Qu'est-ce qu'une autorisation ?
- Glossaire IAM
- Qu'est-ce qu'une autorisation ?
L'autorisation est le processus de détermination d'accorder ou de refuser aux utilisateurs le droit d'accéder aux ressources. L'autorisation fonctionne en suivant un ensemble de règles et de politiques prédéfinies. Ces règles sont généralement gérées par un système de gestion des accès qui établit des autorisations en fonction des exigences de l'organisation. Lorsqu'un utilisateur tente d'accéder à une ressource, le système d'autorisation évalue ses autorisations et les politiques prédéfinies de l'organisation avant de permettre à l'utilisateur d'accéder à la ressource.
Autorisation vs. authentification : Quelle est la différence ?
L'authentification est le processus de vérification qui assure qu'un utilisateur est bien ce qu'il prétend être. L'autorisation, d'autre part, est le processus d'octroi d'accès aux ressources et quelles actions l'utilisateur peut effectuer avec ces ressources. Après qu'un utilisateur est authentifié à l'aide de ses informations d'identification, le système passe ensuite par le processus d'autorisation.
L'autorisation et l'authentification fonctionnent ensemble pour s'assurer que les utilisateurs ont accès aux ressources dont ils ont besoin tout en maintenant la sécurité et l'intégrité de l'organisation.
L'importance de l'autorisation
Sans processus d'autorisation rigoureux, les organisations ont une mauvaise gouvernance, ce qui entraîne un manque de visibilité et de maîtrise des activités des employés et un risque accru d'accès non autorisé par les utilisateurs. Voyons comment l'autorisation répond à ces préoccupations.
- Suit le principe du moindre privilège (PoLP) : Le principe du moindre privilège est une notion de cybersécurité dans laquelle les utilisateurs n'ont accès qu'aux ressources nécessaires pour faire leur travail. Le respect de ce principe garantit une sécurité accrue et une maîtrise accrue des privilèges car il réduit la surface d'attaque de l'organisation. L'autorisation adhère à ce principe car elle accorde strictement le niveau minimum de droit d'accès, limitant l'accès non autorisé.
- Permet aux organisations de définir, de gérer et de mettre à jour les droits d'accès des utilisateurs dans un emplacement centralisé. Grâce à cette fonctionnalité efficace, il est garanti que des autorisations d'accès spécifiques sont appliquées en fonction de chaque utilisateur et rôle.
Types de modèles d'autorisation
Voici cinq types de modèles d'autorisation utilisés par les organisations pour sécuriser l'accès aux ressources.
Contrôle d'accès à base de rôles (RBAC)
Le contrôle d'accès à base de rôles est un type de dispositif d'accès qui définit des autorisations en fonction du rôle et des fonctions de l'utilisateur au sein de l'organisation. Par exemple, les employés de niveau inférieur n'auront pas accès à des informations ou des systèmes hautement sensibles que les utilisateurs privilégient. Lorsqu'un utilisateur tente d'accéder à une ressource, le système inspecte le rôle de l'utilisateur pour déterminer si la ressource est associées à ses responsabilités professionnelles.
Contrôle d'accès basé sur les relations (ReBAC)
Le contrôle d'accès basé sur les relations est un type de dispositif d'accès qui met l'accent sur la relation entre l'utilisateur et la ressource. Pensez à Google Drive, un propriétaire d'un document a accès pour afficher, modifier et partager le document. Un membre de la même équipe peut seulement avoir la permission de visualiser le document, tandis qu'un autre membre peut être autorisé à afficher et à modifier le document.
Contrôle d'accès basé sur les attributs (ABAC)
Le contrôle d'accès basé sur les attributs est un type de dispositif d'accès qui évalue les attributs associés à un utilisateur pour déterminer s'il peut accéder aux ressources. Ce modèle d'autorisation est une forme plus détaillée de contrôle d'accès car il aborde le sujet, la ressource, l'action et l'environnement. L'ABAC autorisera l'accès à des ressources spécifiques associées à ces caractéristiques.
Contrôle d'accès discrétionnaire (DAC)
Le contrôle d'accès discrétionnaire est un type de dispositif d'accès dans lequel les propriétaires de ressources prennent la responsabilité de décider comment leurs ressources seront partagées. Disons qu'un utilisateur veut accéder à un document spécifique. Il appartient en fin de compte au propriétaire du document d'autoriser l'utilisateur et de définir ses autorisations. Dans certains cas, les propriétaires de ressources accordent à certains utilisateurs des privilèges supérieurs. Ces privilèges peuvent inclure la possibilité de gérer ou de modifier les droits d'accès pour d'autres utilisateurs.
Contrôle d'accès obligatoire (MAC)
Le contrôle d'accès obligatoire est un type de dispositif d'accès qui gère les autorisations d'accès en fonction de la sensibilité de la ressource et du niveau de sécurité de l'utilisateur. Lorsqu'un utilisateur tente d'accéder à une ressource, le système comparera le niveau de sécurité de l'utilisateur à la classification de sécurité des ressources. Si le niveau de sécurité de l'utilisateur est égal ou supérieur à la classification des ressources, il sera autorisé à y accéder. MAC est principalement utilisé dans les environnements gouvernementaux ou militaires qui nécessitent une sécurité de premier ordre.