Votre entreprise souhaite mettre en production une application Web de e-commerce avec une approche marketing innovante. En effet, le service marketing souhaite que les offres promotionnelles soient réservées à certains visiteurs ou clients selon de nombreux critères comme par exemple le type de terminal utilisé (iPhone, PC,…), les habitudes de connexion, l’activation de l’option 2FA, etc… Dans ce contexte, quel type de contrôle d’accès vous parait le plus adapté ?
[A] Contrôle d’accès discrétionnaire (DAC)
[B] Contrôle d’accès basé sur les rôles (RBAC)
[C] Contrôle d’accès basé sur les règles (rule-BAC)
[D] Contrôle d’accès basé sur les attributs (ABAC)
Dans le modèle de contrôle d’accès discrétionnaire (DAC), chaque objet a un propriétaire et celui-ci peut accorder ou refuser l’accès à tout autre sujet. Par exemple, le système NTFS dans Windows utilise le modèle DAC. Avec ce système, lorsqu’on crée un fichier, on peut via l’onglet permissions, définir qui pourra accéder en lecture ou en écriture à ce fichier.
RBAC (Role-based Access Control) est un modèle de contrôle d’accès qui définit les habilitations des utilisateurs à partir de leurs rôles ou de leurs fonctions au sein de leur organisation. En pratique, la plupart des systèmes d’exploitation comme par exemple Windows, implémentent le modèle RBAC via l’utilisation de groupes. On crée par exemple dans Active Directory, un groupe « Admin-Oracle ». On lui attribue tous les privilèges nécessaires à l’administrations des bases de données Oracle. Et on place ensuite dans ce groupe, toutes les personnes qui doivent hériter de ces privilèges.
Dans un modèle de contrôle d’accès basé sur les règles (rule-BAC), on applique à tous les sujets des règles communes. C’est le principe de fonctionnement classique d’un pare-feu dans lequel on a mis en œuvre un ensemble de règles qui autorisent ou bloquent certains flux. Et tous les utilisateurs qui génèrent un flux réseau vers ce Firewall auront le même traitement en matière de contrôle d’accès. L’ensemble des règles est appliqué de manière identique à tous les utilisateurs. Attention ce type de contrôle d’accès s’écrit rule-based access control ou encore rule-BAC (avec un r minuscule) mais jamais rBAC et encore moins RBAC pour ne pas le confondre avec le contrôle d’accès basé sur les rôles (Role-based Access Control).
Le modèle ABAC (Attribute-Based Access Controls) est un nouveau modèle de contrôle d’accès que l’on pourrait qualifier de contrôle d’accès de «nouvelle génération». Avec l’ABAC, les droits d’accès sont accordés aux utilisateurs selon des politiques de sécurité granulaires qui intègrent des attributs sur le sujet (le demandeur), sur l’objet (la ressource demandée) et sur le contexte de la demande. Par exemple, on peut mettre en place un contrôle ABAC au niveau d’une passerelle VPN et autoriser, dans le cadre du télétravail, l’accès uniquement à partir d’adresses IP localisées en France, dans les créneaux horaires de l’entreprise avec un portable de l’entreprise et uniquement pour accéder à certaines catégories d’objets. On peut par exemple avec l’ABAC donner l’accès à certaines ressources si l’utilisateur s’est authentifié par un simple identifiant / mot de passe et imposer un 2ème facteur d’authentification pour accéder à des ressources plus critiques. Le 2FA est un attribut de l’authentification utilisateur qui peut être associé à des règles. L’ABAC offre donc davantage de flexibilité, de granularité et de sécurité que le classique modèle RBAC mais il peut être cependant plus complexe à gérer. L’ABAC est clairement le modèle le plus pertinent pour la gestion des accès dans le Cloud. Les politiques de sécurité ABAC sont généralement écrites dans le langage XACML (Extensible Access Control Markup Language).
La bonne réponse est la proposition [D]
Pour en savoir plus sur le contrôle d’accès ABAC, vous pouvez consulter le document du NIST SP-800-162. Et vous avez ci-dessous un schéma issu de ce document avec en bonus les explications données dans la formation CISSP de VERISAFE :
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
