Qu'est-ce que l'Access Control ?
L'Access Control (contrôle d'accès) est l'ensemble des mécanismes et politiques qui déterminent qui peut accéder à quelles ressources dans un système d'information, et quelles actions peuvent être effectuées sur ces ressources. C'est un pilier fondamental de la sécurité informatique.
Le contrôle d'accès repose sur trois concepts : l'authentification (qui êtes-vous ?), l'autorisation (que pouvez-vous faire ?) et l'accountability (traçabilité de vos actions).
Principes fondamentaux
Le principe du moindre privilège stipule qu'un utilisateur ne doit avoir que les droits strictement nécessaires à l'accomplissement de ses tâches. Cette approche limite les dommages potentiels en cas de compromission.
La séparation des tâches (Separation of Duties) impose qu'aucune personne seule ne puisse réaliser une opération sensible de bout en bout. Par exemple, celui qui initie un paiement ne devrait pas être celui qui l'approuve.
Le Need-to-know restreint l'accès aux informations uniquement à ceux qui en ont besoin pour leur fonction. La révocation rapide assure que les accès sont retirés immédiatement lorsqu'ils ne sont plus nécessaires.
Modèles de contrôle d'accès
Le DAC (Discretionary Access Control) permet aux propriétaires de ressources de définir qui y accède. C'est le modèle des systèmes de fichiers classiques (permissions Unix/Windows). Simple mais décentralisé, il peut devenir difficile à gérer à grande échelle.
Le MAC (Mandatory Access Control) impose des règles strictes basées sur des classifications de sécurité (Confidentiel, Secret, etc.). Utilisé dans les environnements militaires et gouvernementaux hautement sécurisés.
Le RBAC (Role-Based Access Control) attribue des permissions à des rôles plutôt qu'aux individus. Les utilisateurs héritent des droits de leurs rôles assignés, simplifiant grandement la gestion dans les grandes organisations.
L'ABAC (Attribute-Based Access Control) base les décisions sur des attributs multiples : caractéristiques de l'utilisateur, de la ressource, de l'environnement (heure, localisation) et de l'action demandée. Plus flexible mais plus complexe.
Composants d'un système de contrôle d'accès
Le Subject (sujet) est l'entité demandant l'accès : utilisateur, processus, service ou dispositif. L'Object (objet) est la ressource protégée : fichier, base de données, application ou service.
L'Access Right définit le type d'action autorisée : lecture, écriture, exécution, suppression ou modification. Le Policy Enforcement Point (PEP) intercepte les requêtes et applique les décisions.
Le Policy Decision Point (PDP) évalue les requêtes contre les politiques et rend une décision d'autorisation ou de refus. Le Policy Administration Point (PAP) permet de définir et gérer les règles d'accès.
Méthodes d'authentification
L'authentification par connaissance utilise quelque chose que vous savez : mot de passe, PIN ou réponses à des questions secrètes. Simple mais vulnérable aux attaques de credential stuffing.
L'authentification par possession requiert quelque chose que vous avez : carte à puce, token hardware, ou smartphone recevant des codes OTP. Plus sécurisé mais peut être perdu ou volé.
L'authentification par inhérence vérifie quelque chose que vous êtes : empreinte digitale, reconnaissance faciale, iris ou voix. Difficile à usurper mais soulève des questions de vie privée.
L'authentification multifacteur (MFA) combine au moins deux méthodes différentes, renforçant considérablement la sécurité.
Contrôle d'accès réseau (NAC)
Le Network Access Control étend le contrôle d'accès au niveau réseau. Il vérifie l'identité des dispositifs et leur conformité aux politiques de sécurité (antivirus à jour, patches installés) avant d'autoriser la connexion.
Les solutions NAC peuvent appliquer une quarantaine pour les dispositifs non conformes, offrir un accès réseau segmenté selon le profil, et bloquer les dispositifs non autorisés.
Gestion des accès privilégiés (PAM)
Le Privileged Access Management sécurise spécifiquement les comptes à hauts privilèges : administrateurs, comptes de service et comptes d'urgence. Ces comptes sont des cibles privilégiées des attaquants.
Les fonctionnalités incluent le coffre-fort de mots de passe pour stocker les credentials privilégiés, la rotation automatique des mots de passe, l'élévation temporaire de privilèges, et l'enregistrement des sessions pour audit.
Audits et révision des accès
Les revues régulières des permissions identifient les accès obsolètes ou excessifs. Les certifications périodiques obligent les managers à confirmer que les accès de leurs équipes sont appropriés.
L'analyse des logs d'accès détecte les comportements anormaux : accès à des heures inhabituelles, tentatives de connexion multiples, ou accès à des ressources non liées aux fonctions.
Les rapports de conformité démontrent le respect des exigences réglementaires (RGPD, SOX, HIPAA).
Défis modernes
Le cloud computing complexifie le contrôle d'accès avec des ressources distribuées et des modèles de responsabilité partagée. L'approche Zero Trust répond en vérifiant continuellement chaque requête.
Le BYOD (Bring Your Own Device) et le travail hybride élargissent le périmètre à sécuriser. Les identités machines (API, conteneurs, IoT) dépassent numériquement les identités humaines.
Un contrôle d'accès efficace nécessite équilibre entre sécurité et usabilité, gouvernance claire et outils adaptés pour rester gérable à l'échelle.