Vous êtes sur la page 1sur 6

Domain 1: Access Control

Objectif
• Concepts de contrôle d'accès de base

• Modèles de contrôle d’accès

• Catégories et types défensifs de contrôle d'accès

• Méthodes d'authentification

• Technologies de contrôle d’accès

• Évaluation du contrôle d’accès

INTRODUCTION

Le but du contrôle d'accès est de permettre aux utilisateurs autorisés d'accéder aux données
appropriées et de refuser l'accès aux utilisateurs non autorisés.

Les contrôles d'accès protègent contre les menaces telles que l'accès non autorisé, la modification
inappropriée des données et la perte de confidentialité.

CONCEPTS DE SÉCURITÉ DE L'INFORMATION CORNERSTONE


Avant de pouvoir expliquer le contrôle d'accès, nous devons définir les principaux concepts de
sécurité de l'information.

Ces concepts fournissent la base sur laquelle reposent les 10 domaines du corpus commun de
connaissances.

Confidentialité, intégrité et disponibilité « Confidentiality, integrity, and availability »

La confidentialité, l'intégrité et la disponibilité sont la «triade DIC », le concept fondamental de la


sécurité de l'information. La triade, illustrée à la figure 1.1, forme le tabouret à trois pattes sur lequel
repose la sécurité de l'information.
Confidentialité

La confidentialité vise à empêcher la divulgation non autorisée d’informations : elle garde les
données secrètes. En d'autres termes, la confidentialité vise à empêcher l'accès en lecture
non autorisé aux données.

Un exemple d'attaque de confidentialité serait le vol d’Informations, telles que les


informations de carte de crédit.

Intégrité

L'intégrité cherche à empêcher la modification non autorisée des informations. En d'autres


termes, l'intégrité cherche à empêcher l'accès en écriture non autorisé aux données.

Remarque :

Il existe deux types d'intégrité : l'intégrité des données et l'intégrité du système.

L'intégrité des données vise à protéger les informations contre toute modification non
autorisée; l'intégrité du système vise à protéger un système, tel qu'un système d'exploitation
de serveur Windows 2012, contre toute modification non autorisée.

Disponibilité

La disponibilité garantit que les informations sont disponibles en cas de besoin. Les systèmes
doivent être utilisables (disponibles) pour une utilisation professionnelle normale.

Un exemple d'attaque contre la disponibilité serait une attaque par déni de service (DoS), qui
cherche à refuser le service (ou la disponibilité) d'un système.

Divulgation, modification et destruction

La triade DCI peut également être décrite par son contraire : la divulgation, l'altération et la
destruction (DAD).

La divulgation est la révélation non autorisée d’informations, L’altération est la modification non
autorisée de données, et la destruction rend les systèmes indisponibles.

Identité et authentification, autorisation et responsabilité « Identity and authentication,


authorization, and accountability »

Le terme «AAA» est souvent utilisé, décrivant les concepts fondamentaux Authentification,
Autorisation et Responsabilité (Accountability ).

Identité et authentification

L'identité est une revendication : si votre nom est «Personne X», vous vous identifiez en
disant «Je suis la Personne X». L'identité seule n’est faible car il n'y a aucune preuve. Vous
pouvez également vous identifier en disant «Je suis la personne Y».

La preuve d'une revendication d'identité s'appelle l’authentification : vous authentifiez la


revendication d'identité, généralement en fournissant une information ou un objet que vous
seul possédez, comme un mot de passe ou votre passeport.
Autorisation

L'autorisation décrit les actions que vous pouvez effectuer sur un système une fois que vous
vous êtes identifié et authentifié. Les actions peuvent inclure la lecture, l'écriture ou
l'exécution de fichiers ou de programmes.

Responsabilité (Accountability)

La responsabilité tient les utilisateurs responsables de leurs actions. Ceci est généralement
accompli en enregistrant et en analysant les données d'audit. L'application de la
responsabilité permet de garder «les gens honnêtes ». Pour certains utilisateurs, savoir que
les données sont enregistrées ne suffit pas pour rendre des comptes : ils doivent savoir que
les données sont enregistrées et auditées et que des sanctions peuvent résulter d'une
violation de la politique.

Non répudiation

La non-répudiation signifie qu'un utilisateur ne peut pas nier (répudier) avoir effectué une
transaction. Elle combine l’authentification et l’intégrité : la non-répudiation authentifie l'identité
d'un utilisateur qui effectue une transaction et garantit l'intégrité de cette transaction.

Vous devez avoir à la fois l'authentification et l'intégrité pour avoir la non-répudiation : prouver que
vous avez signé un contrat pour acheter une voiture (authentifier votre identité en tant qu'acheteur)
n'est pas utile si le concessionnaire automobile peut changer le prix de 20000 $ à 40000 $ (violer
l'intégrité du contrat).

Le moindre privilège et besoin de savoir

Le moindre privilège signifie que les utilisateurs doivent bénéficier du minimum d'accès (autorisation)
requis pour faire leur travail, mais pas plus. Le moindre privilège est appliqué aux groupes d'objets.
Le besoin de savoir est plus précis que le moindre privilège : l'utilisateur doit avoir besoin de
connaître cette information spécifique avant d'y accéder.

Sujets et objets

Un sujet est une entité active sur un système de données. La plupart des exemples de sujets
impliquent des personnes accédant à des fichiers de données. Cependant, l'exécution de
programmes informatiques est également un sujet.

Un objet est une donnée passive dans le système. Les objets peuvent aller des bases de données aux
fichiers texte. La chose importante à retenir à propos des objets est qu'ils sont passifs dans le
système. Ils ne manipulent pas d'autres objets.

Défense en profondeur

La défense en profondeur (également appelée défenses en couches) applique plusieurs garanties


(également appelées contrôles : mesures prises pour réduire les risques) pour protéger un actif. Tout
contrôle de sécurité unique peut échouer ; en déployant plusieurs contrôles, vous améliorez la
confidentialité, l'intégrité et la disponibilité de vos données.
MODÈLES DE CONTRÔLE D'ACCÈS
Maintenant que nous avons passé en revue les principaux concepts de contrôle d'accès, nous
pouvons discuter des différents modèles de contrôle d'accès : les principaux modèles sont le contrôle
d'accès discrétionnaire (DAC), le contrôle d'accès obligatoire (MAC) et le contrôle d'accès non
discrétionnaire.

Contrôles d'accès discrétionnaires - Discretionary access controls

Le contrôle d'accès discrétionnaire (DAC) donne aux sujets le contrôle total des objets auxquels ils
ont eu accès, y compris le partage des objets avec d'autres sujets. Les sujets sont habilités et
contrôlent leurs données. Les systèmes d'exploitation UNIX et Windows standard utilisent DAC pour
les systèmes de fichiers: les sujets peuvent autoriser d'autres sujets à accéder à leurs fichiers,
modifier leurs attributs, les modifier ou les supprimer.

Contrôles d'accès obligatoires - Mandatory access controls

Le contrôle d'accès obligatoire (MAC) est un contrôle d'accès appliqué par le système basé sur
l'autorisation du sujet et les étiquettes de l'objet. Les sujets et les objets ont respectivement des
autorisations et des étiquettes, telles que confidentiel, secret et top secret. Un sujet ne peut accéder
à un objet que si le jeu du sujet est égal ou supérieur à l’étiquette de l’objet. Les sujets ne peuvent
pas partager d’objets avec d’autres sujets qui ne disposent pas de l’autorisation appropriée ou
«noter» des objets à un niveau de classification inférieur (par exemple, du top secret au secret). Les
systèmes MAC sont généralement axés sur la préservation de la confidentialité des données.

Contrôle d'accès non discrétionnaire - Nondiscretionary access control

Le contrôle d'accès basé sur les rôles ( Role-Based Access Control : RBAC) définit le mode d'accès aux
informations sur un système en fonction du rôle du sujet. Un rôle peut être une infirmière, un
administrateur suppléant, un technicien du service d'assistance, etc.

Les sujets sont regroupés en rôles et chaque rôle défini dispose d'autorisations d'accès basées sur
le rôle et non sur l'individu.

RBAC est un type de contrôle d'accès non discrétionnaire car les utilisateurs n'ont pas de pouvoir
discrétionnaire concernant les groupes d'objets auxquels ils sont autorisés à accéder et ne peuvent
pas transférer des objets vers d'autres sujets

Le contrôle d'accès basé sur les tâches est un autre modèle de contrôle d'accès non discrétionnaire,
lié à RBAC.

Le contrôle d'accès basé sur les tâches est basé sur les tâches que chaque sujet doit effectuer, telles
que la rédaction de prescriptions, la restauration de données à partir d'une bande de sauvegarde ou
l'ouverture d'un ticket d'assistance.

Il tente de résoudre le même problème que RBAC résout, en se concentrant sur des tâches
spécifiques, au lieu de rôles.

Contrôles d'accès basés sur des règles

Un système de contrôle d'accès basé sur des règles utilise une série de règles, de restrictions et de
filtres définis pour accéder aux objets d'un système. Les règles sont sous la forme d'instructions «si /
alors». Un exemple de dispositif de contrôle d'accès basé sur des règles est un pare-feu proxy qui
permet aux utilisateurs de surfer sur le Web avec un contenu approuvé prédéfini uniquement (si
l'utilisateur est autorisé à surfer sur le Web et que le site est sur la liste approuvée, autorisez l'accès).
Les autres sites sont interdits et cette règle est appliquée à tous les utilisateurs authentifiés.

Contrôle d'accès centralisé

Le contrôle d'accès centralisé concentre le contrôle d'accès en un point logique pour un système ou
une organisation. Au lieu d'utiliser des bases de données de contrôle d'accès locales, les systèmes
s'authentifient via des serveurs d'authentification tiers. Le contrôle d'accès centralisé peut être utilisé
pour fournir une authentification unique (SSO), où un sujet peut s'authentifier une fois, puis accéder
à plusieurs systèmes. Le contrôle d'accès centralisé peut fournir les trois «A» du contrôle d'accès :
authentification, autorisation et responsabilité.

Listes de contrôle d'accès

Les listes de contrôle d'accès (ACL) sont utilisées dans de nombreuses politiques, procédures et
technologies de sécurité informatique. Une liste de contrôle d'accès est une liste d'objets ; chaque
entrée décrit les sujets qui peuvent accéder à cet objet. Toute tentative d'accès par un sujet à un
objet qui n'a pas d'entrée correspondante sur l'ACL sera refusée.

Accédez au cycle de vie de l'approvisionnement d'accès

Une fois que le modèle de contrôle d'accès approprié a été choisi et déployé, le cycle de vie de
l'approvisionnement d'accès doit être maintenu et sécurisé. Alors que de nombreuses organisations
suivent les meilleures pratiques en matière de délivrance d'accès, nombre d'entre elles ne disposent
pas de processus formels permettant de garantir que toute la durée de vie de l'accès est sécurisée
lorsque les employés et les sous-traitants se déplacent au sein d'une organisation.

IBM décrit les règles de cycle de vie d'identité suivantes : 

«  • Vérification de la conformité de la politique de mot de passe

• Aviser les utilisateurs de changer leurs mots de passe avant leur expiration

• Identifier les changements de cycle de vie tels que les comptes qui sont inactifs pendant
plus de 30 jours consécutifs

• Identifier les nouveaux comptes qui n'ont pas été utilisés pendant plus de 10 jours après
leur création

• Identifier les comptes susceptibles d'être supprimés car ils ont été suspendus pendant plus
de 30 jours

• Lors de l’expiration d’un contrat, identifier tous les comptes appartenant à un partenaire
commercial ou aux employés d’un sous-traitant et révoquer leurs droits d’accès »

Droits des utilisateurs, examen des accès et audit


L'agrégation des accès se produit lorsque les utilisateurs individuels accèdent davantage à
plus de systèmes. Cela peut se produire intentionnellement, en fonction de l'authentification
unique (SSO). Cela peut également se produire involontairement : les utilisateurs obtiennent
souvent de nouveaux droits (également appelés droits d'accès) lorsqu'ils assument de
nouveaux rôles ou tâches. Cela peut entraîner un dérèglement des autorisations : les
utilisateurs obtiennent plus de droits sans perdre les anciens. Le pouvoir de ces droits peut
s'aggraver avec le temps, faisant échouer les contrôles tels que le moindre privilège et la
séparation des tâches.

Les droits des utilisateurs doivent être régulièrement revus et audités.

Des processus devraient être développés pour réduire ou éliminer les anciens droits au fur et
à mesure que de nouveaux sont accordés.

Protocoles et frameworks de contrôle d'accès

Les modèles centralisés et décentralisés peuvent prendre en charge l'authentification des


utilisateurs distants auprès des systèmes locaux. Un certain nombre de protocoles et de
cadres peuvent être utilisés pour répondre à ce besoin, notamment RADIUS, Diameter,
TACACS / TACACS +, PAP et CHAP.

CATÉGORIES ET TYPES DÉFENSIFS DE CONTRÔLE D'ACCÈS


Afin de comprendre et de mettre en œuvre correctement les contrôles d'accès, il est essentiel de
comprendre les avantages que chaque contrôle peut apporter à la sécurité. Dans cette section,
chaque type de contrôle d'accès sera défini en fonction de la manière dont il ajoute à la sécurité du
système. Il existe six types de contrôle d'accès :

• Préventif

• Détective

• Correctif

• Récupération

• Dissuasion

• Compensation

Compromission