Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Méthodes d’autorisation | Ping Identity
Fondamentaux de la Gestion des Identités
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
Authentification basée sur des jetons
Single Sign-On (SSO)
Gestion des identités fédérées
Authentification CHAP
Qu’est-ce que l’authentification continue ?
Autorisation
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust
Expand All | Collapse All

Méthodes d’autorisation

 

L’autorisation est le processus consistant à donner à quelqu’un la possibilité d’accéder à une ressource digitale. Il existe de nombreuses façons d’autoriser l’accès des utilisateurs dans les entreprises.

 

  • Le contrôle d’accès basé sur les rôles (RBAC) : Également appelé contrôle d’accès non discrétionnaire, cette stratégie d’autorisation base l’accès des utilisateurs sur des rôles ayant été attribués.

     

  • Contrôle d’accès basé sur des politiques (PBAC) : Détermine de manière dynamique les privilèges d’accès lors de l’autorisation en fonction de politiques et de règles.

     

  • Le contrôle d’accès basé sur des attributs (ABAC) : Le contrôle des accès basé sur les attributs utilise les attributs pour déterminer l’accès d’un utilisateur aux ressources d’une application.

     

  • La gestion des accès privilégiés (PAM) : Un mécanisme de sécurité qui protège les identités avec un accès spécial ou des fonctionnalités dépassant ceux des utilisateurs normaux.

     

Le contrôle des accès basé sur les rôles (RBAC)


Le RBAC est une approche de l’autorisation qui base l’accès des utilisateurs sur le rôle d’un utilisateur au sein d’une organisation. 


Les réglementations sur la confidentialité des données, les exigences de sécurité des entreprises et les inquiétudes relatives à l’expérience client obligent les organisations à contrôler les accès aux réseaux et aux données. Le but des mesures de contrôle des accès telles que le RBAC est d’empêcher les utilisateurs non autorisés d’accéder à des informations sensibles dont ils n’ont pas besoin ou qu’ils ne devraient pas pouvoir consulter, qu’elles soient sur site ou sur cloud.


Avec le RBAC, une fois qu’un utilisateur s’est authentifié, le RBAC détermine ce à quoi il peut accéder en fonction de son rôle au sein de l’organisation ou du système. Ce rôle pourrait être défini par l’intitulé du poste, le service, l’emplacement ou les responsabilités spécifiques de l’utilisateur.


Cette stratégie permet aussi aux administrateurs de gérer plus facilement quels utilisateurs ont accès à des documents, des dossiers et des programmes sensibles et elle leur permet d’établir des permissions en fonction du rôle d’un utilisateur plutôt que de gérer les permissions individuellement pour chaque utilisateur.  


Les avantages supplémentaires incluent :
 

  • Un réglage plus facile : Les rôles prédéfinis font du RBAC une option plus largement prête à l’emploi pour le service informatique, qui réduit la charge de travail lorsque de nouveaux employés doivent être ajoutés.

  • Des changements et des résiliations plus rapides : Lorsqu’un employé quitte l’entreprise ou change de poste, l’accès de cet utilisateur aux ressources peut être révoqué ou changé pour un nouveau rôle. 

  • Conformité aux réglementations : Lorsque l’accès est basé sur les rôles, il est moins probable que les administrateurs fassent des erreurs en donnant aux mauvaises personnes accès aux données sensibles, ce qui peut augmenter la conformité aux réglementations.

RLe RBAC et d’autres mécanismes de contrôle des accès peuvent aussi être utilisés pour accorder ou refuser un accès aux données stockées en fonction des directives sur le consentement des consommateurs. Cela aide les organisations à respecter les réglementations sur la confidentialité des données comme le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA).
 

Fonctionnement du RBAC


Avec le RBAC, les utilisateurs d’un système ne se voient accorder un accès qu’aux informations qui sont directement liées à leur rôle dans ce système. L’accès est accordé en fonction de facteurs tels que l’autorité, la responsabilité et les compétences. En utilisant le RBAC, les employés peuvent accéder uniquement aux informations nécessaires pour faire leur travail.


Par exemple, un employé débutant dans un service informatique n’a pas besoin d’accéder à des documents financiers sensibles pour faire son travail, mais un responsable travaillant dans le service des ventes y aura droit.

Tous les modèles de RBAC incluent les éléments clés suivants :
 

  • Administrateurs : Les utilisateurs qui identifient les rôles et qui accordent les permissions.

  • Rôles : Les utilisateurs regroupés en fonction du travail qu’ils font.

  • Permissions : Les actions et les accès accordés à chaque rôle qui définissent ce que ces rôles sont autorisés à faire.

Le RBAC permet aux administrateurs de créer, d’attribuer et de contrôler les permissions d’accès à chaque rôle au sein d’un système.  

 

Fonctionnement des permissions


Les permissions précisent à quoi un utilisateur peut accéder et ce qu’il peut faire dans un système en fonction de son rôle dans l’organisation. Par exemple, les permissions d’accès à des documents de paie confidentiels pourraient inclure :
 

  • Lire : Quels rôles peuvent ouvrir et lire les documents ?

  • Écrire : Quels rôles peuvent apporter des modifications aux documents ?

  • Partager : Quels rôles peuvent télécharger, envoyer par email ou imprimer des documents ?

Les permissions sont attribuées en fonction des rôles.


Il faut noter que bien qu’il soit facile à mettre en place, le RBAC est une forme statique d’autorisation qui ne peut pas être facilement mise à jour lorsque les politiques d’accès des organisations changent.

 

Le contrôle des accès basé sur des politiques (PBAC)


Le PBAC est une approche de l’autorisation qui utilise des politiques pour déterminer les privilèges d’accès d’un utilisateur. À l’instar du fonctionnement du RBAC, les rôles des utilisateurs et les permissions qui y sont associées sont examinés pour déterminer l’accès, mais des attributs supplémentaires sont également évalués.  


Dans les grandes organisations, il n’est pas toujours possible de créer des rôles pour chaque combinaison de privilège d’accès, et d’autres éléments, comme l’heure ou l’emplacement de la connexion, ne peuvent pas être saisis avec le RBAC. Avec le PBAC, l’accès n’est pas seulement déterminé par le rôle et les permissions qui y sont associées, mais également par une variété d’autres attributs, en fournissant des fonctionnalités de contrôle plus strictes.


Les avantages supplémentaires incluent : 
 

  • Flexibilité et rapidité : Les administrateurs ont un contrôle accru sur le niveau d’accès et peuvent ajouter, supprimer ou modifier les permissions pour un grand nombre d’utilisateurs en même temps.
     

  • Adaptabilité : Les politiques peuvent concerner un large éventail d’attributs dynamiques et de contrôles contextuels, comme des restrictions d’accès liées à l’heure ou à l’emplacement.
     

  • Observabilité : Les politiques peuvent être lues par des humains et facilitent la consultation des relations entre les identités et les ressources.

Fonctionnement du PBAC


Les administrateurs créent des politiques d’accès basées sur les rôles et les attributs des utilisateurs, et ils établissent des règles en fonction des rôles et des attributs qui déterminent les accès de manière dynamique. Les décisions sont prises en fonction du contexte et des risques lorsque la demande d’accès est lancée.


Ces politiques déterminent aussi quelles permissions ils ont après avoir accédé aux ressources. Ils peuvent déterminer si les utilisateurs ont seulement un accès de lecteur ou s’ils peuvent apporter des modifications à l’élément ou le partager avec d’autres.


Les politiques peuvent être basées sur un large éventail d’attributs différents, notamment :
 

  • Nom

  • Organisation

  • Profession

  • Passage de la sécurité

  • Propriétaire

  • Date de création

  • Type de fichier

  • Heure de la journée

  • Emplacement de l’accès

  • Niveau de la menace

Le PBAC procure aux administrateurs la flexibilité pour ajouter un contrôle strict des accès aux ressources en ligne en fonction des politiques et des règles. Bien qu’elles soient plus puissantes et plus flexibles, les méthodes de PBAC sont aussi, souvent, plus complexes et plus chères à mettre en place que les méthodes de RBAC.
 

Le contrôle des accès basé sur les attributs (ABAC)


L’ABAC est une approche d’autorisation qui utilise des attributs ou des caractéristiques pour déterminer de façon dynamique les privilèges des accès des utilisateurs.  


À l’instar du PBAC, les administrateurs créent des politiques d’accès basées sur les rôles et les attributs des utilisateurs, et ils établissent des règles en fonction des rôles et des attributs qui déterminent les accès de manière dynamique. Les décisions sont prises en fonction du contexte et des risques lorsque la demande d’accès est lancée.


Toutefois le PBAC se concentre sur des politiques qui accordent ou refusent l’accès de l’utilisateur à une ressource, et l’ABAC se focalise sur les attributs spécifiques qui influencent les politiques.


L’utilisation de l’ABAC présente les avantages suivants :
 

  • Granularité : Étant donné qu’il utilise des attributs plutôt que des rôles pour préciser les relations entre les utilisateurs et les ressources, les administrateurs peuvent créer des règles ciblées avec précision sans devoir créer de rôles supplémentaires.  
     

  • Flexibilité : Plutôt que de modifier les règles ou de créer de nouveaux rôles, les administrateurs doivent seulement assigner les attributs adaptés aux nouveaux utilisateurs et aux ressources.
     

  • Adaptabilité : Les administrateurs peuvent modifier les attributs et créer des règles sensibles au contexte pour satisfaire leurs besoins. 
     

Fonctionnement de l’ABAC


Avec l’ABAC, lorsque les utilisateurs tentent d’accéder à des ressources, les politiques appliquent des décisions d’accès en fonction des attributs du sujet, de la ressource, de l’action et de l’environnement concernés.


Ces attributs peuvent inclure :
 

  • Attributs de l’utilisateur, comme :
    • Type d’utilisateur
    • Rôle de l’utilisateur
    • Service de l’utilisateur
       
  • Attributs de l’environnement, comme&nbpsp;:
    • Heure et date de la demande
    • Emplacement depuis lequel provient la demande
    • Appareil de l’utilisateur
       
  • Attributs de la ressource, notamment :
    • Nom du fichier
    • Sensibilité du fichier
    • Créateur du fichier

À l’instar du PBAC, les administrateurs ont un contrôle strict des accès aux ressources en ligne, s’appuyant sur des politiques et des règles. Et comme le PBAC, l’ABAC est plus puissant et plus flexible que les méthodes de RBAC ; les méthodes d’ABAC sont souvent plus complexes et plus chères à mettre en place.
 

Similarités et différences entre RBAC, PBAC et ABAC

 

Les similarités et les différences importantes entre les trois méthodes d’autorisation incluent :

 

  • Le RBAC accorde un accès en fonction des rôles des utilisateurs, le PBAC accorde un accès en fonction de politiques et l’ABAC accorde un accès en fonction des attributs ou des caractéristiques de l’utilisateur, des ressources et de l’environnement au moment de la connexion.
     

  • Tout comme le PBAC, l’ABAC fournit une approche plus stricte et dynamique de l’autorisation que le RBAC, mais elle est plus complexe et plus chère à mettre en place. Mais elle conduit à une meilleure sécurité, une meilleure flexibilité, une meilleure expérience client et une plus grande conformité aux réglementations que le RBAC, qui n’est pas conçu pour donner la même gouvernance et les mêmes autorisations d’accès aux données.

  • Le PBAC se concentre sur des politiques qui accordent ou refusent l’accès de l’utilisateur final à une ressource, et l’ABAC se focalise sur les attributs spécifiques qui influencent les politiques.
     

Gestion des accès privilégiés (PAM)


La gestion des accès privilégiés (PAM) utilise une combinaison de personnes, de processus et de technologies pour protéger les fonctionnalités des administrateurs, donner du pouvoir aux utilisateurs et se protéger contre ceux qui pourraient saboter le système avec un compte privilégié.


Chaque système technologique maintient la sécurité en donnant aux utilisateurs des niveaux d’accès différents. Le principe du moindre privilège (POLP) considère que les utilisateurs standards devraient avoir un accès minimum aux rôles et permissions nécessaires pour faire leur travail et rien de plus.


Les administrateurs ont le pouvoir de faire des modifications importantes sur l’environnement général, en ajoutant ou en supprimant des utilisateurs, en mettant à niveau et en installant du matériel et des logiciels, en réparant des pannes, en sauvegardant des données et en gérant la sécurité du réseau.

 

Étant donné que les administrateurs ont le pouvoir de changer considérablement l’environnement du réseau, seuls les utilisateurs de confiance devraient pouvoir accéder à ces types de comptes. La PAM est une forme de contrôle des accès basé sur les rôles (RBAC) et un composant essentiel d’un protocole de sécurité général sur la gestion des identités et des accès (IAM).

Fonctionnement de la PAM


Les utilisateurs des accès privilégiés ont accès à des parties hautement sensibles et restreintes d’un système technologique qui est hors des limites des utilisateurs standard. Si quelqu’un ayant des intentions malveillantes accédait à un compte privilégié, il pourrait faire des ravages sur un système, ce qui entraînerait des conséquences majeures de sécurité et de fonctionnement.


Le concept de la PAM aide à protéger contre cette possibilité en ajoutant des couches de protection supplémentaires sur les comptes privilégiés et il existe plusieurs manière de l’utiliser :
 

  • Une application uniforme de l’authentification multifacteur (MFA) et des niveaux supplémentaires d’authentification pour les utilisateurs privilégiés

  • Un audit fréquent des activités des utilisateurs privilégiés par les comptes d’autres administrateurs

  • Le stockage des identifiants des utilisateurs privilégiés dans des coffre-forts de mots de passe hautement sécurisés

  • Un système robuste de surveillance, de suivi, d’audit et de rapports sur les sessions des utilisateurs pour identifier automatiquement les activités anormales
     

Ressources Annexes

Blog
Contrôle d’accès basé sur les rôles (RBAC) et Contrôle d’accès basé sur les attributs (ABAC) : Quelle est la différence ?

   

Blog
Le Principe du moindre privilège (PoLP), c’est quoi ?

   

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.