My IBM Se connecter S’abonner
Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?

Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?
Découvrir la solution de gestion des identités et des accès d’IBM Abonnez-vous à la Think Newsletter
Illustration avec collage de pictogrammes représentant des clouds, un téléphone mobile, une empreinte digitale et une coche

Date de publication : le 20 août 2024
Contributeurs : Gregg Lindemulder, Matt Kosinski
Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?

Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?

Le contrôle d’accès basé sur les rôles (RBAC) est un modèle d'autorisation permettant de contrôler l'accès des utilisateurs finaux aux systèmes, applications et données en fonction de leur rôle prédéfini. Par exemple, un analyste de sécurité peut configurer un pare-feu mais ne peut pas consulter les données des clients, tandis qu’un commercial peut accéder aux comptes clients, mais ne peut pas modifier les paramètres du pare-feu.

Dans un système RBAC, un administrateur attribue à chaque utilisateur un ou plusieurs rôles. Chaque rôle correspond à un ensemble d’autorisations ou de privilèges pour l'utilisateur.

Par exemple, un rôle dans le service des finances peut permettre à un utilisateur d’effectuer des achats, d’utiliser des logiciels de prévision ou d’accéder aux systèmes de chaîne d'approvisionnement. Un rôle dans les ressources humaines, quant à lui, peut autoriser un utilisateur à consulter les dossiers du personnel et à gérer les systèmes d'avantages sociaux.

Les grandes organisations ayant de nombreux employés utilisent souvent le RBAC pour simplifier la gestion des accès et assurer la sécurité des informations des ressources numériques. Certaines entreprises utilisent également le RBAC pour contrôler l’accès à des actifs physiques tels que les serrures électroniques de bâtiments, bureaux ou centres de données.

En limitant l'accès des utilisateurs uniquement aux ressources nécessaires pour leur rôle, le RBAC aide à se protéger contre les menaces d'initiés malveillants, d'employés négligents, ainsi que d'acteurs de menaces externes. 
Téléchargez le KuppingerCole Access Management Leadership Compass

Découvrez pourquoi KuppingerCole affirme qu’IBM est un leader dans la fourniture de solutions d’authentification d’entreprise matures, évolutives et sécurisées.

Pourquoi le RBAC est-il important ?

Pourquoi le RBAC est-il important ?

Un système de contrôle d'accès basé sur les rôles permet aux organisations d’adopter une approche granulaire en matière de gestion des identités et des accès (IAM), tout en simplifiant les processus d'autorisation et les politiques de contrôle d'accès. Concrètement, le RBAC aide les entreprises à :

  • Attribuer les permissions plus efficacement
  • Maintenir la conformité 
  • Protégez les données sensibles

Attribuer les permissions plus efficacement

 

Le RBAC élimine la nécessité d’attribuer à chaque utilisateur un ensemble personnalisé de permissions. À la place, les rôles RBAC prédéfinis déterminent les droits d’accès. Ce processus facilite l'intégration et le départ des employés, la mise à jour des fonctions de travail ainsi que la transformation des opérations de l’entreprise.

Les avantages du RBAC incluent également la possibilité d’ajouter rapidement des autorisations d’accès pour les sous-traitants, fournisseurs et autres utilisateurs tiers. Par exemple, l’attribution d’un rôle de comarketing pourrait accorder à un partenaire commercial externe un accès via une interface de programmation des applications (API) à des bases de données relatives aux produits. De cette façon, l’utilisateur dispose des informations dont il a besoin, sans que les ressources confidentielles de l’entreprise ne soient exposées.

Maintenir la conformité
 

La mise en œuvre d’un système RBAC aide également les entreprises à se conformer aux réglementations sur la protection des données, telles que celles qui régissent les services financiers ou les organismes de santé. Le RBAC offre une transparence aux régulateurs en ce qui concerne qui, quand et comment les informations sensibles sont consultées ou modifiées.

Protégez les données sensibles

 

Les politiques RBAC permettent de résoudre les vulnérabilités en matière de cybersécurité en appliquant le principe du moindre privilège (PoLP). Selon ce principe, les rôles des utilisateurs n'accordent que le niveau minimal de permissions nécessaires pour accomplir une tâche ou exercer une fonction. Par exemple, un développeur junior pourrait avoir l’autorisation de travailler sur le code source d’une application, mais ne pas pouvoir valider de modifications sans l’approbation d’un superviseur.

En limitant l'accès aux données sensibles, le RBAC aide à prévenir à la fois les pertes de données accidentelles et les violations de données intentionnelles. Plus précisément, le RBAC permet de freiner les mouvements latéraux, c’est-à-dire lorsque des pirates informatiques utilisent un accès initial pour progressivement étendre leur contrôle sur un système.

Selon le rapport X-Force Threat Intelligence Index, l’abus de comptes – où des pirates prennent le contrôle des comptes d’utilisateurs légitimes pour utiliser leurs privilèges à des fins malveillantes – est le vecteur d’attaque le plus courant. Le RBAC réduit les dommages qu’un hacker peut causer avec un compte utilisateur en limitant d’emblée les accès de ce compte.

De même, les menaces internes figurent parmi les causes les plus coûteuses des violations de données. D'après le rapport sur le coût d’une violation de données, les violations dues à des initiés malveillants coûtent en moyenne 4,99 millions de dollars, un montant supérieur au coût moyen global des violations, qui s'élève à 4,88 millions de dollars.

En limitant les permissions des utilisateurs, le RBAC rend plus difficile pour les employés d’abuser de leurs privilèges d’accès, que ce soit de manière intentionnelle ou par négligence.
Fonctionnement du système RBAC

Fonctionnement du système RBAC

Dans un système RBAC, les organisations doivent d’abord créer des rôles spécifiques, puis définir les permissions et privilèges associés à ces rôles. Les entreprises commencent souvent par séparer les rôles en trois grandes catégories : administrateurs, spécialistes ou experts, et utilisateurs finaux.

Pour affiner la configuration des rôles destinés à des groupes d’utilisateurs spécifiques, des facteurs comme l’autorité, les responsabilités et les niveaux de compétence sont également pris en compte. Parfois, un rôle peut correspondre directement à un intitulé de poste. Dans d’autres cas, le rôle regroupe un ensemble de permissions qui peuvent être attribuées à un utilisateur remplissant certaines conditions, quel que soit son poste.

Les utilisateurs se voient souvent attribuer plusieurs rôles ou peuvent être affectés à un groupe de rôles avec différents niveaux d’accès. Certains rôles sont hiérarchiques et accordent aux managers un ensemble complet d’autorisations, tandis que les rôles subordonnés n’ont accès qu’à un sous-ensemble de ces permissions. Par exemple, le rôle d’un superviseur peut lui donner des droits d’écriture sur un document, tandis que les membres de son équipe ne disposent que de droits de lecture.

Un exemple de RBAC en action

 

  1. L'administrateur informatique d'un hôpital crée un rôle RBAC pour le personnel « infirmier ».
  2. Il définit les permissions associées à ce rôle, telles que la consultation des médicaments ou la saisie de données dans un système de dossier médical électronique (DME).
  3. Les membres du personnel infirmier se voient attribuer le rôle RBAC « infirmier ».
  4. Lorsque les utilisateurs affectés à ce rôle se connectent, le système RBAC vérifie les autorisations auxquelles ils ont droit et leur accorde l'accès pour cette session.
  5. Les autres autorisations, comme la prescription de médicaments ou la demande d'examens, sont refusées à ces utilisateurs, car ils ne sont pas autorisés dans le cadre du rôle d'infirmier. 

RBAC et gestion des identités et des accès (IAM)

De nombreuses organisations utilisent une solution de gestion des identités et des accès (IAM) pour déployer le RBAC au sein de leurs entreprises. Les systèmes IAM interviennent à la fois dans l'authentification et l'autorisation dans un schéma RBAC :

  • Authentification : les systèmes IAM vérifient l'identité d'un utilisateur en comparant ses informations d’identification à celles d’un répertoire ou d’une base de données centralisée des utilisateurs.

  • Autorisation : les systèmes IAM autorisent les utilisateurs en vérifiant leur rôle dans l'annuaire, puis en leur accordant les permissions appropriées en fonction du rôle défini dans le système RBAC de l’organisation.

Quelles sont les trois règles principales du RBAC ?

Le National Institute of Standards and Technology (NIST), qui a développé le modèle RBAC, propose trois règles de base pour tout système RBAC :

  1. Attribution de rôle : un utilisateur doit se voir attribuer un ou plusieurs rôles actifs pour pouvoir exercer des permissions ou des privilèges.

  2. Autorisation de rôle : l’utilisateur doit être autorisé à assumer le ou les rôles qui lui ont été attribués.

  3. Autorisation de permissions : les permissions ou privilèges ne sont accordés qu’aux utilisateurs autorisés par l'attribution de leurs rôles.

Quels sont les quatre modèles de RBAC ?

Il existe quatre modèles distincts pour la mise en œuvre du RBAC, mais chaque modèle repose sur une structure de base commune. Chaque modèle successif ajoute des fonctionnalités et des caractéristiques supplémentaires par rapport au précédent.

  • RBAC de base
  • RBAC hiérarchique
  • RBAC restreint
  • RBAC symétrique

RBAC de base
Parfois appelé RBAC plat, ce modèle est la base nécessaire pour tout système RBAC. Il suit les trois règles fondamentales du RBAC. Les utilisateurs se voient attribuer des rôles, qui leur confèrent l'accès à des ensembles spécifiques de permissions et de privilèges. Le RBAC de base peut être utilisé comme système de contrôle d'accès principal ou comme socle pour des modèles RBAC plus avancés.

RBAC hiérarchique
Ce modèle ajoute des hiérarchies de rôles qui reflètent la structure de gestion d'une organisation. Dans une hiérarchie de rôles, chaque rôle hérite des permissions du rôle situé en dessous de lui, tout en bénéficiant de nouvelles autorisations.

Par exemple, une hiérarchie de rôles pourrait inclure des cadres, des managers, des superviseurs et des employés de ligne. Un cadre au sommet de la hiérarchie aurait accès à l'ensemble complet des permissions, tandis que les managers, superviseurs et employés recevraient des sous-ensembles de ces autorisations, de plus en plus réduits.  

RBAC restreint
En plus des hiérarchies de rôles, ce modèle introduit des capacités permettant d'appliquer la séparation des tâches (SOD). La séparation des tâches prévient les conflits d'intérêts en exigeant que certaines tâches soient réalisées par deux personnes distinctes.

Par exemple, l'utilisateur qui soumet une demande de remboursement pour des frais professionnels ne doit pas être la même personne que celle qui approuve cette demande La politique de RBAC restreint garantit que les privilèges des utilisateurs sont correctement répartis pour ce type de tâches.

RBAC symétrique
Ce modèle est la version la plus avancée, flexible et complète du RBAC. En plus des fonctionnalités des modèles précédents, il offre une visibilité plus approfondie sur les permissions dans l'ensemble de l'entreprise.

Les organisations peuvent examiner comment chaque permission est associée à chaque rôle et utilisateur au sein du système. Elles peuvent également ajuster et mettre à jour les permissions liées aux rôles à mesure que les processus métier et les responsabilités des employés évoluent.

Ces fonctionnalités sont particulièrement précieuses pour les grandes organisations qui doivent s'assurer que chaque rôle et utilisateur dispose du minimum d'accès requis pour accomplir leurs tâches.
RBAC vs. autres cadres de contrôle d'accès

RBAC vs. autres cadres de contrôle d'accès

Il existe d'autres cadres de contrôle d'accès que les organisations peuvent utiliser comme alternative au RBAC. Dans certains cas, les entreprises choisissent de combiner le RBAC avec un autre modèle d'autorisation pour mieux gérer les permissions des utilisateurs. Les cadres de contrôle d'accès couramment utilisés sont les suivants :

  • Contrôle d’accès obligatoire (MAC)
  • Contrôle d'accès discrétionnaire (DAC)
  • Contrôle d’accès basé sur les attributs (ABAC)
  • Liste de contrôle d’accès (ACL)

Contrôle d’accès obligatoire (MAC)

 

Les systèmes MAC appliquent à tous les utilisateurs des politiques de contrôle d'accès définies de manière centralisée. Les systèmes MAC sont moins granulaires que les systèmes RBAC, et l'accès est généralement basé sur des niveaux d'autorisation ou des scores de confiance. De nombreux systèmes d'exploitation utilisent le MAC pour contrôler l'accès des programmes aux ressources sensibles du système.

Contrôle d'accès discrétionnaire (DAC)

 

Les systèmes DAC permettent aux propriétaires des ressources de définir leurs propres règles de contrôle d'accès. Le DAC est plus flexible que les politiques générales du MAC et moins contraignant que l'approche structurée du RBAC.

Contrôle d’accès basé sur les attributs (ABAC)

 

L'ABAC analyse les attributs des utilisateurs, des objets et des actions – tels que le nom d'un utilisateur, le type d'une ressource ou l'heure de la journée – pour déterminer si l'accès sera accordé. Le RBAC peut être plus facile à mettre en œuvre que l'ABAC, car il se base sur les rôles organisationnels plutôt que sur les attributs de chaque utilisateur pour autoriser l'accès.

La différence entre le RBAC et l'ABAC est que l'ABAC détermine dynamiquement les autorisations d'accès en fonction de plusieurs facteurs, tandis que le RBAC se base uniquement sur le rôle prédéfini de l'utilisateur.

Liste de contrôle d’accès (ACL)

 

L'ACL est un système de contrôle d'accès de base qui se réfère à une liste d'utilisateurs et de règles pour déterminer qui peut accéder à un système ou à une ressource, ainsi que les actions qu'ils peuvent effectuer.

La différence entre l'ACL et le RBAC est que l'ACL définit individuellement les règles pour chaque utilisateur, tandis que les systèmes RBAC attribuent les droits d'accès en fonction des rôles.

Pour les grandes organisations, le RBAC est considéré comme une meilleure option pour le contrôle d'accès, car il est plus évolutif et plus facile à gérer que l'ACL.
Solutions connexes

Solutions connexes

IBM Verify

Protégez et gérez les identités des clients, du personnel et des comptes à privilèges dans le cloud hybride en intégrant l’IA

 Découvrir IBM Verify
Structure des identités

Créez une structure d'identité efficace, indépendante des produits, qui réduit la complexité de la gestion des identités.

 Découvrir la solution de structure d’identité d’IBM
IBM Rapid Network Automation

Améliorez la sécurité grâce au contrôle d'accès basé sur les rôles au niveau des blocs d'actions.

 Découvrir IBM Rapid Network Automation
Ressources

Ressources

Rapport sur le coût d’une fuite de données

Grâce à ces informations essentielles, vous pouvez aider vos équipes de sécurité et informatiques à mieux gérer les risques et les pertes potentielles.

 X-Force Threat Intelligence Index

Protégez mieux vos équipes, vos données et votre infrastructure en comprenant les dernières tactiques de cyberattaques.

 Qu’est-ce que la gestion des identités et des accès (IAM) ?

La gestion des identités et des accès (IAM) est la discipline de la cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques et de ce qu’ils peuvent en faire.
Passez à l’étape suivante

IBM Verify est une plateforme IAM de premier plan qui offre des fonctionnalités alimentées par l’IA pour gérer votre personnel et les besoins de vos clients. Unifiez les silos d’identité, réduisez le risque d’attaques basées sur l’identité et proposez une authentification moderne, y compris des fonctionnalités sans mot de passe.

 Découvrir Verify Essayez Verify pendant 90 jours
Produits Essais gratuits de logiciels IBM Réductions et offres spéciales Services Secteurs d'activité Études de cas Financement Nos partenaires stratégiques Rechercher un partenaire commercial Partenaires commerciaux - IBM Partner Plus Devenir partenaire - IBM Partner Plus Se connecter à IBM Partner Plus IBM Consulting IBM Research Développeurs Support À propos d'IBM Contacter IBM Carrières et emplois Evénements IBM Innovation Studio Relation investisseurs Newsroom LinkedIn Youtube Podcasts en français Podcasts en anglais Blogs IBM TechXchange Community Recevoir les toutes dernières actualités L'expérience utilisateur IBM France — Français Contact Données personnelles Conditions d'utilisation Accessibilité