Différences entre le modèle RBAC et le modèle ABAC

Le contrôle d’accès basé sur les rôles (RBAC) et le contrôle d’accès basé sur les attributs (ABAC) sont deux modèles de sécurité d’accès populaires dans les environnements informatiques d’entreprise, gouvernementaux et autres.

Il existe plusieurs autres modèles de sécurité, tels que le contrôle d'accès basé sur l'identité (IBAC), le contrôle d'accès basé sur le contexte (CBAC), le contrôle de l'utilisation et l'accès zero trust.

Le RBAC et l’ABAC sont tous deux des concepts de contrôle d’accès matures, dont les premiers développements ont débuté pour le RBAC dans les années 1970 et pour l’ABAC dans les années 1980. Le RBAC s’est largement imposé au cours des 25 dernières années en raison de sa gestion simplifiée et des améliorations qu’il propose en matière de sécurité. L’ABAC a été développé pour gérer la sécurité dans des environnements plus complexes où le RBAC ne pouvait pas fournir le contrôle précis souhaité. Les deux se sont renforcés en 2004 lorsque les directives et la mise en œuvre ont été normalisées par des entités telles que le National Institute of Standards and Technology (NIST), l’American National Standards Institute (ANSI) et l’Organization for the Advancement of Structured Information Standards (OASIS).

Dans un environnement informatique, le contrôle d'accès fait référence aux règles et aux pratiques qui mettent en œuvre la décision de l'entreprise de déterminer quels employés ont accès à quelles ressources. Un contrôle d'accès approprié garantit que seuls les utilisateurs autorisés peuvent accéder à des ressources spécifiques, telles que les fichiers, les bases de données et les périphériques de réseau. Il empêche également tout accès non autorisé.

Outre la sélection d'un modèle d'accès tel que le RBAC, l'ABAC ou le zero trust, plusieurs concepts sont associés au contrôle d'accès :

• Authentification : il s'agit du processus de vérification de l'identité d'un utilisateur, d'un appareil ou d'une autre entité dans un réseau. Les méthodes d'authentification les plus courantes sont les mots de passe, la biométrie et les certificats numériques.

• Autorisation : une fois l'utilisateur authentifié, l'autorisation détermine ce qu'il est autorisé à faire. Cela implique d’accorder ou de refuser des autorisations pour accéder à certaines ressources ou effectuer des actions spécifiques.

• Comptabilité (ou contrôle) : il s'agit de suivre les actions des utilisateurs après qu'ils ont été authentifiés et autorisés. Cela permet de surveiller l’utilisation, de détecter les failles de sécurité et de tenir des registres à des fins de conformité.

• Listes de contrôle d'accès (ACL) : il s'agit de tableaux qui définissent les autorisations rattachées à un objet. Les ACL indiquent quels utilisateurs ou quels processus système peuvent accéder aux objets et quelles opérations ils peuvent effectuer.

• Principe du moindre privilège : ce principe stipule que les utilisateurs doivent se voir accorder le niveau minimum d'accès ou d'autorisation nécessaire à l'exercice de leurs fonctions, ce qui réduit le risque d'accès non autorisé.

• Contrôle d’accès au réseau (NAC) : les solutions NAC appliquent des politiques relatives aux appareils accédant au réseau, garantissant que seuls les appareils conformes et authentifiés peuvent se connecter.
  

Chacun de ces concepts doit être examiné en détail et documenté dans la section relative au contrôle d'accès de la stratégie de cybersécurité ou de conformité réglementaire.

Le contrôle d’accès précis pousse la sécurité encore plus loin, avec des autorisations d’accès définies à un niveau très détaillé. Cela permet d’exercer un contrôle spécifique et précis sur des ressources telles que des champs de données, des fonctions ou des transactions spécifiques au sein d’une application. Par exemple, dans un environnement Microsoft SharePoint, il peut y avoir une bibliothèque de documents où tous les employés peuvent consulter les documents, mais où seuls certains employés peuvent modifier les fichiers existants. Il peut y avoir d’autres contrôles d’accès au sein de cette bibliothèque qui permettent à un groupe d’utilisateurs unique de supprimer des documents ou de créer de nouveaux fichiers et dossiers. Il existe de nombreuses combinaisons d’autorisations qui peuvent être appliquées aux ressources conservées dans SharePoint. Cela permet aux ressources de rester sécurisées tout en étant accessibles aux utilisateurs autorisés.

Comme leurs noms l'indiquent, le RBAC et l'ABAC sont basés sur des rôles et des attributs. Dans le modèle RBAC, les rôles sont définis en fonction des fonctions et des responsabilités au sein de l'entreprise. L'accès à une ressource est attribué à un rôle plutôt qu'à une personne, car il est plus facile de faire passer une personne d'un rôle à l'autre que de recréer des autorisations lorsque le rôle d'une personne dans l'entreprise est modifié.

Les rôles spécifiques varient considérablement en fonction de la structure et des besoins de l'entreprise, mais il existe quelques rôles, ou niveaux de rôles, qui sont couramment utilisés :

• Administrateur : ce rôle permet d'accéder à toutes les ressources et à tous les paramètres du système. Dans une équipe informatique, ce rôle peut consister à gérer les comptes d'utilisateurs, à configurer les paramètres du système et à veiller à l'application des politiques de sécurité. 
• Responsable : ces employés peuvent avoir besoin d'accéder à des ressources qui les aident à superviser une équipe ou un service. Cela peut comprendre l'approbation des demandes des employés et la génération de rapports de performance. 
• Utilisateur : un utilisateur du réseau a accès aux ressources nécessaires à l'exercice de ses fonctions spécifiques. Il devrait être autorisé à utiliser uniquement les applications et autres ressources nécessaires à son travail. 
• Invité : il peut s'agir d'un fournisseur ou d'une personne présente au siège de l'entreprise en tant que visiteur dans un but précis. Ce rôle est normalement limité en fonction de ses tâches.

Chacun de ces rôles peut comprendre plusieurs variantes. Les responsables marketing, les chefs de produit et les responsables financiers ont probablement besoin d'accéder à différents documents et à différentes ressources pour effectuer leur travail. Il en va de même pour les utilisateurs du réseau, qui peuvent assumer des rôles opérationnels tels que représentant commercial, représentant du service client et agent administratif. Pour répondre aux besoins de ces branches, vous devez créer un rôle pour chaque ensemble d'autorisations.

Le modèle ABAC déplace les décisions relatives au contrôle d'accès vers les attributs, qui fournissent des informations contextuelles permettant de déterminer si un utilisateur doit avoir accès à une ressource. L'ABAC est plus souple que le RBAC et peut s'adapter à un large éventail de scénarios de contrôle d'accès. Voici les types d'attributs couramment utilisés avec l'ABAC, ainsi que leur définition et des exemples :

•  Attributs de l'utilisateur : ils sont liés à l'utilisateur qui demande l'accès et comprennent des éléments tels que l'identifiant de l'utilisateur, son rôle, son service, son habilitation de sécurité et sa localisation. 
• Attributs de la ressource : les attributs liés à la ressource à laquelle on accède comprennent le type de ressource, le propriétaire de la ressource, le niveau de sensibilité et la classification. 
• Attributs de l'environnement : ces attributs appartiennent au contexte de la demande d'accès. L’heure de la journée, la date, le lieu et le type d’appareil en sont des exemples. 
• Attributs de l'action : ils sont déterminés par l'action spécifique demandée. Par exemple, lire, écrire, copier et modifier sont tous des attributs d'action.

Plusieurs facteurs doivent être pris en compte lors du choix d'un modèle d'accès sécurisé. Dans cette section, nous passerons en revue certains éléments courants à prendre en compte lors de la planification du déploiement du RBAC, de l’ABAC ou des deux.

En bref, évaluez les besoins de l'entreprise, les ressources et le budget nécessaires à la mise en œuvre du modèle, ainsi que les exigences en matière de sécurité et de conformité. Vous devez impliquer les parties prenantes dans cette démarche, car elles disposent d'informations relatives aux différents types d'accès qui doivent être accordés. Les parties prenantes devraient être impliquées très tôt dans un projet comme celui-ci, car vous allez probablement suivre les étapes suivantes lors de la mise en œuvre :

Mise en œuvre du RBAC

1. Identification des rôles : définissez tous les rôles au sein de votre entreprise.
2. Définition des autorisations : spécifiez les autorisations d’accès pour chaque rôle.
3. Attribution des rôles aux utilisateurs : associez les utilisateurs aux rôles appropriés.
4. Choix d'un système : sélectionnez un système de gestion des accès compatible RBAC.
5. Configuration et surveillance : définissez les rôles et les autorisations, puis révisez-les et mettez-les à jour régulièrement. 

Mise en œuvre de l'ABAC

1. Identification des attributs : définissez les attributs de l'utilisateur, des ressources et de l'environnement.
2. Définition des politiques : créez des politiques de contrôle d’accès basées sur des attributs.
3. Choix d'un système : sélectionnez un système de gestion des accès compatible ABAC.
4. Configuration et test : mettez en place des attributs et des politiques, testez et contrôlez en permanence leur efficacité.

Mise en œuvre d'une approche hybride

1. Mise en œuvre des bases du RBAC : commencez par créer un cadre RBAC.
2. Identification des attributs supplémentaires : définissez des attributs pour un contrôle plus précis.
3. Élaboration de politiques hybrides : créez des politiques qui combinent rôles et attributs.
4. Choix d'un système hybride : sélectionnez un système prenant en charge à la fois le RBAC et l'ABAC.
5. Configuration, contrôle et mise à jour : définissez des rôles et des attributs, puis révisez et mettez à jour régulièrement les politiques.

Comme vous pouvez le constater, les parties prenantes sont nécessaires à la plupart des décisions prises au cours des premières étapes.

L'accès zero trust est souvent préféré au RBAC et à l'ABAC pour les raisons courantes suivantes :

Sécurité

•  Suspicion de violation : l'accès zero trust fonctionne selon le principe « ne jamais faire confiance, toujours vérifier », en partant du principe que les menaces peuvent provenir à la fois de l'intérieur et de l'extérieur du réseau. Cela contraste avec le RBAC et l’ABAC, qui peuvent implicitement faire confiance aux utilisateurs ou aux appareils internes. 
• Vérification continue : les demandes d'accès sont continuellement authentifiées, autorisées et chiffrées. Contrairement au RBAC et à l'ABAC, qui peuvent accorder l'accès sur la base d'une vérification unique, l'accès zero trust veille à ce que l'accès soit réévalué à chaque étape. 
• Surface d'attaque réduite : en segmentant le réseau en segments plus petits et isolés (micro-segmentation), l'accès zero trust réduit les dommages potentiels d'une violation, en limitant les déplacements latéraux des attaquants.

Contrôle précis et souplesse

• Prise de décision en fonction du contexte : l'accès zero trust prend en compte un large éventail de facteurs en temps réel, tels que l'identité de l'utilisateur, la santé de l'appareil, la localisation et les modèles de comportement. Si l'ABAC utilise également des attributs, l'accès zero trust les associe à une surveillance continue et à des politiques dynamiques pour prendre des décisions plus nuancées.
• Ajustements dynamiques de l'accès : l'accès zero trust peut ajuster l'accès de manière dynamique en fonction des évaluations actuelles des risques et des informations relatives aux menaces, offrant ainsi une sécurité plus adaptative par rapport à la nature statique du RBAC et même par rapport aux politiques relativement statiques de l'ABAC. 

Adaptabilité aux menaces modernes

• Résistance aux menaces internes : l'accès zero trust ne fait pas implicitement confiance à un utilisateur ou à un appareil, ce qui réduit considérablement le risque de menaces internes. Le RBAC et l'ABAC peuvent être plus vulnérables si un acteur interne obtient un accès non autorisé.
• Protection contre les attaques avancées : en validant en permanence les demandes d'accès et en appliquant le principe du moindre privilège, l'accès zero trust est mieux équipé pour gérer les menaces complexes telles que l'hameçonnage, les logiciels malveillants et les menaces persistantes avancées (APT).

Évolutivité et gestion

• Gestion centralisée des politiques : les cadres de l'accès zero trust offrent souvent une gestion centralisée des politiques, ce qui facilite l'application de politiques de sécurité cohérentes dans des environnements divers et distribués.
• Réduction de la complexité au fil du temps : bien que la mise en œuvre initiale de l'accès zero trust puisse être complexe, elle peut réduire la complexité globale en éliminant la nécessité de définir des rôles étendus (comme dans le RBAC) et de configurer des attributs complexes (comme dans l'ABAC).

Conformité et caractère vérifiable

• Amélioration de la conformité : les capacités de surveillance continue et de journalisation de l'accès zero trust améliorent la conformité aux exigences réglementaires en fournissant des enregistrements détaillés des demandes d'accès et des décisions. 
• Préparation aux audits : les journaux détaillés et la surveillance en temps réel dans l'accès zero trust permettent des audits plus faciles et plus précis par rapport aux méthodes de contrôle d'accès traditionnelles. 

L'accès zero trust propose un cadre de sécurité robuste, une capacité d'adaptation à l'évolution du paysage des menaces et la capacité de fournir des contrôles d'accès précis et contextuels. Bien qu'il nécessite une configuration initiale plus complexe, les avantages à long terme en termes de sécurité et de conformité en font un modèle de contrôle d'accès très efficace pour les entreprises modernes.