Les systèmes de contrôle d’accès basé sur les rôles (RBAC, Role-based Access Control) attribuent les accès et les actions autorisées en fonction du rôle d’une personne au sein d’un environnement. Toutes les personnes qui possèdent ce rôle disposent des mêmes droits. En revanche, les droits diffèrent selon les rôles.

Pourquoi un système a-t-il besoin d’un contrôle d’accès basé sur les rôles (RBAC) ?

Chaque entreprise possède des documents, programmes et dossiers sensibles. Si vous les protégez de façon trop stricte, les activités de votre entreprise s’arrêtent net. Si vous les laissez accessibles à tous, des problèmes de sécurité catastrophiques peuvent survenir. 

C’est là qu’intervient le contrôle d’accès basé sur les rôles (RBAC).

Utilisez cette méthode pour octroyer un accès à ceux qui en ont besoin et en le bloquant pour les autres. Apportez des modifications en fonction du rôle d’une personne plutôt que de ses attributs individuels. Vous pouvez rapidement effectuer ces modifications en modifiant l’accès au niveau du rôle.

Si vous travaillez dans le domaine informatique, il est essentiel de comprendre les tenants et les aboutissants du contrôle d’accès basé sur les rôles. En 2004, l’American National Standards Institute a adopté les principes RBAC comme norme consensuelle de l’industrie. Il est très probable que votre entreprise vous demande d’implémenter ce contrôle RBAC ou de justifier les raisons de votre refus.

En quoi consiste exactement le contrôle d’accès basé sur les rôles ?

Tous les systèmes de contrôle d’accès basé sur les rôles (RBAC) partagent des éléments communs, dont les suivants :

• Administrateurs. Ils identifient les rôles, octroient les autorisations et gèrent les systèmes de sécurité.
• Rôles. Les collaborateurs sont regroupés en fonction des tâches qu’ils accomplissent.
• Autorisations. Elles représentent les accès et les actions associés à chaque rôle et spécifient ce que les utilisateurs peuvent faire ou non.

Les systèmes RBAC ne nécessitent pas :

• Une différenciation des libertés individuelles. L’accès est défini par le rôle d’une personne et non ses préférences ou ses souhaits. Cela facilite la gestion des autorisations.
• Une maintenance intensive. Les autorisations sont liées aux rôles. Une nouvelle fonction devient un nouveau rôle appliqué à des dizaines (ou des centaines, ou des milliers) de collaborateurs, sans que cela représente une charge de gestion importante pour l’administrateur. En cas de promotion, il suffit de changer les rôles, et non de modifier les autorisations individuelles.

Les systèmes RBAC existent depuis des années. En 1992, les concepts du RBAC ont été présentés à l’occasion d’une conférence de sécurité informatique nationale aux États-Unis. Ses auteurs estimaient que les contrôles d’accès obligatoires et les contrôles d’accès discrétionnaires n’étaient pas adaptés aux entreprises du secteur privé et aux particuliers compte tenu de la diversité des besoins et des exigences de sécurité. Selon eux, la nouvelle méthode fonctionnait mieux dans un environnement civil, non militaire. 

Depuis lors, des milliers d’entreprises ont appliqué les principes RBAC pour gérer la sécurité de leurs documents les plus sensibles. 

Comment fonctionnent les rôles au sein d’un système RBAC ?

Les rôles régissent les autorisations au sein d’un système RBAC. Il est essentiel de les définir correctement, sans quoi des groupes importants de collaborateurs de votre entreprise ne pourront pas s’acquitter de leurs tâches. 

Les rôles peuvent être définis selon plusieurs critères :

• Autorité. La direction a besoin d’accéder à des fichiers que des stagiaires ne doivent voir en aucun cas.
• Responsabilité. Un membre du conseil d’administration et un PDG peuvent avoir un pouvoir similaire au sein d’une entreprise, mais ils sont chacun responsables de fonctions différentes.
• Compétence. Un collaborateur très qualifié peut sans aucun problème travailler à des documents sensibles sans faire d’erreurs, alors qu’un novice pourrait commettre des erreurs catastrophiques. Il est donc important d’adapter l’accès en conséquence.

Certains rôles peuvent également avoir des responsabilités et des privilèges communs. Par exemple, un membre du personnel médical associé au rôle « chirurgien » peut également travailler comme « médecin » ou « analyste en imagerie médicale ». Une hiérarchie de rôles définit un type de personne qui possède les attributs de nombreuses autres. Autrement dit, un rôle peut en contenir beaucoup d’autres. 

Que représentent les autorisations du contrôle RBAC ?

Les autorisations définissent les ressources auxquelles les personnes peuvent accéder et les actions qu’elles peuvent effectuer. On peut comparer les autorisations à des règles que les personnes doivent respecter en fonction des rôles que vous avez définis.

Les autorisations doivent préciser les éléments suivants :

• Accès. Qui peut ouvrir un lecteur, un programme, un fichier ou un enregistrement spécifique ? Qui ne doit même pas savoir qu’ils existent ? L’accès limite les éléments que les utilisateurs peuvent voir.
• Lecture. Qui peut consulter ces documents, même s’ils ne peuvent pas les modifier ? Certains rôles peuvent être autorisés à consulter des documents, mais pas à les modifier.
• Écriture. Qui peut modifier des documents ? Une autre personne doit-elle approuver les modifications ou celles-ci sont-elles définitives ? Vous pouvez le définir à l’aide des autorisations.
• Partage. Qui peut télécharger un document ou l’envoyer sous forme de pièce jointe à un e-mail ? À l’instar des autres autorisations, certains utilisateurs ne seront pas en mesure de partager les documents même s’ils peuvent les consulter.
• Finances. Qui peut facturer des frais ? Qui peut offrir des remboursements ? Les autorisations peuvent inclure la possibilité de gérer les frais et les remboursements, de créer des comptes de crédit ou d’annuler des paiements.

Il est important de rappeler que les autorisations suivent les rôles et non l’inverse. Déterminez ce que chaque rôle peut ou doit faire, et appliquez les autorisations en conséquence.

Ne permettez pas à certains collaborateurs d’obtenir des autorisations supplémentaires, qui vont au-delà des restrictions associées à leur rôle actuel. Si vous commencez à modifier les autorisations de façon individuelle, le système peut devenir rapidement ingérable. 

Avantages du contrôle d’accès basé sur les rôles

En matière de sécurité, les options proposées sont légion et il n’est pas toujours facile de faire le bon choix pour votre entreprise. Le contrôle d’accès basé sur les rôles possède des avantages indéniables qui le distinguent des solutions concurrentes.

Une solution RBAC possède les atouts suivants :

• Simplification. Les nouveaux employés obtiennent un accès sur la base de leur rôle et non de longues listes d’exigences relatives aux serveurs et aux documents. Cela simplifie la création, la gestion et l’audit des politiques.
• Administration globale. Modifiez l’accès pour de nombreux collaborateurs en même temps en modifiant les autorisations associées à un rôle.
• Onboarding simplifié. À mesure que les personnes rejoignent votre entreprise, changent de fonction ou sont promues, vous n’avez pas à vous inquiéter de leurs autorisations : vous devez simplement vous assurer qu’elles sont bien associées au rôle approprié. Les rôles se chargent du reste.
• Limitation des erreurs. Une administration classique de la sécurité est sujette aux erreurs. L’ajout d’autorisations à des utilisateurs individuels multiplie les possibilités d’erreur. En modifiant l’accès d’un rôle donné, vous êtes moins susceptible d’accorder à une personne trop (ou trop peu) de pouvoir.
• Réduction des coûts. Si la charge de gestion diminue, les entreprises réalisent des économies au niveau de l’administration de la sécurité. Cela représente un gain de temps et d’argent appréciable pour votre entreprise. 

RBAC vs ABAC : quelle option choisir ?

Avant d’examiner en détail l’application d’un modèle de contrôle d’accès basé sur les rôles, envisageons une solution alternative. Le contrôle d’accès basé sur les attributs est l’un des modèles les plus souvent envisagés par les entreprises et il peut se révéler utile dans certaines situations.

Le contrôle d’accès basé sur les attributs (ABAC, Attribute-Based Access Control), multiplie les options d’un rôle. Au lieu de prendre en considération les fonctions, le niveau de responsabilité et d’autres attributs similaires, vous pouvez envisager les éléments suivants :

• Types d’utilisateur. Les habilitations de sécurité, les connaissances financières ou la citoyenneté sont autant de facteurs susceptibles d’être pris en considération dans les rôles que vous créez.
• Heures de la journée. Verrouillez les documents pendant la nuit, en dehors des horaires de travail. Limitez les modifications au cours des périodes pendant lesquelles aucun superviseur n’est disponible. Bloquez l’accès aux documents pendant le week-end.
• Emplacement. Vous pouvez limiter l’accès aux documents à un site donné ou au territoire national, par exemple. Dans les cas requis, faites en sorte que l’utilisateur ne puisse pas accéder à des documents à partir de son domicile.

Avec un tel système, la sécurité repose sur des politiques plutôt que sur des types d’autorisations statiques. Il est un peu plus compliqué de trouver un juste équilibre comme ce système implique un plus grand nombre de variables. Toutefois, selon votre environnement de sécurité, le contrôle d’accès basé sur les attributs peut être un bon choix pour votre entreprise.

Comment implémenter un système RBAC

À l’instar de la plupart des tâches de sécurité, la création d’un système de contrôle d’accès basé sur les rôles est une procédure méthodique. Chaque étape doit être configurée dans l’ordre requis. Vous aurez sans doute besoin de nombreuses informations pour le configurer correctement.

Pour créer le système dont vous avez besoin :

• Dressez l’inventaire de votre système. Déterminez les programmes, les serveurs, les documents, les fichiers et les enregistrements qui font partie de votre environnement d’entreprise. Prenez le temps de réfléchir pour ne rien oublier.
• Identifiez les rôles. Collaborez avec la direction et le service RH. Déterminez le nombre de rôles dont vous aurez besoin pour votre entreprise et identifiez les autorisations à associer à ces rôles.
• Développez un calendrier d’intégration. Déterminez le temps nécessaire avant que le système soit opérationnel et laissez à vos collègues le temps de se préparer. Ne déployez pas les modifications avant d’avoir averti le personnel, sans quoi le projet risque de s’arrêter net.
• Restez ouvert aux retours. Communiquez vos plans concernant les rôles et les autorisations. Demandez aux responsables de les confirmer et, le cas échéant, adaptez-les en conséquence.

La configuration d’un système est souvent le fruit d’expérimentations successives. N’hésitez pas à revenir en arrière si un aspect du système ne fonctionne pas comme prévu.

• Mettez le plan en Å“uvre. Une fois les rôles et les autorisations identifiés, mettez votre plan à exécution. Surveillez le réseau de près et corrigez les problèmes, le cas échéant.

Le respect des bonnes pratiques contribuera à la réussite du projet.

• Prenez le temps nécessaire. Même les plus petites entreprises peuvent avoir des centaines de combinaisons de rôles / autorisations. Planifiez soigneusement votre projet et donnez-vous le temps d’ajuster votre plan avant de le mettre à exécution.
• Faites preuve de fermeté. Il est fort probable que les utilisateurs vous contactent pour vous demander des autorisations supplémentaires, sans rapport avec leur rôle. Réfléchissez soigneusement à chaque demande avant d’accorder aux utilisateurs individuels des autorisations supplémentaires.

Prenez note de ces demandes et demandez à la direction si toutes les personnes affectées à ce rôle doivent avoir accès aux fichiers demandés. En effet, il faut éviter que des utilisateurs partageant le même rôle aient des niveaux d’accès totalement différents.

• Collaborer. Si les règles de sécurité sont trop strictes, les systèmes ne seront pas d’une grande utilité pour les utilisateurs finaux. Ne rejetez pas les demandes sans les avoir soigneusement examinées et avoir demandé conseil auprès de vos collègues. Essayez de trouver le juste équilibre pour préserver la sécurité de l’entreprise et du travail.

Collaborer avec un expert

Implémenter un programme de ce type peut être intimidant, mais la tâche est parfaitement gérable avec un peu d’aide. Utilisez une plateforme comme Okta pour simplifier le processus. Comme Okta s’intègre avec plus de 6 500 applications, tout est centralisé, ce qui simplifie la tâche de votre entreprise.

Références

Role Based Access Control (RBAC). Juin 2020. National Institute of Standards and Technology, U.S. Department of Commerce. 

Conference Proceedings : Role-Based Access Controls. Novembre 1992. National Institute of Standards and Technology, U.S. Department of Commerce.

An Introduction to Role-Based Access Control. Décembre 1995. National Institute of Standards and Technology, U.S. Department of Commerce.

Role-Based Access Control (RBAC) : Permissions vs. Roles. Février 2018. Medium.

Role-Based Access Control Project Overview. Juin 2020. National Institute of Standards and Technology, U.S. Department of Commerce.

Role-Based Access Control (Presentation). National Institute of Standards and Technology.

An Evolution of Role-Based Access Control Towards Easier Management Compared to Tight Security. Juillet 2017. ICFNDS ’17 : Proceedings of the International Conference on Future Networks and Distributed Systems.

Authorization and Access Control. 2014. The Basics of Information Security (2e édition).

Security for Distributed Systems : Foundations of Access Control. 2008. Information Assurance : Dependability and Security in Networked Systems.

Access Controls. 2013. Computer and Information Security Handbook (3e édition).

How to Implement Role-Based Access Control. Octobre 2007. Computer Weekly.

Role-Based Access Control : Meek or Monster. Wired.

Guide to Role-Based Access Control (RBAC). IBM Support.

Extending RBAC for Large Enterprises and Its Quantitative Risk Evaluation. Mitsubishi Electric Corporation.

Restricting Database Access Using Role-Based Access Control (Built-In Roles). Amazon Web Services (AWS).

An Enhancement of the Role-Based Access Control Model to Facilitate Information Access Management in Context of Team Collaboration and Workflow. Décembre 2012.Journal of Biomedical Informatics.

Identify Governance and Role-Based Access Control. University of Michigan Information and Technology Services.