Qu’est-ce que le contrôle d’accès basés sur les rôles (RBAC).

juillet 19, 2021

La gestion des identités et des accès (IAM) fait partie intégrante de la stratégie de sécurité de l’entreprise moderne. En veillant à ce que seules les personnes autorisées puissent accéder à des systèmes et des données spécifiques, une solution IAM permet de limiter l’exposition de votre entreprise et de réduire les risques. Bon nombre de systèmes IAM font appel à une méthode appelée « contrôle d’accès basé sur les rôles » (RBAC) pour attribuer des autorisations permettant de déterminer qui peut faire quoi dans des ressources informatiques spécifiques telles que des applications, en fonction de la structure de l’entreprise et des responsabilités des utilisateurs.

Également appelée « sécurité basée sur les rôles », une solution RBAC peut restreindre les actions en fonction de critères tels que le service ou l’unité commerciale, le poste occupé et le niveau d’autorité. Si votre entreprise traite des informations d’identification personnelle (PII), telles que des dossiers clients, des transactions financières ou de la propriété intellectuelle, il est important de comprendre ce qu’est le contrôle RBAC et comment vous pouvez l’utiliser pour améliorer la sécurité.

Qu’est-ce que le contrôle RBAC et comment fonctionne-t-il ?

RBAC vous permet de créer et de faire appliquer un accès avancé, en attribuant un ensemble d’autorisations. Les autorisations sont basées sur le niveau d’accès dont les catégories d’utilisateurs spécifiques ont besoin pour accomplir leurs tâches. En d’autres termes, en fonction de facteurs tels que leur fonction et leurs responsabilités, différentes personnes de votre entreprise peuvent avoir des niveaux et des types de privilèges d’accès complètement différents.

Par exemple, les employés des ressources humaines peuvent consulter les dossiers des employés, mais n’ont pas accès aux données des clients. De plus, un responsable des ressources humaines peut supprimer ou modifier des dossiers RH, alors qu’un spécialiste RH de niveau inférieur ne peut que les consulter.

Aux États-Unis, le National Institute of Standards and Technology (NIST, institut national des normes et de la technologie) a introduit l’approche RBAC qu’il estime être une meilleure alternative au contrôle d’accès discrétionnaire (DAC). L’approche RBAC vous permet d’attribuer un ou plusieurs rôles à chaque utilisateur, puis d’attribuer des privilèges autorisés pour ces rôles. Les utilisateurs peuvent être des employés, des sous-traitants, des partenaires commerciaux, etc., et chaque rôle au sein de ces catégories dispose d’autorisations prédéfinies. Lorsque les responsabilités ou les fonctions d’une personne changent, par exemple à la suite d’une promotion ou d’un transfert d’un service à un autre, cette personne est affectée au nouveau rôle dans le système RBAC.

Qu’est-ce qu’un rôle RBAC ?

Dans le cadre RBAC, un rôle est une construction sémantique que vous utilisez pour créer des autorisations. Un rôle peut être défini par certains critères, par exemple l’autorité, les responsabilités, le centre de coûts et l’unité commerciale.

Le rôle fait essentiellement référence à l’ensemble des autorisations des utilisateurs. Il y a là une différence avec les groupes traditionnels, lesquels correspondent à un ensemble d’utilisateurs. Dans le contexte d’une solution RBAC, les autorisations sont liées aux rôles plutôt que d’être directement rattachées aux identités.

En ce qu’ils sont organisés autour de la gestion des accès, les rôles sont plus stables que les groupes, et dans une entreprise classique, les fonctions et les activités ne changent pas aussi fréquemment que les identités.

Quels sont les avantages du contrôle d’accès basés sur les rôles (RBAC) pour les entreprises ?

L’un des principaux avantages du contrôle RBAC est l’approche systématique qu’il fournit pour la définition et le maintien des rôles, vous permettant d’octroyer systématiquement l’accès uniquement en fonction des besoins des utilisateurs et, par conséquent, de réduire le risque de violation ou de perte de données.

Mais la solution RBAC présente de nombreux autres avantages, notamment :

  • Accélérer l’intégration en attribuant automatiquement l’accès aux nouveaux employés en fonction des attributs RH
  • Rationaliser le travail des administrateurs informatiques – par exemple, grâce à une réaffectation rapide des autorisations à un niveau global, sur plusieurs plateformes et applications
  • Améliorer la conformité aux réglementations telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne ou la loi américaine sur la portabilité et la responsabilité des assurances maladie (Health Insurance Portability and Accountability Act, HIPAA)
  • Réduire les risques liés aux tiers, en attribuant des rôles prédéfinis aux utilisateurs externes, tels que les fournisseurs et les partenaires commerciaux
  • Maintenir la bonne pratique du « privilège minimum » en mettant automatiquement à jour les autorisations d’accès lorsque les rôles changent
  • Diminuer les coûts du contrôle d’accès avancé, en particulier dans les environnements vastes et complexes

Qu’est-ce que la norme RBAC ?

La mise en œuvre du contrôle RBAC peut être complexe, car le développement de la structure RBAC (appelée « ingénierie de rôles ») implique de nombreux éléments et de nombreuses étapes. Pour aider les entreprises dans le cadre de ce processus, l’institut NIST a proposé des normes RBAC unifiées.

En 2004, l’InterNational Committee for Information Technology Standards (INCITS), un organisme américain qui élabore des normes relatives aux technologies de l’information et des communications, a adopté les normes proposées par l’institut NIST. L’INCITS a publié une version révisée des normes RBAC en 2012.

En outre, certains groupes industriels et d’autres entités ont développé des normes qui s’adressent à des domaines spécialisés. Par exemple, Health Level Seven (HL7), une entreprise internationale de développement de normes pour les soins de santé, dispose de ses propres lignes directrices pour l’ingénierie basée sur les rôles.

Les quatre modèles de contrôle RBAC

La norme de l’institut NIST comprend quatre modèles de contrôle RBAC :

  • Modèle RBAC de base :  le modèle de base comporte trois éléments : les utilisateurs, les rôles et les autorisations. La conception du modèle repose sur le principe « plusieurs-à-plusieurs », ce qui signifie que plusieurs utilisateurs peuvent avoir le même rôle et qu’un même utilisateur peut avoir plusieurs rôles. De même, vous pouvez affecter la même autorisation à plusieurs rôles et affecter le même rôle à plusieurs autorisations.
  • Modèle RBAC hiérarchique : ce modèle ajoute un quatrième élément – la hiérarchie – qui définit les relations d’ancienneté entre les différents rôles. En permettant aux rôles supérieurs d’acquérir automatiquement les autorisations des rôles inférieurs, vous éliminez les redondances telles que la nécessité de spécifier certaines autorisations lorsque les rôles se superposent.
  • Relations de séparation statique des tâches (SSD) : pour vous aider dans les situations où vous avez des politiques de conflits d’intérêts, des relations entre les rôles sont ajoutées en fonction des affectations des utilisateurs. Par exemple, un utilisateur qui est titulaire d’un rôle ne pourra pas se voir attribuer une appartenance à un rôle qui présente un conflit d’intérêts.
  • Relations de séparation dynamique des tâches (DSD) : Comme le modèle SSD, le modèle DSD limite les autorisations des utilisateurs disponibles, mais il se fonde sur un contexte différent. Par exemple, un utilisateur peut avoir besoin d’un niveau d’accès différent en fonction de la tâche effectuée pendant une session, et le modèle DSD restreint les autorisations qui sont activées pendant cette session.

Mise en œuvre du contrôle RBAC

Avant de mettre en œuvre des contrôles basés sur les rôles dans votre entreprise, il est important de ne pas oblitérer quelques étapes fondamentales. Envisagez de commencer par des activités telles que celles ci-dessous :

  • Identification de vos besoins professionnels : il s’agit ici notamment de comprendre les différentes fonctions de votre entreprise ainsi que les processus et les technologies qui soutiennent ces fonctions.
  • Compréhension du champ d’application : pour minimiser les perturbations pendant la transition, prévoyez de commencer par les systèmes essentiels, puis d’étendre les contrôles progressivement à tous les systèmes.
  • Création et définition des rôles : une fois que vous avez compris les besoins et la manière dont les personnes occupant des fonctions différentes effectuent leurs activités et leurs tâches quotidiennes, vous pouvez créer une liste des autorisations dont ces groupes d’utilisateurs ont besoin.
  • Élaboration d’un calendrier de déploiement : il s’agit ici de donner aux parties prenantes le temps de se préparer et de minimiser les perturbations.
  • Rédaction d’une politique : le fait de documenter la manière dont les changements sont effectués permet d’assurer la transparence, de clarifier votre processus et d’éviter les problèmes potentiels.

Bonnes pratiques en matière de mise en œuvre

Pour garantir une mise en œuvre réussie, tenez compte de ces bonnes pratiques :

  • Optez pour une mise en œuvre progressive du contrôle RBAC. En plus de réduire les perturbations, une intégration progressive vous aide à gérer la charge de travail et à résoudre les problèmes. L’une des façons d’introduire progressivement le plan consiste à commencer par des contrôles de haut niveau, puis d’ajouter de la granularité au stade suivant. Vous pouvez également commencer par un groupe restreint d’utilisateurs et résoudre les éventuels bogues avant d’étendre plus largement le déploiement.
  • Révisez et adaptez. Il est fort probable que votre infrastructure RBAC nécessite quelques ajustements. Vérifiez et évaluez les accès et les autorisations et affinez vos contrôles périodiquement. Veillez à évaluer non seulement les processus, mais aussi la sécurité de ces processus.
  • Dispensez une formation. Pour garantir l’adhésion des parties prenantes avant l’adoption, informez les employés et les autres utilisateurs de l’importance de l’approche RBAC pour votre entreprise. Les gens n’aiment pas le changement et le fait de les aider à comprendre pourquoi vous mettez en œuvre les contrôles RBAC accélérera leur acceptation du nouveau processus et des nouvelles politiques. Faites participer tout le monde à ces conversations, des hauts responsables aux employés ordinaires.

Pour conclure

L’utilisation de l’approche RBAC augmente considérablement votre capacité à gérer les accès, ce qui non seulement renforce la sécurité et améliore la conformité, mais rend également vos opérations informatiques plus efficaces. Si vous disposez d’une stratégie IAM, ou si vous l’envisagez, les rôles réduiront les tâches répétitives et les processus manuels.

Leader en matière de sécurité des identités, SailPoint peut vous aider à mettre en œuvre et à gérer efficacement votre projet de contrôle d’accès basé sur les rôles (RBAC). Par exemple, SailPoint Access Modeling utilise le Machine Learning breveté pour fournir des conseils sur l’affinement et le maintien des rôles. L’utilisation des bons outils d’automatisation dans le cadre de votre programme RBAC vous aidera à surmonter les complexités et l’échelle des accès.

You might also be interested in:

Article

Meilleures pratiques en matière de gestion des risques de cybersécurité

Customer Success

Nedbank: Des outils traditionnels à une gouvernance pointue des identités

Article

Qu’est-ce que la gestion des identités et des accès?

Prenez votre plate-forme cloud en main.

En savoir plus sur SailPoint Access Modeling.

Commencez dès maintenant