Qu'est-ce que le contrôle d'accès basé sur les rôles ?
- Glossaire IAM
- Qu'est-ce que le contrôle d'accès basé sur les rôles ?
Le contrôle d'accès basé sur les rôles (RBAC) s'appuie sur des rôles et des privilèges définis pour limiter l'accès aux systèmes aux utilisateurs autorisés. Le RBAC est la base de l'accès par moindre privilège et peut également être utilisé pour mettre en œuvre d'autres modèles d'accès, tels que le contrôle d'accès par attributs (ABAC).
Comment fonctionne le contrôle d'accès basé sur les rôles ?
Le principe du contrôle d'accès basé sur les rôles est simple : limiter l'accès des utilisateurs aux systèmes et aux données au strict minimum dont ils ont besoin pour faire leur travail, et pas plus, un concept connu sous le nom de principe du moindre privilège (parfois abrégé en PoLP).
Dans un environnement d'accès basé sur les rôles, le rôle d'un utilisateur au sein de l'entreprise détermine les autorisations réseau spécifiques qui lui sont accordées. Cela signifie qu'il faut empêcher les employés de niveau inférieur d'accéder à des informations et des ressources très sensibles, mais les niveaux d'accès basés sur les rôles sont généralement plus granulaires. Lorsque le RBAC est correctement mis en œuvre, les utilisateurs ne doivent pas pouvoir accéder à des ressources en dehors de leur domaine d'activité. Par exemple, les employés du marketing ne doivent pas avoir accès aux environnements des développeurs, et vice versa.
De plus, l'accès basé sur les rôles permet de limiter ce que les utilisateurs peuvent faire avec un système ou un fichier dont l'accès leur a été accordé. Un utilisateur peut disposer d'un accès en lecture seule à certains fichiers ou systèmes, comme les bases de données, mais d'un accès en lecture/écriture à d'autres.
RBAC et ABAC
Le contrôle d'accès basé sur les rôles est souvent utilisé en association avec le contrôle d'accès basé sur les attributs. Bien que ABAC et RBAC soient des concepts différents, RBAC est fréquemment utilisé en conjonction avec ABAC.
ABAC est un système plus fin que RBAC et peut être considéré comme une extension ou une amélioration de l'accès basé sur les rôles. Si le RBAC dépend du rôle de l'utilisateur au sein de l'entreprise, dans un modèle ABAC, les droits d'accès des utilisateurs dépendent d'une combinaison d'attributs, et pas seulement des rôles des utilisateurs. Ces attributs comprennent, sans s'y limiter, le rôle de l'utilisateur dans l'entreprise, le lieu depuis lequel il essaie d'accéder aux ressources, le dispositif qu'il utilise et les attributs associés au système ou à l'application auxquels il essaie d'accéder. Les entreprises peuvent ainsi accorder des accès et appliquer des restrictions en fonction du profil de risque de chaque utilisateur.
Vous pouvez, par exemple, interdire à vos administrateurs informatiques d'accéder à distance aux systèmes back-end à moins d'utiliser un VPN ou un gestionnaire de connexion de bureau à distance, ou interdire à tous les employés d'accéder aux ressources de l'entreprise à moins d'utiliser un appareil fourni par l'entreprise.
RBAC et listes de contrôle d'accès (ACL)
Une liste de contrôle d'accès (ACL) est une liste d'utilisateurs qui ont accès à une ressource particulière, ainsi que les privilèges dont dispose chaque utilisateur pour cette ressource (lecture seule, lecture-écriture, etc.). Les listes de contrôle d'accès sont la base du modèle de contrôle d'accès discrétionnaire (DAC).
L'exemple le plus courant d'ACL et de DAC en action est le système de fichiers Windows, qui permet aux utilisateurs et aux administrateurs de définir des ACL individuelles pour chaque objet, tel qu'un document texte ou un dossier de fichiers.
Les listes de contrôle d'accès, généralement constituées d'adresses IP, sont également utilisées par les administrateurs réseau pour filtrer le trafic vers les VPN, les pare-feu d'applications Web (WAF) et les routeurs et commutateurs de réseau. La liste de contrôle d'accès peut contenir une liste d'autorisation d'adresses IP autorisées ou une liste de blocage d'adresses IP non autorisées.
Si vous pensez que cela représente beaucoup de travail, vous avez raison. La gestion de listes massives d'autorisations et de blocages prend beaucoup de temps et est propice aux erreurs. C'est pourquoi les ACL (et le modèle DAC) ne sont utiles que dans des cas isolés impliquant un petit nombre d'utilisateurs.
En résumé : alors que le RBAC définit les privilèges d'accès au niveau du groupe, une ACL les définit au niveau de l'utilisateur individuel ou de l'IP. Cela rend le RBAC beaucoup moins laborieux et moins sujet aux erreurs que les listes de contrôle d'accès, et donc beaucoup plus adapté à un environnement professionnel comptant des dizaines, des centaines, voire des milliers d'utilisateurs.
Quels sont les avantages du RBAC ?
La mise en place d'un contrôle d'accès basé sur les rôles présente de nombreux avantages, notamment :
Renforcement de la sécurité
En limitant l'accès des employés aux seules ressources dont ils ont besoin pour accomplir leur travail, vous empêchez les personnes négligentes ou malveillantes de supprimer, de détourner ou de compromettre l'intégrité des fichiers et des autres actifs numériques, tels que les bases de données et le code source.
Par ailleurs, si une menace externe venait à dérober un ensemble d'identifiants de connexion, le système RBAC et l'accès au moindre privilège l'empêcheraient de se déplacer latéralement dans le réseau et d'élever ses privilèges.
Le RBAC et l'accès au moindre privilège sont également des éléments clés des modèles modernes d'accès au réseau zero-trust.
Renfort des initiatives de conformité
L'accès basé sur les rôles permet aux entreprises de répondre aux exigences de conformité sectorielle et réglementaire, notamment HIPAA, le RGPD et d'autres cadres de protection des données et de la vie privée qui imposent des contrôles de confidentialité et de respect de la vie privée pour les informations d'identification personnelle (IPI) et d'autres données sensibles. Ceci est particulièrement important dans les industries hautement réglementées telles que les soins de santé et la finance, ainsi que les agences gouvernementales.
Réduction des coûts et de la charge administrative
Les rôles d'utilisateur prédéfinis d'un modèle RBAC réduisent la charge administrative lors de l'intégration et de l'exclusion des employés, lorsque les employés prennent de nouvelles fonctions ou responsabilités au sein de l'entreprise, ou lorsque l'entreprise doit accorder l'accès à un fournisseur ou à un entrepreneur tiers. Pour accorder l'accès à un nouvel utilisateur ou modifier l'accès d'un utilisateur existant, il suffit de lui attribuer le ou les rôles appropriés. De même, lorsque les utilisateurs quittent l'entreprise, les administrateurs informatiques et de sécurité peuvent rapidement révoquer leur accès aux systèmes.
En donnant aux administrateurs une visibilité sur l'accès et l'activité des utilisateurs, le RBAC permet aux entreprises d'identifier les domaines dans lesquels elles peuvent utiliser les ressources du réseau de manière plus avantageuse, comme la bande passante et le stockage.
Comment mettre en œuvre le contrôle d'accès basé sur les rôles ?
1. Élaborez une stratégie qui réponde aux besoins de votre entreprise.
Avant de vous lancer dans la définition des rôles, faites l'inventaire de vos systèmes pour déterminer les ressources dont vous devez contrôler l'accès. Identifiez les systèmes qui traitent ou stockent des informations sensibles, comme les bases de données clients et les environnements de développement, ainsi que les systèmes auxquels tout le monde doit avoir accès, comme le courrier électronique de l'entreprise et les systèmes de gestion des tickets du service d'assistance.
Examinez également les processus métier, les technologies, les exigences de conformité et la posture de sécurité actuelle de votre entreprise. Identifiez les lacunes existantes, telles que l'application incohérente des politiques au sein de l'entreprise.
N'oubliez pas que vous pouvez utiliser RBAC en conjonction avec ABAC ou un autre modèle, notamment si vous souhaitez mettre en œuvre un accès réseau zero-trust.
2. Définissez les rôles des utilisateurs.
Il est maintenant temps d'analyser votre personnel et de regrouper les utilisateurs dans des rôles qui ont des besoins d'accès similaires. Commencez par les grandes lignes, en classant par exemple les utilisateurs par service, puis affinez les rôles des utilisateurs à partir de là.
Ne définissez pas trop de rôles, au risque d'aller à l'encontre de l'objectif de l'utilisation de RBAC. Réfléchissez à utiliser le mappage équipe-rôle, où les utilisateurs sont affectés directement à des équipes, qui peuvent ensuite se voir attribuer des rôles personnalisés. Vous gagnerez du temps, améliorerez la cohérence des politiques, limiterez les erreurs et faciliterez la tâche des administrateurs pour les politiques d'accès basées sur les rôles.
Faites également attention à d'autres pièges courants, tels qu'une granularité insuffisante, un chevauchement des rôles et un trop grand nombre d'exceptions pour les autorisations RBAC.
3. Établissez une structure de gouvernance appropriée.
Après avoir défini votre stratégie RBAC et vos rôles d'utilisateur, vous devez trouver un moyen de faire appliquer vos nouvelles politiques, ainsi qu'un processus de conduite du changement pour les faire évoluer en fonction des besoins de votre entreprise.
Élaborez une politique écrite de contrôle d'accès contenant des règles et des orientations pour votre modèle RBAC, y compris des indicateurs de performance, des stratégies de gestion des risques, des procédures de réévaluation des rôles et des mécanismes d'application. Un ensemble de règles claires permet d'éviter la prolifération des rôles et les conflits internes entre les services et les utilisateurs individuels.
4. Mettez en place votre modèle RBAC.
Une grande entreprise, en particulier en l'absence d'un modèle basé sur les rôles, peut vouloir déployer le nouveau plan par étapes pour éviter la confusion des utilisateurs et la perturbation des opérations quotidiennes. Attendez-vous à rencontrer des problèmes en cours de route, notamment à devoir modifier votre plan initial. C'est tout à fait normal, et le déploiement progressif de votre plan vous permettra de les résoudre plus facilement.
5. Entretenez votre modèle RBAC.
Les utilisateurs arrivent et repartent. Les besoins de l'entreprise changent. La technologie change. Le marché change. Pendant ce temps, les contrôles d'accès basés sur les rôles ne s'entretiennent pas tout seuls. Recueillez les commentaires de vos utilisateurs, surveillez en permanence votre position de sécurité et procédez à des examens périodiques des rôles, des attributions de rôles et des journaux d'accès pour comprendre ce qui fonctionne et ce qui doit être adapté.