Module 5 : Gestion des

accès
Gestion des identités,
authentifications,
autorisations, droits et
suivis des activités
Gestion des identités
 Identification des principales vulnérabilités

 Les principales vulnérabilités des systèmes concernent :

• La gestion des comptes utilisateurs : compte administrateur par défaut, mot

de passe optionnel, compte invité. Elévation de privilèges
• La politique de sécurité par défaut : mot de passe faibles
• Le stockage des mots de passe : facile d’accès, parfois en clair
• Le type de « File system » : certaines partitions ne proposent pas de sécurité
(FAT32 par exemple)
• La gestion des répertoires : dossiers partagés

© Global Knowledge Training LLC. All rights reserved. Page 4

 Gestion des identités

 La gestion des identités permet de contrôler l’accès aux différents

composants du SI
 Quels sont les privilèges à accorder aux entités qui doivent accéder au
SI ?
 S’assurer que l’accès aux ressources est conforme aux besoins et
correspond aux règles de sécurité

© Global Knowledge Training LLC. All rights reserved. Page 5

 Gestion des identités

© Global Knowledge Training LLC. All rights reserved. Page 6

 Moyens d’authentification

© Global Knowledge Training LLC. All rights reserved. Page 7

 Mots de passe, passphrase, code PIN

© Global Knowledge Training LLC. All rights reserved. Page 8

 Certificat numérique

© Global Knowledge Training LLC. All rights reserved. Page 9

 Token

© Global Knowledge Training LLC. All rights reserved. Page 10

 Biométrie

 Ce facteur d’authentification s’appuie sur ce que l’on est

 Plusieurs méthodes existent mais elles nécessitent toujours de recourir à
des équipements supécifiques et leur mise en œuvre reste coûteuse

• Lecture des empreintes digitales

• Reconnaissance du contour des mains
• Scanners rétiniens
• Reconnaissance faciale
• Reconnaissance de l’iris
• Analyse de signature

© Global Knowledge Training LLC. All rights reserved. Page 11

 Services d’annuaire

 Les services d’annuaire correspondent aux bases de données qui

stockent les informations sur les utilisateurs et différentes ressources du
SI
 Les comptes utilisateurs et les mots de passe peuvent ainsi être gérés
de manière centralisée
 Ces annuaires sont structurés et hiérarchisés (arborescence)
 Les annuaires les plus utilisés sont des annuaires LDAP et le plus
fréquent est celui de Microsoft : Active Directory (AD)

© Global Knowledge Training LLC. All rights reserved. Page 12

 Kerberos

 Kerberos est un système qui permet l’authentification des utilisateurs,

des services ou des machines, de manière centralisée.
 C’est le service d’authentification d’origine des services d’annuaire.
 Kerberos fait appel à 3 composants :
• KDC (Key Distribution Center) : génération et stockage des clés secrètes qui
seront utilisées dans le processus d’authentification
• TGS (Ticket-Granting Server) : création de tickets TGT (Ticket-Granting
tickets) qui sont une collection d’information représentant une identité
• AS (Authentication Service) : validation de l’identité par comparaison des
informations obtenues avec celles de la base de données. Une fois
l’authentification réussie, les tickets appropriés sont créés pour permettre
l’accès aux ressources.
© Global Knowledge Training LLC. All rights reserved. Page 13
 Kerberos

© Global Knowledge Training LLC. All rights reserved. Page 14

 Single Sign-On

© Global Knowledge Training LLC. All rights reserved. Page 15

 Single Sign-On

© Global Knowledge Training LLC. All rights reserved. Page 16

 Gestion des mots de passe

 Une politique de gestion des mots de passe doit être mise en oeuvre
 Cela permet de définir la façon de les générer et de les utiliser :

• Nombre minimum de caractères

• Complexité du mot de passe
• Durée de validité
• Nombre de tentatives et historique
• Méthode de stockage

© Global Knowledge Training LLC. All rights reserved. Page 17

 Authentification forte

 On parle d’authentification forte lorsque l’on impose au moins deux

critères lors de l’authentification.
 On parle de « two-factor authentication », par exemple, si la biométrie
est requise en plus du login/mot de passe.
 On peut bien sûr combiner plus que deux critères : login/mot de
passe+certificat numérique+token+biométrie !

© Global Knowledge Training LLC. All rights reserved. Page 18

 OpenID et OAuth

© Global Knowledge Training LLC. All rights reserved. Page 19

Gestion des
autorisations
 Gestion des autorisations

© Global Knowledge Training LLC. All rights reserved. Page 21

 Permissions et droits

© Global Knowledge Training LLC. All rights reserved. Page 22

 Permissions

© Global Knowledge Training LLC. All rights reserved. Page 23

 ACM : Access Control Matrix

© Global Knowledge Training LLC. All rights reserved. Page 24

 Discretionary Access Control (DAC)

© Global Knowledge Training LLC. All rights reserved. Page 25

 Role-Based Access Control (RBAC)

© Global Knowledge Training LLC. All rights reserved. Page 26

 Role-Based Access Control (RBAC)

© Global Knowledge Training LLC. All rights reserved. Page 27

 Attribute-Based Access Control (ABAC)

 Avec le contrôle d'accès basé sur les attributs (ABAC),les droits d'accès
sont accordés aux utilisateurs par l'utilisation de politiques qui combinent
un ensemble d’attributs.
 On peut utiliser n'importe quel type d'attributs (attributs d'utilisateur,
attributs de ressource, objet, attributs d'environnement etc.).

© Global Knowledge Training LLC. All rights reserved. Page 28

 Exercice

 CYBTO - Lab 6 : La PKI

 CYBTO - Lab 7 : Gestion des mots de passe

 CYBTO - Lab 11 : Escalade des privilèges

© Global Knowledge Training LLC. All rights reserved. Page 29

https://www.globalknowledge.com/fr-fr/