Vous êtes sur la page 1sur 44

Introduction

Généralités sur les politiques de contrôle d’accès


Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Contrôle d’accès

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Plan du cours 4

1 Introduction
2 Généralités sur les politiques de contrôle d’accès
3 Les politiques discrétionnaires ou DAC
4 Les politiques obligatoires ou MAC
4 Les politiques basées sur la notion de tâche ou TBAC
5 Les politiques basées sur la notion de rôle ou RBAC
6 Les politiques basées sur la notion d’équipe ou TMAC
7 Les politiques basées sur la notion d’organisation ou OrBAC

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Introduction

Sécurité d’un système d’information :

définir une politique de sécurité


préserver la confidentialité, l’intégrité et la disponibilité des
données
détecter les intrusions

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Introduction

Objectifs du contrôle d’accès

préserver la confidentialité, l’intégrité et la disponibilité des


données

confidentialité : protection contre divulgation non autorisée


intégrité des données : protection contre modification ou
destruction non autorisées
disponibilité : fournir les données aux utilisateurs autorisés
quand ils en ont besoin

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

Fig.: source : W. Stallings & L. Brown

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

3 propriétés importantes :

authentification : assure que l’identité de l’utilisateur est


légitime
autorisation : détermine les tâches qu’un utilisateur est
autorisé à faire
non-répudiation : assure qu’un utilisateur ne peut pas nier
avoir effectué une tâche

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

capacité de contrôler l’accès d’un programme ou d’un


utilisateur aux ressources du système :

vérification des requêtes d’accès : accord ou refus


contrôle d’accès : imposé par des règlements de la politique
de sécurité
politique de sécurité : définit les propriétés désirées pour le
système
domaines d’application : informatique, bancaire, militaire,
médical, ...

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

concepts de base d’une politique de sécurité :

sujets : entités actives du système


demandent des droits d’accès correspondant à l’autorisation
d’exécuter des actions sur les objets
incluent toujours les utilisateurs du système
incluent souvent les processus en cours d’exécution pour le
compte des utilisateurs
objets : entités passives du système
contiennent les informations et ressources à protéger
actions : moyens permettant aux sujets de manipuler les
objets du système
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

concepts de base d’une politique de sécurité :

Principe du moindre privilège

affecter des préférences aux utilisateurs de façon à ce qu’ils aient


pas plus de permissions que nécessaires pour effectuer leurs tâches
application stricte de ce principe entraı̂ne :
différents niveaux de permissions
différents niveaux de permissions à des moments différents
permissions limitées dans le temps

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

exemple :

sujets :
Jean et Bob : médecins
Tom et Paul : infirmiers
Sarah : secrétaire médicale
objets :
patients
dossier : médical ou administratif
actions :
consulter, modifier le dossier médical d’un patient
créer le dossier médical d’un patient
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

forme des règles d’une politique de sécurité :



la permission 




un sujet s a l interdiction de réaliser l’action a sur l’objet o




l ′ obligation

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

plusieurs types de règles :

règles indépendantes du contexte : les plus simples


accés à un objet ou un ensemble d’objets indépendamment du
contexte
règles dépendantes du contexte :
accés aux objets à condition de vérifier le contexte donné
règles de délégation et de transfert de droits :
déléguer à un autre utilisateur :
la possibilité de réaliser certaines opérations
un de ses droits d’accès

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Généralités sur les politiques de contrôle d’accès

exemple de règles :
règles indépendantes du contexte :
une secrétaire médicale a la permission de créer le dossier
médical d’un patient
un patient a la permission de consulter son dossier
règles dépendantes du contexte :
un médecin a la permission de consulter les dossiers médicaux
de ses patients
un médecin qui est en grève a l’interdiction de consulter les
dossiers médicaux de ses patients
règles de délégation et de transfert de droits :
un médecin a la permission d’autoriser un infirmier à consulter
le dossier médical d’un patient
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

principe basé sur :

l’identité des utilisateurs


règles explicites d’accès
les utilisateurs sont autorisés à définir leur propre règlement de
sécurité sur les informations dont ils sont propriétaires, en
attribuant et en retirant des droits aux autres membres de
l’organisation.

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

exemple de politique d’accés discrétionnaire ou DAC

gestion des droits d’accés aux fichiers sous UNIX :


trois types d’accès : read write execute

le propriétaire du fichier peut librement définir des droits pour :


lui-même
son groupe
les autres utilisateurs
limitations : pb de fuite d’informations, pb de cheval de Troie
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

modèles basés sur les matrices de contrôle d’accés


(Lampson)
structure : (S, O, A), S : sujets, O : objets, A : matrice de contrôle
d’accés
O1 O2 Objets Oj On

Lire Proprietaire
S1
Lire
Ecrire Ecrire

Sujets

Droits d’acces du
Si Lire sujet Si sur l’objet Oj

Lire
Sn Executer

Odile PAPINI Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

modèle Harrison, Ruzzo Ullman (HRU)

description des droits sous forme de matrice de contrôle


d’accés
commandes de modification de la matrice
Commande nom-commande(arg 1 , arg2 ,
· · · , argn )
)


 droit 1 ∈ A(arg s1 , argo1 et 
 
 op1 ,

 
 


 
 

 droit2 ∈ A(args2 , argo2 ) et   op2 ,

  


Si alors
··· ···

 
 


 
 


 
 


 
 

droitp ∈ A(argsp, argop) opn
  
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

modèle Harrison, Ruzzo Ullman (HRU)

opérations élémentaires : opi

opérations pour gérer les sujets : créer, détruire un sujet


opérations pour gérer les objets : créer, détruire un objet
opérations pour gérer la matrice : mettre, enlever un droit d
dans A(s,o),

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques discrétionnaires ou DAC

modèle Harrison, Ruzzo Ullman (HRU)

Plusieurs modèles de contrôle d’accés discrétionnaires


modèle basé sur les matrices de contrôle d’accés
modèle basé sur des graphes

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Les politiques d’accés obligatoires (par mandats) ou MAC

principe :

affectation aux objets et aux sujets d’attributs non


modifiables par l’utilisateur
autorisation d’accès établie par l’examen de ces attributs
de sécurité
les objectifs de sécurité sont formulés vis à vis des règles
obligatoires décrites par la politique de sécurité
distinction entre utilisateurs et sujets
SKHIRI Ferid Se´curite´ des Syste`mes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Les politiques multi-niveaux

basées sur la notion de treillis

objets et sujets classés selon différents niveaux de sécurité


niveau de sécurité = (niveau de classification, ensemble de
catégories)
niveau de classification : ensemble totalement ordonné
ensemble de catégories : représente le domaine de l’information,
relation entre les ensembles : inclusion ensembliste
niveaux de sécurité : ensemble partiellement ordonné

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Les politiques multi-niveaux

niveaux de sécurité : ensemble partiellement ordonné


relation de dominance : ≥
niveau n1 = (c1 , C1 ) niveau n2 = (c2 , C2 )

n1 ≥ n2 (n1 domine n2 ) ssi c1 ≥ c2 et C2 ⊆ C1

exemple de politique multi-niveaux :

le modèle de Bell et LaPadula

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Bell et LaPadula

objectif : assurer la confidentialité


principe :
interdire toute fuite d’information d’un objet d’un certain
niveau de classification vers un objet de niveau de
classification inférieur
interdire à tout sujet d’une certaine habilitation d’obtenir des
informations d’un objet de classification supérieur à cette
habilitation

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Bell et LaPadula


règle simple (No Read up) : condidentialité
Un sujet s ne peut accéder en lecture à un objet o seulement si le
niveau de classification du sujet h(s) domine le niveau de
classification de l’objet c(o)
(s, o, lire) → h(s) ≥ c(o)
règle étoile (No Write down) : confinement
Un sujet s ne peut accéder en écriture à un objet o seulement si le
niveau de classification du sujet h(s) est dominé par le niveau de
classification de l’objet c(o)
(s, o, écrire) → c(o) ≥ h(s)
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Biba

objectif : assurer l’ intégrité


principe :
interdire toute propagation d’information d’un objet situè à un
certain niveau d’intégrité vers un objet de niveau d’intégrité
inférieur
interdire à tout sujet situé à un certain niveau d’intégrité de
modifier un objet possédant niveau d’intégrité supérieur

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Biba

règle simple (No Read up) : (inverse de Bell-La Padula)


Un sujet s ne peut accéder en lecture à un objet o seulement si le
niveau de classification du sujet est dominé le niveau de
classification de l’objet c(o)
règle étoile (No Write down) : (inverse de Bell-La Padula)
Un sujet s ne peut accéder en écriture à un objet o seulement si le
niveau de classification du sujet domine le niveau de classification
de l’objet c(o)

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Clark et Wilson

contrôle de l’intégrité pour des applications commerciales


4 critères :
authentification
audit
transactions bien formées
séparation des pouvoirs

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

transactions bien formées :

Données de type contraintes CDI données ou objets dont


l’intégrité doit être conservée
Données de type non contraintes UDI données ou objets
dont l’intégrité n’est pas garantie
Procédures de vérification d’intégrité IVP procédures qui
vérifient que les CDI sont dans un ètat valide
Procédures de transformation TP les seules procédures
autorisées à modifier les CDI ou créer de nouveaux CDI

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

Le modèle de Muraille de Chine

dédié à la confidentialité pour des applications commerciales


but : empêcher le flux d’informations qui mènent à des conflits
modèle basé sur une hierarchie des données :
les objets de base données auxquelles on demande l’accès
les objets concernant les données d’une même classe
les objets concernant les données d’une classe en conflit

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

A chaque objet sont associés :


sa classe
ensemble de conflits qui contient ses données

objectif : interdire l’accès à 2 objets appartenant à des ensembles


conflictuels

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques obligatoires ou MAC

règle simple :
Un sujet s ne peut accéder en lecture à un objet o si l’objet o
appartient à l’ensemble de données de la même classe C dejá
accessible (à l’intérieur de la muraille) ou à un ensemble de conflit
différent
règle étoile :
Un sujet s ne peut accéder en écriture à un objet o si cet accés est
permis par la règle simple et aucun autre objet ne peut être lu s’il
appartient à une classe différente de celui-ci.

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de tâche ou TBAC

tâche : associée au contrôle d’accès


modèle actif : les permissions sont constamment contrôlées
autorisations : contraintes strictes précisant leur utilisation,
leur validité, leur expiration
trace de l’utilisation des permissions
permissions contrôlées et gérées : activées et synchronisées
pendant l’exécution des autorisation

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de tâche ou TBAC

cycle de vie d’une autorisation

invalider

utiliser

dormante invoquée valide invalide

révoquer
invoquée valider

suspendue
révoquer

cycle de vie d’une autorisation dans le modèle TBAC

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de tâche ou TBAC

différentes extensions du modèle TBAC


TBAC 3
modèle consolidé

TBAC 1 TBAC 2
autorisations composites contraintes

TBAC 0

modèle de base

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de rôle ou RBAC

idée : grouper les privilèges qui peuvent être accordés à un


utilisateur
politique basée sur le rôle : position de l’utilisateur dans une
structure d’organisation
spécification des privilèges associés à chaque tâche de
l’organisation
affectation des utilisateurs aux rôles
ajout et retrait d’utilisateurs facilités

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de rôle ou RBAC

AU AP

Utilisateur Rôle Permission

Sessions

Modèle de base : RBAC 0

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de rôle ou RBAC

Les politiques d’accés basées sur la notion de rôle ou RBAC


HR

AU AP

Utilisateur Rôle Permission

Sessions

Modèle : RBAC 1

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de rôle ou RBAC

AU AP

Utilisateur Rôle Permission

Sessions
Contraintes

Modèle : RBAC 2

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion de rôle ou RBAC

HR

AU AP

Utilisateur Rôle Permission

Sessions
Contraintes

Modèle : RBAC 3

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion d’équipe ou TMAC


basées sur la notion d’équipe : plusieurs utilisateurs ayant des
rôles différents mais qui collaborent dans l’objectif d’accomplir une
tâche spécifique
utilisateur :
affecté à une équipe
obtient l’accés aux ressources de cette équipe
niveau spécifique d’accès déterminé par son rôle dans l’équipe
contexte de collaboration de l’équipe :
contexte utilisateur : utilisateur qui forment l’équipe
contexte objet : instances d’objets nécessaires à l’équipe
pour accomplir sa tâche
SKHIRI Ferid Sécurité des Systèmes d’Information
Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion d’équipe ou TMAC

Les politiques d’accés basées sur la notion déquipe C-TMAC

combiner les modèles TMAC et RBAC


utiliser d’autres contextes que le contexte utilisateur et le
contexte objet

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion d’organisation ou


OrBAC

Le modéle OrBAC repose sur 4 principes

l’organisation est l’entité centrale du modèle


Il y a deux niveaux d’abstraction
un niveau concret : sujet , action, objet
un niveau abstrait : rôle, activité, vue
possibilité d’exprimer des permissions, des interdictions, des
obligations et des recommandations
possibilité d’exprimer les contextes

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion d’organisation ou


OrBAC

Fig.: source : www.orbac.org/

SKHIRI Ferid Sécurité des Systèmes d’Information


Introduction
Généralités sur les politiques de contrôle d’accès
Les politiques discrétionnaires ou DAC
Les politiques obligatoires ou MAC
Les politiques basées sur la notion de tâche ou TBAC
Les politiques basées sur la notion de rôle ou RBAC
Les politiques basées sur la notion d’équipe ou TMAC
Les politiques basées sur la notion d’organisation ou OrBAC

Les politiques basées sur la notion d’organisation ou


OrBAC

Fig.: source : www.orbac.org/

SKHIRI Ferid Sécurité des Systèmes d’Information

Vous aimerez peut-être aussi