My IBM Se connecter S’abonner

Authentification et autorisation : quelle est la différence ?

Le 28 juin 2024

Temps de lecture : 6 min.

L’authentification et l’autorisation sont des processus liés mais distincts dans le système de gestion des identités et des accès (IAM) d’une organisation. L’authentification vérifie l’identité d’un utilisateur, tandis que l’autorisation lui accorde le bon niveau d’accès aux ressources du système.

Le processus d’authentification repose sur des identifiants, tels que des mots de passe ou la lecture d’empreintes digitales, que les utilisateurs présentent pour prouver leur identité.

Le processus d’autorisation repose sur les permissions de l’utilisateur qui définissent ce que chaque utilisateur peut faire au sein d’une ressource ou d’un réseau particulier. Ainsi, les autorisations d’un système de fichiers peuvent dicter si un utilisateur peut créer, lire, mettre à jour ou supprimer des fichiers.

Les processus d’authentification et d’autorisation s’appliquent aux utilisateurs humains et non humains, tels que les appareils, les workloads automatisés et les applications web. Un système IAM unique peut gérer à la fois l’authentification et l’autorisation, ou les processus peuvent être gérés par des systèmes indépendants travaillant de concert.

L’authentification est généralement une condition préalable à l’autorisation. Un système doit connaître l’identité d’un utilisateur avant de lui accorder un quelconque accès.

Les attaques basées sur l’identité, au cours desquelles les pirates détournent des comptes d’utilisateurs valides et abusent de leurs droits d’accès, sont en hausse. Selon l’IBM X-Force Threat Intelligence Index, ces attaques sont le moyen le plus courant par lequel les acteurs malveillants infiltrent les réseaux, représentant 30 % de toutes les cyberattaques.

L’authentification et l’autorisation agissent de concert pour mettre en œuvre des contrôles d’accès sécurisés et déjouer les violations de données. Des processus d’authentification rigoureux entravent la prise de contrôle des comptes d’utilisateurs par les pirates. Des autorisations efficaces limitent les dommages qu’ils peuvent causer avec ces comptes.

Comprendre l’authentification

Comment fonctionne l’authentification ?

Parfois simplement appelée « authn », l’authentification repose sur l’échange d’identifiants d’utilisateur, également appelés facteurs d’authentification. Ces derniers sont des preuves qui attestent de l’identité d’un utilisateur.

Lorsqu’un utilisateur s’inscrit pour la première fois à un système, il crée un ensemble de facteurs d’authentification. Lorsqu’il se connecte, il fournit ces facteurs d’authentification. Le système les compare aux facteurs qu’il a en mémoire. S’ils correspondent, le système estime que l’utilisateur est bien celui qu’il prétend être.

Voici quelques types courants de facteurs d’authentification :

  • Facteurs de connaissance : un élément que seul l’utilisateur connaît, tel qu’un mot de passe, un code PIN ou la réponse à une question de sécurité.
  • Facteurs de possession : un élément que seul l’utilisateur possède, tel qu’un code PIN à usage unique (OTP) envoyé à son téléphone portable personnel par SMS ou un jeton de sécurité physique.
  • Facteurs d’inhérence : les données biométriques, comme la reconnaissance faciale et les empreintes digitales.

Chaque application et ressource peut avoir son propre système d’authentification. De nombreuses organisations utilisent un système intégré, tel qu’une solution à connexion unique (SSO), où les utilisateurs peuvent s’authentifier une seule fois pour accéder à plusieurs ressources au sein d’un domaine sécurisé.

Les normes d’authentification les plus courantes sont SAML (Security Assertion Markup Language) et OIDC (OpenID Connect). SAML utilise des messages XML pour partager les informations d’authentification entre les systèmes, tandis que OIDC utilise des jetons Web JSON (JWT) appelés « jetons d’identification ».

Types d’authentification

  • L’authentification à facteur unique (SFA) demande un seul facteur d’authentification pour prouver l’identité d’un utilisateur. Fournir un nom d’utilisateur et un mot de passe pour se connecter à un site de réseau social est un exemple typique de SFA.
  • L’authentification à étapes (MFA) exige au moins deux facteurs d’authentification de types différents, tels qu’un mot de passe (facteur de connaissance) et une lecture d’empreintes digitales (facteur d’inhérence).
  • L’authentification à deux facteurs (2FA) est un type spécifique de MFA nécessitant exactement deux facteurs. La plupart des usagers d’Internet ont déjà eu recours à l’authentification à deux facteurs, par exemple lorsqu’une application bancaire exige à la fois un mot de passe et un code à usage unique envoyé sur leur téléphone.
  • Les méthodes d’authentification sans mot de passe n’utilisent pas de mots de passe, ni de facteurs de connaissance. Ces systèmes sont devenus populaires comme moyen de défense contre les voleurs d’identifiants, qui ciblent les facteurs de connaissance parce qu’ils sont les plus faciles à voler.
  • Les systèmes d’authentification adaptative font appel à l’intelligence artificielle et au machine learning pour modifier les exigences d’authentification en fonction du degré de risque lié au comportement de l’utilisateur. Par exemple, un utilisateur qui tente d’accéder à des données confidentielles peut avoir besoin de fournir plusieurs facteurs d’authentification avant que le système ne le vérifie.

Découvrez comment les experts en identité et en sécurité d’IBM peuvent aider à rationaliser les efforts d’IAM, à gérer les solutions dans les environnements de cloud hybride et à transformer les workflows de gouvernance.

Exemples d’authentification

  • Lecture d’empreinte digitale et code PIN pour déverrouiller un smartphone.
  • Présentation d’une pièce d’identité pour ouvrir un nouveau compte bancaire.
  • Un navigateur web confirme la légitimité d’un site en vérifiant son certificat numérique.
  • Une application se vérifie auprès d’une interface de programmation des applications (API) en ajoutant sa clé API secrète à chaque appel qu’elle passe.

Comprendre l’autorisation

Comment fonctionne l’autorisation ?

Parfois abrégée en « authz », l’autorisation est basée sur les permissions (ou autorisations) de l’utilisateur. Ces dernières sont des politiques qui précisent ce à quoi un utilisateur peut accéder et ce qu’il peut faire avec cet accès dans un système.

Les administrateurs et les responsables de la sécurité définissent généralement les autorisations des utilisateurs, qui sont ensuite appliquées par les systèmes d’autorisation. Lorsqu’un utilisateur tente d’accéder à une ressource ou d’effectuer une action, le système vérifie ses autorisations avant qu’il ne puisse poursuivre.

Prenons l’exemple d’une base de données sensible contenant des dossiers clients. L’autorisation détermine si un utilisateur peut consulter cette base de données. Si c’est le cas, elle définit également ce qu’il peut faire dans cette base de données. Peut-il simplement lire les entrées, ou peut-il également créer, supprimer et mettre à jour des entrées ?

OAuth 2.0, qui utilise des jetons d’accès pour déléguer des autorisations aux utilisateurs, est un exemple de protocole d’autorisation répandu. Il permet aux applications de partager des données entre elles. Ainsi, OAuth permet à un site de réseau social de parcourir les contacts électroniques d’un utilisateur à la recherche de personnes qu’il pourrait connaître, avec l’accord de l’utilisateur.

Types d’autorisation

  • Les méthodes de contrôle d’accès basé sur les rôles (RBAC) fixent les autorisations d’accès des utilisateurs en fonction de leur rôle. Par exemple, un analyste de sécurité débutant peut être autorisé à consulter les configurations du pare-feu, mais pas à les modifier, alors que le responsable de la sécurité du réseau peut disposer d’un accès administratif complet.
  • Les méthodes de contrôle d’accès basé sur les attributs (ABAC) font appel aux attributs des utilisateurs, des objets et des actions (tels que le nom d’un utilisateur, le type d’une ressource et l’heure de la journée) pour déterminer les niveaux d’accès. Lorsqu’un utilisateur tente d’accéder à une ressource, le système ABAC analyse tous les attributs pertinents et n’accorde l’accès que s’ils répondent à certains critères prédéfinis. Par exemple, les utilisateurs d’un système ABAC ne peuvent accéder à des données sensibles que pendant les heures de travail et seulement s’ils ont un certain niveau d’ancienneté.
  • Les systèmes de contrôle d’accès obligatoire (MAC) appliquent à tous les utilisateurs des politiques de contrôle d’accès définies de manière centralisée. Les systèmes MAC sont moins granulaires que les systèmes RBAC et ABAC, et l’accès est généralement basé sur des niveaux d’autorisation ou des scores de confiance. De nombreux systèmes d’exploitation utilisent le MAC pour contrôler l’accès des programmes aux ressources sensibles du système.
  • Les systèmes de contrôle d’accès décisionnaire (DAC) permettent aux propriétaires des ressources de définir leurs propres règles de contrôle d’accès. Le DAC est plus flexible que les politiques générales du MAC.

Exemples d’autorisation

  • Lorsqu’un utilisateur se connecte à son compte de messagerie, il ne peut voir que ses propres e-mails. Il n’est pas autorisé à consulter ceux d’autres personne.
  • Dans un système de dossiers médicaux, les données d’un patient ne peuvent être consultées que par les prestataires auxquels le patient a explicitement donné son accord.
  • Un utilisateur crée un document dans un système de fichiers partagés. Il règle les autorisations d’accès sur « lecture seule » afin que les autres utilisateurs puissent voir le document mais ne puissent pas le modifier.
  • Le système d’exploitation d’un ordinateur portable empêche un programme inconnu de modifier les paramètres du système.

Comment l’authentification et l’autorisation collaborent-elles pour sécuriser les réseaux ?

L’authentification et l’autorisation des utilisateurs jouent des rôles complémentaires dans la protection des informations sensibles et des ressources du réseau contre les menaces internes et les attaquants externes. En bref, l’authentification aide les organisations à défendre les comptes d’utilisateurs, tandis que l’autorisation aide à défendre les systèmes auxquels ces comptes peuvent accéder.

 

Les bases de la gestion des identités et des accès

Des systèmes complets de gestion des identités et des accès (IAM) permettent de suivre l’activité des utilisateurs, de bloquer les accès non autorisés aux ressources du réseau et d’appliquer des autorisations granulaires afin que seuls les bons utilisateurs puissent accéder aux bonnes ressources.

L’authentification et l’autorisation abordent deux questions essentielles auxquelles les organisations doivent répondre pour mettre en œuvre des contrôles d’accès efficaces : 

  • Qui êtes-vous ? (Authentification)
  • Qu’avez-vous le droit de faire dans ce système ? (Autorisation)

Une organisation doit savoir qui est un utilisateur avant d’activer le niveau d’accès qui lui correspond. Par exemple, lorsqu’un administrateur réseau se connecte, il doit prouver sa qualité d’administrateur en fournissant les bons facteurs d’authentification. Ce n’est qu’à ce moment-là que le système d’IAM autorise l’utilisateur à effectuer des actions administratives telles que l’ajout ou la suppression d’autres utilisateurs.

Lutter contre les cyberattaques avancées

Alors que les contrôles de sécurité des organisations deviennent de plus en plus efficaces, de plus en plus de pirates les contournent en volant des comptes d’utilisateurs et en abusant de leurs privilèges pour faire des ravages. Selon l’IBM X-Force Threat Intelligence Index, la fréquence des attaques basées sur l’identité a augmenté de  % entre 2022 et 2023.

Ces attaques sont faciles à réaliser pour les cybercriminels. Ils peuvent déchiffrer les mots de passe par des attaques par force brute, utiliser des logiciels malveillants de type infostealer ou acheter des identifiants à d’autres pirates. De fait, selon le X-Force Threat Intelligence Index, les identifiants de comptes cloud représentent 90 % des actifs cloud vendus sur le dark web.

L’hameçonnage est une autre tactique courante de vol d’identifiants, et les outils d’IA générative permettent désormais aux pirates de développer des attaques plus efficaces en moins de temps.

Bien qu’elles puissent être considérées comme des mesures de sécurité élémentaires, l’authentification et l’autorisation constituent des défenses importantes contre l’usurpation d’identité et l’abus de compte, y compris les attaques alimentées par l’IA.

L’authentification peut entraver le vol de comptes en remplaçant ou en renforçant les mots de passe par d’autres facteurs plus difficiles à déchiffrer, tels que les données biométriques.

Les systèmes d’autorisation granulaire peuvent freiner les mouvements latéraux en limitant les privilèges des utilisateurs aux seules ressources et actions dont ils ont besoin. Cela permet de restreindre les dommages que les pirates malveillants et les menaces internes peuvent causer en abusant des droits d’accès.

Avec IBM Security Verify, les entreprises peuvent aller au-delà de l’authentification et de l’autorisation classiques. Verify peut aider à protéger les comptes avec des options d’authentification sans mot de passe et à étapes, et peut aider à contrôler les applications avec des politiques d’accès granulaires et contextuelles.

Auteur

Matthew Kosinski

Enterprise Technology Writer