Votre entreprise souhaite déployer une nouvelle architecture IT dans le Cloud dans laquelle des données particulièrement sensibles et confidentielles seront traitées. Afin de répondre aux exigences de sécurité, un architecture Zero Trust (ZTA) a été retenue.
Dans ce contexte, quel contrôle d’accès vous semble le plus pertinent pour construire une telle architecture ?
[A] 2FA (Two-Factor Authentication)
[B] DAC (Discretionary Access Control)
[C] RBAC (Role-Bades Access Control)
[D] ABAC (Attibute-Based Access Control)
Proposition [A] 2FA (Two-Factor Authentication) : Le 2FA est un mécanisme d’authentification plutôt qu’un contrôle d’accès. Bien qu’une authentification multifactorielle soit importante pour renforcer la sécurité, elle ne gère pas l’autorisation d’accès aux ressources. Le 2FA ou plus généralement le MFA est donc une composante essentielle dans une architecture Zero Trust pour l’authentification, mais cela ne constitue pas en soi un mécanisme de contrôle d’accès complet.
Proposition [B] DAC (Discretionary Access Control) : Un contrôle d’accès de type DAC repose sur l’arbitrage des propriétaires des ressources pour déterminer qui peut accéder à quoi. Ce modèle est flexible mais peut devenir chaotique et moins sécurisé dans de grands environnements, car il dépend largement des utilisateurs individuels pour gérer les permissions. Dans une architecture Zero Trust, où un contrôle strict et centralisé est nécessaire, le DAC sera bien souvent trop permissif et difficile à gérer.
Proposition [C] RBAC (Role-Based Access Control) : Dans un contrôle d’accès de type RBAC on attribue les permissions d’accès aux ressources selon sur les rôles qu’occupent les utilisateurs au sein de l’organisation. C’est un modèle efficace pour gérer l’accès de manière organisée et systématique. Le RBAC peut cependant manquer de flexibilité et de granularité dans des environnements dynamiques où les décisions d’accès doivent prendre en compte des attributs contextuels spécifiques (comme l’heure de la journée, la localisation, le type d’appareil, etc.). Le RBAC n’est pas le contrôle d’accès le plus adéquat pour déployer une architecture Zero Trust dans le Cloud.
Proposition [D] ABAC (Attribute-Based Access Control) : ABAC est considéré comme le plus pertinent pour une architecture Zero Trust car il permet des décisions d’accès basées sur une combinaison d’attributs d’utilisateurs et de ressources, d’environnement contextuel et de politiques spécifiques. Il permet une très grande granularité et flexibilité pour la gestion des accès. Par exemple, l’accès à une ressource peut dépendre de l’identité de l’utilisateur, de son rôle, du type d’authentification (MFA ou non), de son emplacement géographique, de l’heure de la journée, du type d’appareil utilisé et d’autres facteurs contextuels. Cette approche permet de mettre en œuvre le principe du moindre privilège de manière très fine et contextuelle. Pour une architecture Zero Trust, qui nécessite un contrôle d’accès rigoureux, dynamique et contextuel, l’ABAC est donc le modèle le plus pertinent. Il permet de prendre des décisions d’accès basées sur une large gamme d’attributs et de conditions, garantissant ainsi un niveau de sécurité élevé et adapté aux exigences d’une architecture Zero Trust.
La bonne réponse est la proposition [D]
Pour en savoir plus sur le contrôle d’accès et le concept de Zero Trust nous vous recommandons de suivre le module n°10 de notre formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE