Le contrôle d’accès basé sur les attributs (ABAC) est un modèle d’authentification et d’autorisation, relevant de la gestion des identités, qui fait appel aux attributs, plutôt qu’aux rôles, pour octroyer l’accès aux utilisateurs. Dans le cadre du contrôle ABAC, les décisions d’accès sont prises en fonction des attributs (caractéristiques) du sujet ou de l’utilisateur effectuant la demande d’accès, de la ressource demandée, de ce que l’utilisateur fera avec la ressource, et de l’environnement (géolocalisation, réseau, etc.) ou du contexte de la demande.
Le contrôle ABAC découle du contrôle d’accès basé sur les rôles (RBAC), qui, comme son nom l’indique, fournit un accès basé sur les rôles des utilisateurs. Mais tandis que le contrôle RBAC porte sur l’accès au sens large, ABAC peut contrôler l’accès à un niveau plus détaillé.
Comment fonctionne le contrôle ABAC ?
Le contrôle ABAC examine les caractéristiques (attributs), afin de prendre des décisions d’accès. Ces attributs peuvent être classés en quatre grandes catégories :
- Les attributs du sujet / de l’utilisateur sont ce qui caractérise l’individu qui tente d’obtenir un accès. Ce sont, par exemple, le nom d’utilisateur, l’identifiant (ID), l’âge, l’intitulé du poste, le rôle de l’employer, l’entreprise, le service, l’habilitation de sécurité, etc.
- Les attributs des ressources/objets sont ce qui caractérise la ressource à laquelle l’utilisateur accède.
- L’action est ce que l’utilisateur fera avec la ressource. Par exemple, affichage, lecture, transfert, suppression, etc.
- Les attributs environnementaux décrivent le contexte de la tentative d’accès. Par exemple, l’heure, le lieu, l’appareil, etc.
Les systèmes ABAC étudient intelligemment la façon dont les attributs interagissent dans un environnement et ils développent un ensemble de règles visant à établir quels attributs bénéficient d’un accès justifié en fonction du respect de conditions spécifiques.
En d’autres termes, le système ABAC établit des politiques pour définir quelles combinaisons d’attributs de l’utilisateur / du sujet / environnementaux sont requis pour effectuer une action avec un objet / une ressource. Ils utilisent ces politiques pour octroyer et refuser l’accès.
Par exemple, si vous ne souhaitez pas que l’ensemble du service commercial puisse consulter des données relatives aux pistes de vente potentielles, le système ABAC peut imposer des restrictions afin que seuls les représentants commerciaux de la côte ouest des États-Unis puissent afficher ces informations.
Voici comment cela fonctionne concrètement : Dès lors qu’une demande d’accès est déclenchée, l’outil ABAC analyse les attributs pour vérifier s’ils correspondent à des politiques établies. Le cas échéant, la demande d’accès sera octroyée. Dans le cas présent, il s’agit d’un représentant commercial de la côte ouest qui essaie de consulter des informations sur les perspectives de vente.
Avantages du contrôle ABAC.
Un système ABAC présente de nombreux avantages qui contribuent à renforcer la sécurité de votre entreprise.
Approche ciblée de la sécurité.
Contrairement au contrôle d’accès basé sur les rôles, qui octroie l’accès en fonction des rôles, le système ABAC accorde l’accès en fonction des attributs, ce qui permet une approche très ciblée de la sécurité des données. Étant donné que le système ABAC examine de nombreuses variables lors de l’établissement de l’accès, il offre une couche de sécurité supplémentaire que le système RBAC n’est pas en mesure de fournir.
Par exemple, avec le système RBAC, l’accès est basé sur les rôles. Ainsi, dans le scénario évoqué ci-dessus, un représentant commercial ayant reçu une autorisation d’accès aura toujours accès aux données sur les perspectives de vente. Dans un scénario faisant appel au système ABAC, l’accès du représentant commercial pourrait être limité en fonction de certains attributs, à savoir le lieu, l’heure de la journée et les actions (consultation, modification, suppression de données). Le système ABAC permet aux administrateurs d’utilisateurs d’affiner de nombreux attributs différents faisant office d’indicateurs d’accès, ce qui a pour effet de renforcer le niveau de sécurité à chaque point d’accès.
Contrôle d’accès dynamique.
Contrairement au système RBAC qui établit l’accès en fonction des rôles, le système ABAC fonde l’accès sur les attributs. Ainsi, plutôt que de définir des rôles pour chaque individu susceptible d’accéder au système, le système ABAC peut choisir une politique et l’appliquer dynamiquement à de nombreux rôles. Ceci est dû au fait que, lors de l’octroi de l’accès, le système ABAC prend en compte une multitude d’attributs et ne se limite pas à un rôle.
Reprenons l’exemple depuis le début. Dans un scénario d’accès basé sur les rôles, les systèmes RBAC doivent créer des rôles individuels afin que chaque représentant commercial puisse accéder à des données spécifiques. Avec les systèmes ABAC, il est possible de définir un rôle unique qui octroie un accès aux données (ressources/objets) à tous les représentants commerciaux. Même si cela peut sembler relativement imprudent à première vue, c’est en fait une solution qui offre plus de sécurité que le système RBAC classique. En effet, le système ABAC fait appel à de nombreux attributs pour définir les politiques. Un administrateur d’utilisateurs peut définir une règle selon laquelle seuls les représentants commerciaux d’une région spécifique, ou ayant conclu un nombre donné de ventes, peuvent consulter les données. Parce qu’il prend en compte plusieurs facteurs lors de l’octroi de l’accès et qu’il adhère au principe du privilège minimum, ce type d’authentification basé sur les attributs permet de protéger davantage les points d’accès. Parallèlement, il allège la charge de travail qui pèse sur le service informatique lorsque celui-ci doit créer de nombreux rôles d’utilisateurs.
Faiblesses du contrôle ABAC.
Une fois le système ABAC mis en œuvre, il est aisé de le faire évoluer et de l’appliquer à votre programme de sécurité des données. Cependant, sa mise en œuvre est relativement complexe. Elle peut nécessiter au préalable la définition des centaines de milliers d’attributs et la mise en place de règles et de politiques. Cela demande un investissement important en temps et ressources. Cependant, une fois en place, le système ABAC est hautement évolutif et sécurisé.
Contrôle d’accès basé sur les attributs versus contrôle d’accès basé sur les rôles.
Le contrôle RBAC authentifie l’accès des utilisateurs sur la base des rôles, tandis que le système ABAC s’appuie sur les attributs. Si les deux solutions peuvent s’avérer efficaces, il demeure que le système ABAC est beaucoup plus évolutif que le système RBAC.
Système RBAC.
Le principal avantage des systèmes RBAC est que le provisioning et le deprovisioning sont déterminés en fonction des rôles, plutôt que sur une base individuelle. C’est parfait pour une petite entreprise, mais à mesure que votre activité se développe, il devient difficilement envisageable de créer des centaines de milliers de rôles et l’évolutivité n’est pas au rendez-vous.
Système ABAC.
Le principal avantage du système ABAC est qu’il établit l’accès en se fondant sur les attributs. Au-delà du provisioning des accès en fonction des rôles, il est ainsi possible d’atteindre des niveaux de sécurité plus élevés en matière d’accès. Le seul inconvénient, déjà évoqué ci-dessus, est la complexité de sa mise en œuvre. Mais une fois mis en œuvre, ses solides avantages l’emportent sur les coûts.
Pour conclure
L’authentification constitue un élément important de la sécurité des identités, mais ce n’est qu’un aspect de la gestion des accès dans le cadre plus large de la gouvernance et l’administration des identités (IGA).
Mettez en œuvre une sécurité basée sur l’IA avec la solution SailPoint de modélisation des accès (Access Modeling). Elle fait appel à l’IA et au Machine Learning pour créer et mettre en œuvre des modèles de rôles qui s’adaptent aux besoins de votre entreprise. Découvrez en quoi cela consiste.
Vous pourriez également vous intéresser à :
Prenez votre plate-forme cloud en main.
En savoir plus sur SailPoint et la modélisation des accès (Access Modeling)