douane des aéroports
  • Scanners de cartes à puce ou de badges dans les bureaux des entreprises

Dans tous ces exemples, une personne ou un appareil suit un ensemble de politiques pour décider qui a accès à un emplacement physique restreint. Par exemple, un lecteur de cartes clés d'hôtel ne donne accès qu'aux clients autorisés qui ont une carte.

Qu'est-ce que le contrôle d'accès à l'information ?

Le contrôle d'accès à l'information limite l'accès aux données et aux logiciels utilisés pour manipuler ces données. En voici quelques exemples :

  • Se connecter à un ordinateur portable à l'aide d'un mot de passe
  • Déverrouillage d'un smartphone à l'aide d'une empreinte de pouce
  • Accéder à distance au réseau interne d'un employeur à l'aide d'un VPN

Dans tous ces cas, un logiciel est utilisé pour authentifier et accorder une autorisation aux utilisateurs qui doivent accéder aux informations numériques. Les authentifications et autorisations sont des composantes intégrales du contrôle d'accès à l'information.

Quelle est la différence entre l'authentification et l'autorisation ?

L'authentification est la pratique de sécurité consistant à confirmer qu'une personne est bien celle qu'elle prétend être, tandis que l'autorisation est le processus consistant à déterminer le niveau d'accès accordé à chaque utilisateur.

Par exemple, pensez à un voyageur qui s'enregistre dans un hôtel. Pour s'enregistrer à la réception, il faut qu'il présente son passeport afin de vérifier qu'il est bien la personne dont le nom figure sur la réservation. C'est un exemple d'authentification.

Une fois que l'employé de l'hôtel a authentifié le client, ce dernier reçoit une carte clé avec des privilèges limités. C'est un exemple d'autorisation. La carte-clé du client lui donne accès à sa chambre, à l'ascenseur pour clients et à la piscine — mais pas aux chambres des autres clients ni à l'ascenseur de service. Les employés de l'hôtel, en revanche, sont autorisés à accéder à davantage de zones de l'hôtel que les clients.

Les systèmes informatiques et les réseaux disposent de contrôles d'authentification et d'autorisation similaires. Lorsqu'un utilisateur se connecte à son courrier électronique ou à son compte bancaire en ligne, il utilise une combinaison de login et de mot de passe qu'il est seul à connaître. Le logiciel utilise ces informations pour authentifier l'utilisateur. Certaines applications ont des exigences d'autorisation beaucoup plus strictes que d'autres ; si un mot de passe suffit pour certaines, d'autres peuvent exiger une authentification à deux facteurs ou une confirmation biométrique, telle qu'une empreinte du pouce ou un scan du visage.

Une fois authentifié, un utilisateur ne peut voir que les informations auxquelles il est autorisé à accéder. Dans le cas d'un compte bancaire en ligne, l'utilisateur ne peut voir que les informations relatives à son compte bancaire personnel. Dans le même temps, un gestionnaire de fonds de la banque peut se connecter à la même application et consulter des données sur l'ensemble des avoirs financiers de la banque. Comme la banque traite des informations personnelles très sensibles, il est tout à fait possible que personne n'ait un accès illimité aux données. Même le président ou le responsable de la sécurité de la banque peut devoir passer par un protocole de sécurité pour accéder aux données complètes des clients individuels.

Quels sont les principaux types de contrôle d'accès ?

Une fois le processus d'authentification terminé, l'autorisation de l'utilisateur peut être déterminée de plusieurs façons :

Contrôle d'accès obligatoire (MAC) : le contrôle d'accès obligatoire établit des politiques de sécurité strictes pour les utilisateurs individuels et les ressources, systèmes ou données auxquels ils sont autorisés à accéder. Ces politiques sont contrôlées par un administrateur ; les utilisateurs individuels n'ont pas le pouvoir de définir, modifier ou révoquer des autorisations d'une manière qui contredise les politiques existantes.

Dans ce système, le sujet (l'utilisateur) et l'objet (les données, le système ou toute autre ressource) doivent se voir attribuer des attributs de sécurité similaires pour pouvoir interagir l'un avec l'autre. Pour en revenir à l'exemple précédent, le président de la banque doit non seulement disposer de l'autorisation de sécurité adéquate pour accéder aux fichiers de données des clients, mais l'administrateur système doit également spécifier que ces fichiers peuvent être consultés et modifiés par le président. Bien que ce processus puisse sembler redondant, il garantit que les utilisateurs ne peuvent pas effectuer d'actions non autorisées simplement en accédant à certaines données ou ressources.

Contrôle d'accès basé sur les rôles (RBAC) : le contrôle d'accès basé sur les rôles établit des autorisations basées sur des groupes (ensembles définis d'utilisateurs, tels que les employés de banque) et des rôles (ensembles définis d'actions, telles que celles qu'un caissier de banque ou un directeur d'agence pourrait effectuer). Les individus peuvent effectuer toute action attribuée à leur rôle, et peuvent se voir attribuer plusieurs rôles si nécessaire. Comme le MAC, les utilisateurs ne sont pas autorisés à modifier le niveau de contrôle d'accès qui a été attribué à leur rôle.

Par exemple, tout employé de banque affecté au rôle de guichetier peut recevoir l'autorisation de traiter les transactions de compte et d'ouvrir de nouveaux comptes clients. Le directeur d'une succursale, quant à lui, peut être titulaire de plusieurs rôles, l'autorisant à traiter les opérations sur les comptes, à ouvrir des comptes clients, à attribuer le rôle de guichetier à un nouvel employé, etc.

Contrôle d'accès discrétionnaire (CAD) : une fois qu'un utilisateur a reçu l'autorisation d'accéder à un objet (généralement par un administrateur système ou par le biais d'une liste de contrôle d'accès existante), il peut accorder l'accès à d'autres utilisateurs en fonction des besoins. Cela peut toutefois introduire des vulnérabilités en matière de sécurité, car les utilisateurs sont en mesure de déterminer les paramètres de sécurité et de partager les autorisations sans la stricte surveillance de l'administrateur système.

Lors de l'évaluation de la méthode d'autorisation des utilisateurs la plus appropriée pour une organisation, les besoins en matière de sécurité doivent être pris en compte. En général, les organisations qui exigent un niveau élevé de confidentialité des données (par exemple, les organisations gouvernementales, les banques, etc.) opteront pour des formes plus strictes de contrôle d'accès, comme le MAC, tandis que celles qui privilégient une plus grande flexibilité et des autorisations basées sur les utilisateurs ou les rôles se tourneront vers les systèmes RBAC et DAC.

Quelles sont les méthodes pour la mise en œuvre du contrôle d'accès ?

Un outil populaire pour le contrôle de l'accès aux informations est un réseau privé virtuel (VPN). Un VPN est un service qui permet aux utilisateurs distants d'accéder à Internet comme s'ils étaient connectés à un réseau privé. Les réseaux d'entreprise utilisent souvent les VPN pour gérer le contrôle d'accès à leur réseau interne à travers une distance géographique.

Par exemple, si une entreprise possède un bureau à San Francisco et un autre à New York, ainsi que des employés distants dispersés dans le monde entier, elle peut utiliser un VPN pour que tous ses employés puissent se connecter en toute sécurité à son réseau interne, quel que soit leur emplacement physique. La connexion au VPN permettra également de protéger les employés contre les attaques en cours s'ils sont connectés à un réseau WiFi public.

Les VPN présentent également quelques inconvénients. Par exemple, les VPN ont un impact négatif sur les performances. Lorsqu'il est connecté à un VPN, chaque paquet de données qu'un utilisateur envoie ou reçoit doit parcourir une distance supplémentaire avant d'arriver à destination, car chaque requête et chaque réponse doit passer par le serveur VPN avant d'atteindre sa destination. Ce processus augmente souvent la latence.

Les VPN offrent généralement une approche tout ou rien de la sécurité du réseau. Les VPN sont excellents pour l'authentification, mais pas pour les contrôles d'autorisation granulaires. Si une entreprise souhaite accorder différents niveaux d'accès à différents employés, elle doit utiliser plusieurs VPN. Cela crée beaucoup de complexité et ne répond toujours pas aux exigences de la sécurité Zero Trust.

Qu'est-ce que la sécurité Zero Trust ?

La sécurité Zero Trust est un modèle de sécurité informatique qui exige une vérification stricte de l'identité de toute personne et de tout appareil tentant d'accéder aux ressources d'un réseau privé, qu'ils se trouvent à l'intérieur ou à l'extérieur du périmètre du réseau. Les réseaux Zero Trust utilisent aussi la microsegmentation. La microsegmentation est la pratique consistant à diviser les périmètres de sécurité en petites zones afin de maintenir un accès séparé pour des parties distinctes du réseau.

Aujourd'hui, de nombreuses organisations remplacent les VPN par des solutions de sécurité Zero Trust comme Cloudflare Access. Une solution de sécurité Zero Trust peut être utilisée pour gérer le contrôle d'accès à la fois pour les employés sur le lieu de travail et pour les employés travaillant à distance, tout en évitant les inconvénients majeurs de l'utilisation d'un VPN.

Service commercial