Access Control
Maîtriser les principes du contrôle d'accès, les modèles d'autorisation et les systèmes de gestion des identités pour protéger les ressources.
- Comprendre les principes fondamentaux du contrôle d'accès
- Maîtriser le modèle AAA (Authentication, Authorization, Accounting)
- Comparer les modèles DAC, MAC, RBAC et ABAC
- Différencier RADIUS et TACACS+
- Comprendre la gestion des identités (IAM, SSO, Federation)
🔐 19.1 — Principes du contrôle d'accès
Le contrôle d'accès (Access Control) est l'ensemble des mécanismes qui déterminent qui peut accéder à quoi et comment. C'est le fondement de toute sécurité informatique : sans contrôle d'accès, n'importe qui pourrait accéder à n'importe quelle ressource.
Le contrôle d'accès, c'est comme le système de sécurité d'un immeuble. Le gardien vérifie ton identité (authentication), consulte la liste des résidents autorisés (authorization), et note l'heure de ton entrée dans le registre (accounting). Chaque étape est indispensable.
Les trois éléments fondamentaux
| Élément | Définition | Exemple |
|---|---|---|
| Subject (Sujet) | L'entité qui demande l'accès | Un utilisateur, un processus, un service |
| Object (Objet) | La ressource à laquelle on veut accéder | Un fichier, une base de données, une imprimante |
| Action | Ce que le sujet veut faire avec l'objet | Lire, écrire, exécuter, supprimer |
Principes de sécurité essentiels
Chaque utilisateur ou processus ne doit avoir que les permissions minimales nécessaires pour accomplir sa tâche, rien de plus.
Un employé de nettoyage a la clé des bureaux, mais pas celle du coffre-fort. Il n'a pas besoin d'accéder au coffre pour faire son travail.
Aucune personne seule ne doit avoir le contrôle total d'un processus critique. Les responsabilités doivent être réparties entre plusieurs personnes.
Dans une banque, celui qui approuve un virement n'est pas celui qui l'exécute. Cela empêche la fraude par une seule personne.
- Celui qui crée un compte utilisateur ≠ celui qui approuve les droits
- Celui qui développe le code ≠ celui qui le déploie en production
- Celui qui effectue un paiement ≠ celui qui l'autorise
L'accès aux informations sensibles n'est accordé que si la personne a un besoin légitime d'y accéder dans le cadre de ses fonctions.
Dans l'armée, même un général n'a pas accès à toutes les informations classifiées — seulement celles qui sont nécessaires pour sa mission actuelle.
Le need-to-know va au-delà du simple rôle : même si tu as le clearance level suffisant, tu n'as accès que si ton travail l'exige.
🔑 19.2 — AAA : Authentication, Authorization, Accounting
Le modèle AAA est le cadre fondamental du contrôle d'accès. Chaque accès à une ressource passe par ces trois étapes. Clique sur chaque étape pour en savoir plus :
Vérifier l'identité de l'utilisateur ou du système qui demande l'accès.
- Something you know : mot de passe, PIN, réponse secrète
- Something you have : badge, token, smartphone
- Something you are : empreinte digitale, iris, visage
Résultat : identité confirmée ou accès refusé.
Analogie : montrer sa carte d'identité au gardien.
Déterminer les droits et permissions de l'utilisateur authentifié.
- Permissions : read, write, execute, delete
- Rôles : admin, utilisateur standard, auditeur
- Politiques : règles définissant les accès autorisés
Résultat : liste des actions autorisées sur chaque ressource.
Analogie : le gardien consulte la liste des étages autorisés pour toi.
Enregistrer toutes les actions effectuées par l'utilisateur pour audit et investigation.
- Logs d'accès : qui s'est connecté, quand, d'où
- Logs d'activité : quelles ressources ont été consultées ou modifiées
- Logs de déconnexion : durée de la session
- Usage : bande passante, stockage consommé
Résultat : piste d'audit complète (audit trail).
Analogie : le registre d'entrées/sorties de l'immeuble.
🔓 19.3 — Méthodes d'authentification
L'authentification repose sur un ou plusieurs facteurs. Plus on combine de facteurs différents, plus l'authentification est robuste.
Something You Know (ce que tu sais)
Le facteur le plus courant mais aussi le plus vulnérable.
- Mot de passe : la méthode la plus répandue
- PIN (Personal Identification Number)
- Question secrète : "Quel est le nom de votre premier animal ?"
- Passphrase : phrase longue plus facile à retenir
Something You Have (ce que tu possèdes)
Un objet physique ou numérique que seul l'utilisateur possède.
- Smart card : carte à puce avec certificat
- Security token : RSA SecurID, YubiKey (FIDO2)
- Smartphone : application d'authentification (Google Authenticator, Authy)
- Certificat numérique : X.509 stocké sur le dispositif
- OTP (One-Time Password) : TOTP (time-based) ou HOTP (HMAC-based)
Something You Are (ce que tu es)
La biométrie utilise des caractéristiques physiques ou comportementales uniques.
| Type | Exemples | Avantage | Inconvénient |
|---|---|---|---|
| Physiologique | Empreinte digitale, iris, rétine, visage | Difficile à falsifier | Faux positifs/négatifs possibles |
| Comportemental | Frappe clavier, démarche, voix | Transparent pour l'utilisateur | Peut varier dans le temps |
- FAR (False Acceptance Rate) : taux de faux positifs (accepte un imposteur)
- FRR (False Rejection Rate) : taux de faux négatifs (rejette un utilisateur légitime)
- CER (Crossover Error Rate) : point d'équilibre FAR = FRR (plus il est bas, mieux c'est)
MFA — Multi-Factor Authentication
Combiner au moins deux facteurs de catégories différentes pour renforcer l'authentification.
Exemples de MFA valide :
- Mot de passe (know) + code SMS (have) = 2FA
- Mot de passe (know) + empreinte digitale (are) = 2FA
- Badge (have) + PIN (know) + scan rétinien (are) = 3FA
Le MFA réduit considérablement le risque de compromission : même si un mot de passe est volé, l'attaquant a besoin du second facteur.
🏗️ 19.4 — Modèles de contrôle d'accès
Différents modèles définissent comment les permissions sont attribuées et gérées. Le choix du modèle dépend des besoins de sécurité et de la flexibilité requise.
| Modèle | Principe | Qui décide ? | Flexibilité | Cas d'usage |
|---|---|---|---|---|
| DAC (Discretionary) |
Le propriétaire de la ressource décide qui y a accès | Le propriétaire | Très flexible | Windows NTFS, partage de fichiers |
| MAC (Mandatory) |
L'accès est déterminé par des labels de sécurité (classifications) | Le système / l'administrateur | Très rigide | Militaire, gouvernemental (Top Secret, Secret, etc.) |
| RBAC (Role-Based) |
Les permissions sont attribuées à des rôles, les utilisateurs sont assignés à des rôles | L'administrateur | Modérée | Entreprises, applications web |
| ABAC (Attribute-Based) |
Les décisions d'accès sont basées sur des attributs (utilisateur, ressource, environnement) | Des politiques automatisées | Très flexible et granulaire | Cloud, environnements complexes |
| Rule-Based | L'accès est déterminé par des règles prédéfinies (heure, IP, localisation) | L'administrateur via les règles | Variable | Firewalls, ACLs réseau |
Avec le DAC, le propriétaire (owner) d'une ressource décide qui peut y accéder et avec quels droits.
C'est comme un propriétaire d'appartement qui décide à qui il donne les clés. Il peut les donner à qui il veut, ce qui est flexible mais risqué si le propriétaire fait de mauvais choix.
- Avantage : flexible, facile à utiliser
- Inconvénient : le propriétaire peut accorder des accès excessifs, vulnérable aux trojans (un malware hérite des droits de l'utilisateur)
- Exemple : permissions de fichiers sur Windows (droit de partage par le propriétaire)
Avec le MAC, le système impose les règles d'accès en se basant sur des labels de sécurité. Les utilisateurs ne peuvent pas modifier les permissions.
C'est comme un système militaire de classification : même si tu es général, tu ne peux pas accéder à un document "Top Secret" si tu n'as que le clearance "Secret". Personne ne peut changer les règles sauf l'autorité centrale.
- Labels : Unclassified < Confidential < Secret < Top Secret
- Principe : "No read up, no write down" (modèle Bell-LaPadula pour la confidentialité)
- Avantage : très sécurisé, pas de fuite vers le bas
- Inconvénient : rigide, difficile à administrer
- Exemple : SELinux, systèmes militaires
Avec le RBAC, les permissions sont attribuées à des rôles (pas directement aux utilisateurs). Chaque utilisateur se voit ensuite attribuer un ou plusieurs rôles.
C'est comme dans un hôpital : le rôle "médecin" donne accès aux dossiers patients, le rôle "infirmier" donne accès aux prescriptions, le rôle "administratif" donne accès à la facturation. On ne gère pas les droits de chaque personne individuellement.
- Avantage : facile à gérer à grande échelle, respecte le least privilege
- Inconvénient : peut nécessiter beaucoup de rôles (role explosion)
- Exemple : Active Directory, applications d'entreprise
Avec l'ABAC, les décisions d'accès sont basées sur des attributs multiples : l'utilisateur, la ressource, l'action et l'environnement.
- Attributs utilisateur : département, rôle, clearance, localisation
- Attributs ressource : type, classification, propriétaire
- Attributs environnement : heure, adresse IP, type d'appareil
- Avantage : très granulaire et dynamique
- Inconvénient : complexe à configurer et auditer
- Exemple : AWS IAM policies, Azure ABAC
🔄 19.5 — RADIUS vs TACACS+
RADIUS et TACACS+ sont deux protocoles utilisés pour implémenter le modèle AAA de manière centralisée. Ils permettent à un serveur central de gérer l'authentification, l'autorisation et la traçabilité pour de nombreux équipements réseau.
| Caractéristique | RADIUS | TACACS+ |
|---|---|---|
| Développé par | IETF (standard ouvert) | Cisco (propriétaire) |
| Protocole de transport | UDP (ports 1812/1813) | TCP (port 49) |
| Chiffrement | Mot de passe uniquement | Totalité du paquet chiffré |
| Séparation AAA | Authentication + Authorization combinées | Authentication, Authorization et Accounting séparés |
| Granularité | Moins granulaire | Contrôle commande par commande possible |
| Usage principal | Accès réseau (Wi-Fi, VPN, 802.1X) | Administration des équipements réseau |
| Support multivendeur | Excellent (standard ouvert) | Principalement Cisco |
- RADIUS : pour authentifier les utilisateurs qui accèdent au réseau (Wi-Fi d'entreprise via 802.1X, VPN)
- TACACS+ : pour contrôler l'accès administratif aux équipements réseau (routeurs, switches) avec un contrôle granulaire commande par commande
RADIUS, c'est comme un badge d'accès à un bâtiment : il te dit si tu peux entrer ou non. TACACS+, c'est comme un système de permissions par pièce : il contrôle non seulement si tu peux entrer dans le bâtiment, mais aussi dans quelle pièce, et ce que tu peux y faire.
🆔 19.6 — Gestion des identités (IAM)
L'Identity and Access Management (IAM) est l'ensemble des processus et technologies pour gérer les identités numériques et leurs droits d'accès dans une organisation.
IAM — Identity and Access Management
Un système IAM gère le cycle de vie complet des identités :
- Provisioning : création du compte et attribution des droits
- Management : modification des droits, changement de rôle
- De-provisioning : désactivation/suppression quand l'employé part
- Access reviews : revue périodique des droits
SSO — Single Sign-On
Le SSO permet à un utilisateur de s'authentifier une seule fois pour accéder à toutes les applications autorisées.
- Avantages : meilleure expérience utilisateur, moins de mots de passe, gestion centralisée
- Risque : si le compte SSO est compromis, l'attaquant a accès à tout (d'où l'importance du MFA)
LDAP — Lightweight Directory Access Protocol
Protocole standard pour accéder à un annuaire (directory) qui stocke les informations sur les utilisateurs, groupes et ressources.
- Structure hiérarchique en arbre (DIT — Directory Information Tree)
- Chaque entrée a un DN (Distinguished Name) unique :
CN=John,OU=IT,DC=company,DC=com - Opérations : bind (authentification), search, add, modify, delete
- LDAPS (port 636) : LDAP chiffré avec TLS
Active Directory (AD)
Le service d'annuaire de Microsoft, basé sur LDAP et Kerberos :
- Domain Controller : serveur qui gère l'AD
- Kerberos : protocole d'authentification par tickets
- Group Policy (GPO) : configuration centralisée des postes
- Organizational Units (OU) : structure logique pour organiser les objets
Federation (Fédération d'identités)
La fédération permet de partager les identités entre organisations différentes. Tu peux utiliser ton compte d'une organisation pour accéder aux services d'une autre.
| Protocole | Description | Usage |
|---|---|---|
| SAML 2.0 | Security Assertion Markup Language — échange de données d'authentification au format XML | SSO en entreprise, applications web |
| OAuth 2.0 | Framework d'autorisation — délègue l'accès sans partager les identifiants | "Se connecter avec Google/GitHub" |
| OpenID Connect | Couche d'identité au-dessus d'OAuth 2.0 — ajoute l'authentification | Login social, applications web modernes |
- SAML : authentification + autorisation (format XML, pour entreprises)
- OAuth 2.0 : autorisation uniquement (format JSON, pour APIs)
- OpenID Connect : authentification au-dessus d'OAuth (le plus moderne)
🔬 19.7 — Exercice : Identifie le modèle de contrôle d'accès
Pour chaque scénario, fais glisser l'élément vers le modèle de contrôle d'accès correspondant :
📂 DAC
🔒 MAC
👥 RBAC
🏷️ ABAC
🔒 19.8 — Zero Trust Security Model
Le modele Zero Trust ("ne faire confiance a personne") est une approche de securite qui elimine la confiance implicite. Contrairement au modele traditionnel (perimetre securise), Zero Trust considere que chaque requete doit etre verifiee, qu'elle vienne de l'interieur ou de l'exterieur du reseau.
Dans un chateau medieval classique, une fois passe le pont-levis, on circule librement. En Zero Trust, chaque porte, chaque couloir, chaque salle demande une nouvelle verification d'identite — meme pour ceux qui sont deja a l'interieur.
Les trois piliers du Zero Trust
| Pilier | Focus | Description |
|---|---|---|
| Workforce (Workers) | Identite des utilisateurs | Verification continue de l'identite et du contexte de chaque utilisateur (MFA, device posture, geolocation) |
| Workplace | Reseau et infrastructure | Microsegmentation du reseau, acces conditionnel, verification de chaque connexion reseau |
| Workload | Applications et donnees | Securiser l'acces aux APIs, microservices et containers qui accedent aux bases de donnees et aux ressources applicatives |
Principes fondamentaux
- Never trust, always verify — verifier chaque requete comme si elle venait d'un reseau non securise
- Least privilege access — acces minimal, juste-a-temps (JIT) et juste-assez (JEA)
- Assume breach — supposer que le reseau est deja compromis et minimiser le rayon d'impact
- Continuous verification — authentification et autorisation continues, pas seulement au moment de la connexion
📝 19.9 — Quiz de revision
🔬 19.7 — Lab : Configuration du controle d'acces
Mets en pratique la gestion des acces avec des commandes Linux et des concepts AAA.
Exercice : associe chaque scenario au modele de controle d'acces
Points clés du Module 19
- Le contrôle d'accès repose sur trois éléments : Subject, Object, Action
- Les principes Least Privilege, Separation of Duties et Need-to-Know sont fondamentaux
- Le modèle AAA : Authentication (qui es-tu ?), Authorization (qu'as-tu le droit de faire ?), Accounting (qu'as-tu fait ?)
- Le MFA combine au moins deux facteurs de catégories différentes (know, have, are)
- Les modèles principaux : DAC (propriétaire décide), MAC (système impose), RBAC (basé sur les rôles), ABAC (basé sur les attributs)
- RADIUS (accès réseau, UDP) vs TACACS+ (administration équipements, TCP, chiffrement complet)
- IAM gère le cycle de vie des identités ; SSO permet une authentification unique
- La fédération (SAML, OAuth, OpenID Connect) permet le partage d'identités entre organisations