Contrôle d'accès à base de rôles
Le contrôle d'accès basé sur les rôles (« Role-Based Access Control » (RBAC) en anglais) est un modèle de contrôle d'accès à un système d'information dans lequel chaque décision d'accès est basée sur le rôle auquel l'utilisateur est associé. Un rôle découle généralement de la structure d'une entreprise. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle. Un rôle, déterminé par une autorité centrale, associe à un sujet des autorisations d'accès sur un ensemble d'objets.
La modification des contrôles d'accès n'est pas nécessaire chaque fois qu'une personne se joint à une organisation ou la quitte. Par cette caractéristique, RBAC est considéré comme un système « idéal » pour les entreprises dont la fréquence de changement du personnel est élevée.
Ce modèle est également appelé contrôle d'accès non discrétionnaire (« nondiscretionary access control » en anglais) et constitue une nouvelle possibilité de choix entre les systèmes à contrôle d'accès obligatoire (MAC) et contrôle d'accès discrétionnaire (DAC).
Vérification des droits et privilèges
Le contrôle d’accès basé sur les rôles peut être géré au sein d’un système UNIX afin que les utilisateurs puissent obtenir les droits nécessaires pour créer, modifier ou supprimer des fichiers au sein d’un système.
Par exemple le groupe root, qui est un super-utilisateur, va pouvoir modifier une grande partie voire l’ensemble des fichiers. Un utilisateur dit lambda pourra visualiser au sein du fichier /etc/group le groupe auquel il appartient afin de connaître ses droits. Pour connaître ses droits il devra se documenter au sein de son organisation afin de connaitre les commandes disponibles par son groupe.
L’utilisateur peut également visualiser au sein des fichiers les droits en utilisant la commande ls -l dans le répertoire courant.
Par exemple :
drwxr-x--x 6 user equipe 4096 2020-12-04 10:09 Bureau
Où :
- d indique que c’est un répertoire
- rwx pour les 3 premiers caractères qui donnent les droits du propriétaire « user »
- r indique read = lecture
- w indique write = écriture
- x indique execute = peut exécuter
- r-x pour les 3 suivants qui donnent les droits du groupe « equipe »
- r indique read = lecture
- x indique execute = peut exécuter
- --x pour les 3 derniers qui donnent les droits du reste du monde
- x indique execute = peut exécuter
Les avantages du contrôle basé sur les rôles
Dans un premier temps il permet la réduction du temps et des efforts nécessaires pour allouer des ressources. Cela facilite beaucoup l’automatisation et l’allocation de ressources car la personne visée se verra automatiquement affecter les droits et accès dont elle aura besoin. En effet, le système est intelligent et il lui donnera automatiquement le rôle approprié pour finalement lui accorder le droit d’accès à son travail.
De plus, cela est très utile pour l’intégration d’un nouvel employé au sein d’une entreprise, car celui-ci va directement pouvoir obtenir les droits liés à son travail et son rôle au sein de l’équipe. Ses droits vont alors être liés à son travail tout le long de son expérience professionnelle et l’accompagneront jusqu’à sa démission potentielle correspondant à la fin de tous droits possibles. L’autre avantage du contrôle basé sur les rôles est du côté de l’organisation. Elle peut visualiser, auditer et suivre les rôles et l’application de bonnes pratiques mises en place par l’administrateur système. L’audit se fera au niveau du rôle au lieu de s’intéresser au cas par cas. Lorsque l’on porte ce type de problématique à grande échelle le contrôle basé sur les rôles ne peut être qu’un grand avantage pour l’entreprise.
Liens externes
- (fr) Présentation du contrôle d'accès basé sur un rôle pour Microsoft Exchange Server par Microsoft
- (en) NIST (National Institute of Standards and Technology) : site officiel du NIST sur les systèmes RBAC (articles, etc.).
Portail de la sécurité informatique