Contrôle d’accès basé sur les rôles (RBAC) et Contrôle d’accès basé sur les attributs (ABAC) : Quelle est la différence ?

Contrôler les accès aux données et aux réseaux est une vraie priorité pour n’importe quelle organisation. Les entreprises ont recours au contrôle des accès, également appelé autorisation, pour donner accès aux ressources en utilisant des permissions prédéterminées ou personnalisées sur la base du rôle de l’utilisateur, des attributs de l’identité ou de facteurs de risque.

Il est également fondamental de protéger l’accès aux données des clients, sur la base de trois facteurs principaux : les réglementations sur la confidentialité des données, les besoins de sécurité de l’entreprise et les attentes en matière d’expérience client. Garantir à la fois une bonne expérience client, la sécurité des données et la conformité aux réglementations peut être difficile compte tenu du nombre d’applications et d’API impliquées, ainsi que du nombre d’individus et de processus requis pour procéder aux changements et aux mises à jour nécessaires.

Examinons deux options de contrôle d’accès :

• Le contrôle d’accès basé sur les rôles (RBAC) donne accès à des ressources ou à des informations en fonction des rôles des utilisateurs. Ce rôle peut être défini par l’intitulé du poste, le département, le lieu ou une responsabilité particulière.

• Le contrôle des accès basé sur les attributs (ABAC) constitue une approche plus flexible des décisions d’autorisation, en utilisant des informations supplémentaires (attributs) pour éclairer les décisions stratégiques. S’affranchir des rôles permet de gagner en précision grâce aux attributs, notamment contextuels, en ce qui concerne l’autorisation d’accès à un individu.

En poursuivant votre lecture vous en saurez plus sur le RBAC et l’ABAC, notamment leurs différences, leurs avantages et leurs inconvénients.

Une fois qu’un utilisateur a été authentifié, l’autorisation est utilisée pour contrôler à quelles données, applis et ressources un utilisateur vérifié peut accéder. Cela permet d’empêcher les utilisateurs non autorisés d’accéder à des informations sensibles, y compris à des applis sur site et basées sur le cloud.

Les entreprises qui suivent le principe du moindre privilège (PoLP) s’assurent que l’accès soit limité uniquement aux ressources dont l’utilisateur a vraiment besoin. Par exemple, il n’est pas souhaitable qu’un stagiaire ait le même accès et les mêmes privilèges qu’un administrateur du système. D’autres exemples incluent :

• Les équipes des ressources humaines peuvent accéder à des applis qui stockent des informations sensibles sur les employés, mais les services financiers et en charge du marketing ne le peuvent pas.

• Deux clients peuvent être connectés au même site de vente en ligne, mais un seul, qui est membre du programme de fidélité VIP, pourra accéder aux ressources du programme fidélité VIP.

Des solutions de contrôle des accès peuvent également être utilisées pour approuver ou refuser un accès à un stock de données en s’appuyant sur des directives relatives au consentement du consommateur, qui aident à respecter les réglementations sur la confidentialité des données comme le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA).

Le contrôle des accès basé sur les rôles (RBAC) accorde des permissions en fonction du rôle des utilisateurs. Les rôles peuvent être définis en s’appuyant sur des critères tels que le niveau d’autorité, la responsabilité, le titre du poste ou le statut (employé ou contractuel) ainsi que sur les besoins en fonction des tâches (droits pour consulter ou pour modifier). Par exemple, lorsqu’un nouveau vendeur est recruté, il peut rapidement obtenir un accès aux mêmes ressources prédéfinies que d’autres membres du service commercial car ils partagent le même rôle.

Avantages du contrôle des accès basé sur les rôles (RBAC)

• Une approche optimisée. Les rôles prédéfinis constituent une option prête à l’emploi, qui limite la quantité de travail qu’il faut au service informatique pour intégrer de nouveaux employés. L’approche du RBAC limite aussi les risques d’erreur de saisie des données lorsqu’un grand nombre d’employés sont recrutés en même temps.

• Il est simple d’octroyer un accès provisoire. Les utilisateurs ayant besoin d’un accès provisoire à des ressources, comme les saisonniers, peuvent obtenir un accès limité aux ressources dont ils ont besoin pour réaliser leurs tâches.

• Modifie rapidement les missions et leur date de fin. Lorsqu’un employé change de travail ou quitte l’entreprise, l’accès de cet utilisateur aux ressources peut soit être modifié pour l’associer à un nouveau rôle soit être révoqué quand l’utilisateur quitte l’entreprise.

Conformité aux réglementations. Les réglementations sur la confidentialité des données exigent que les entreprises limitent les accès à leurs ressources. En automatisant les accès en fonction des rôles, les erreurs qui permettent aux mauvaises personnes d’accéder à des données sensibles, telles que les données sur les consommateurs couvertes par les réglementations, ont moins de risques de se produire.

Le contrôle des accès basé sur les attributs (ABAC) renforce la sécurité et améliore la flexibilité en évaluant plus que des rôles pour prendre des décisions d’autorisation. Les attributs peuvent inclure les attributs de l’utilisateur (par ex., une habilitation de sécurité, l’âge), les attributs des ressources (par ex., la date de création, le type de ressource) et le contexte (par ex., l’emplacement de l’accès, le moment de la journée). Par exemple, un vendeur pourrait être bloqué s’il tente de se connecter aux ressources commerciales depuis des emplacements à haut risque, comme un coffee shop ou un aéroport, ou bien il lui sera demandé de passer des étapes de sécurité supplémentaires avant d’obtenir l’accès.

Autorisation dynamique

L’autorisation dynamique améliore l’ABAC en permettant de mettre en place une logique commerciale stricte en temps réel. Cela vous permet de contrôler les accès en demandant que certaines conditions soient réunies. L’autorisation dynamique centralise également les contrôles des accès plutôt que de les incorporer au niveau individuel de l’application, en gouvernant l’accès à des ressources entières ou à des attributs individuels.

Les avantages du Contrôle des accès basé sur les attributs (ABAC) avec l’autorisation dynamique

• Renforce la sécurité et accroît la flexibilité. Des attributs clés peuvent être évalués en temps réel au moment d’une transaction pour déterminer la validité de la demande d’accès. Ajouter du contexte améliore la prise de décisions.

• Procure de meilleures expériences client. Donne aux clients un contrôle et une visibilité accrue sur leurs données, tout en leur permettant de gérer facilement le consentement pour pouvoir protéger leur données contre des accès depuis des data stores et des API non approuvés.

• Conformité aux réglementations.  Les réglementations sur la confidentialité des données demandent aux entreprises de limiter l’accès aux données des clients. Les équipes de sécurité peuvent avancer plus rapidement en contrôlant l’accès que toutes les équipes en charge des applis et des canaux numériques ont aux données des clients.

Une meilleure agilité.  Les entreprises peuvent évaluer les données, réagir plus rapidement aux fluctuations du marché mais aussi lancer de nouvelles applications et API sans sacrifier la conformité aux régulations ou la sécurité.

Le contrôle des accès basé sur les rôles (RBAC) avait du sens lorsque les accès étaient limités aux utilisateurs se trouvant dans le périmètre d’un réseau, mais il est trop limité pour de nombreux cas d’usage actuels. Il peut constituer une bonne option pour une logique simple et statique, par exemple pour s’assurer que seuls les employés ayant un seul rôle puissent accéder aux outils dont ils ont besoin pour faire leur travail. Le RBAC n’est pas efficace pour fournir une gouvernance stricte des accès aux données ni l’autorisation nécessaire pour sécuriser les données des clients. Si les rôles et les appartenances peuvent être bien définis, le RBAC s’appuie sur les applications mêmes pour prendre des décisions sur les accès et les permissions des utilisateurs.

Le National Institute of Standards and Technology (NIST) recommande le contrôle des accès basé sur les attributs (ABAC) par rapport au contrôle des accès basé sur les rôles (RBAC) pour les organisations ayant divers cas d’usage commerciaux. L’ABAC procure un contrôle centralisé ainsi que la flexibilité nécessaire pour gérer les permissions pour différents utilisateurs, environnements et conditions.

Pour en savoir plus sur les différences entre le RBAC et l’ABAC, et savoir quelle est la meilleure option pour votre organisation, téléchargez notre livre blanc Le contrôle des accès basé sur les attributs et l’autorisation dynamique.