Edward travaille pour la NSA, agence gouvernementale particulièrement attentive à tout ce qui concerne la confidentialité compte tenu de la sensibilité des informations qu’elle gère. Pour cela, l’agence applique des règles très strictes de contrôle d’accès en affectant des étiquettes (labels) aux utilisateurs (sujets) ainsi qu’aux données et médias utilisés (objets). Ainsi, dans l’ensemble du système d’information de l’agence, Edward ne peut jamais accéder à des données classifiées si son niveau d’habilitation (clearance) ne lui permet pas. Comment appelle-t-on ce type de contrôle d’accès ?

[A] DAC

[B] MAC

[C] ABAC

[D] Rule-BAC


reponse linkedin

LK CBK5 Q01


Dans un contrôle d’accès discrétionnaire (Discretionary Access Control ou DAC), le propriétaire d’un objet peut accorder ou refuser l’accès à tout autre sujet. Le propriétaire peut également modifier à tout moment les droits sur ses propres objets comme par exemple dans le système de gestion des permissions NTFS. Ce modèle de contrôle d’accès ne correspond pas à ce qui est décrit dans la question.

Dans un contrôle d’accès basé sur des règles (Rule-Based Access Control ou rule-BAC), les règles spécifiées s’appliquent à tous les sujets de manière globale et sans distinction comme par exemple les règles d’un firewall. Le Rule-BAC qu’il ne faut surtout pas confondre avec le RBAC (Role-Based Access Control) n’est pas le modèle de contrôle d’accès décrit dans la question.

Dans un contrôle d’accès basé sur les attributs (Attribute-Based Access Control ou ABAC) les droits d’accès sont accordés aux sujets selon des politiques de sécurité granulaires qui intègrent des attributs sur le sujet (le demandeur), l’objet (la ressource demandée) et le contexte de la demande. Par exemple, on peut mettre en place un contrôle ABAC au niveau d’une passerelle VPN et autoriser, dans le cadre du télétravail, l’accès uniquement à partir d’adresses IP localisées en France, dans les créneaux horaires de l’entreprise avec un portable de l’entreprise et uniquement pour accéder à certaines catégories d’objets. Ce modèle de contrôle d’accès ne correspond pas à ce qui est décrit dans la question.

Dans un contrôle d’accès obligatoire (Mandatory Access Control ou MAC), parfois appelé modèle basé sur un treillis (Lattice-based Access Control Model), les habilitations sont définies sur la base d’étiquettes affectées aux sujets et aux objets. Les contrôles d’accès de type MAC sont généralement utilisés dans les organisations militaires ou gouvernementales. Les modèles de sécurité Bell-LaPadula (confidentialité) et Biba (intégrité) sont basés sur ce type de contrôle d’accès.

La bonne réponse est donc la proposition [B] MAC


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE