Le terme contrôle d'accès basé sur les rôles, Role-Based Access Control (RBAC) fait référence à une stratégie d'autorisation qui organise les privilèges en fonction d'un rôle (d'où le préfixe « basé sur les rôles »). La stratégie d'autorisation RBAC est couramment utilisée par les moyennes et grandes entreprises qui ont besoin de catégoriser leur personnel selon les rôles attribués. Les rôles sont ensuite associés à des droits d'accès et à des autorisations d'utilisation des ressources. L'attribution d'un rôle à des utilisateurs individuels permet de s'assurer qu'ils ne disposent que des autorisations nécessaires à l'exécution de leur travail. Il s'agit d'une part importante de la stratégie globale de la cybersécurité.

Ces rôles peuvent refléter la structure organisationnelle et souvent aussi des services différents. En d'autres termes, un employé d'un département donné peut se voir attribuer des droits d'accès au système en fonction des exigences de son rôle, ce qui lui permet d'accéder aux informations pertinentes pour exécuter ses tâches professionnelles. Par exemple:

• Un employé du service des ressources humaines peut avoir des droits d'accès aux informations relatives à la paie, qui sont considérées comme des données sensibles. L'entreprise limitera probablement cet accès aux personnes de ce service uniquement, et empêchera les autres employés d'accéder à ces données.

• Cependant, un responsable du département des ventes peut avoir des droits d'accès aux rapports de vente qui ne sont pas accessibles au personnel des RH.

• Néanmoins, le RBAC n'est pas spécifiquement lié au service. Les rôles et les permissions associées à ces rôles sont donc prioritaires. Par exemple, le rôle de mandataire pourrait se voir attribuer des privilèges associés à la représentation d'une entreprise sur le plan juridique. Les utilisateurs du service juridique auront tous le rôle de mandataire ; cependant, d'autres personnes (par exemple, le PDG et le conseil d'administration) pourraient également avoir ce rôle.

Le contrôle d'accès basé sur les rôles fait partie d'une stratégie plus large de gestion des identités et des accès (IAM). Nous abordons ci-dessous la gestion des accès basée sur les rôles (RBAC) et comment elle peut servir à appliquer des niveaux de contrôle des autorisations sur les ressources et les informations sensibles de l'entreprise.

Nous décrivons ici la procédure d'utilisation du RBAC pour contrôler les privilèges dans un système qui prend en charge la gestion des frais. Ce système fictif permet au personnel d'effectuer les actions suivantes :

• Lire les frais
• Créer les frais
• Approuver les frais
• Payer les frais

Ces actions représentent les autorisations disponibles pour les utilisateurs du système.

Nous pouvons regrouper ces autorisations dans les rôles suivants :

• Soumissionnaire de frais (il peut lire et créer des frais)

• Approbateur de frais, et (il peut lire et approuver des frais)

• Payeur de frais (il peut lire et payer des frais)

Un système RBAC nous permet de créer ces rôles qui ont des autorisations d'accès associées aux ressources de l'entreprise. Une fois configurés, les responsables du système peuvent affecter des utilisateurs à ces rôles grâce à cet ensemble d'autorisations associées.

L'avantage le plus notable de la stratégie RBAC est la possibilité de regrouper différentes permissions afin de pouvoir les attribuer et les révoquer collectivement. De plus, en modifiant l'ensemble des autorisations d'un rôle, il est possible de modifier les autorisations d'un groupe d'utilisateurs en une seule étape. Cette opération réduit l'effort lié à la gestion des autorisations dans votre système.

Par exemple, imaginez que votre entreprise décide de ne plus accepter de nouveaux frais (peut-être que le personnel qui les soumettait dispose désormais de cartes d'entreprise). Dans cette situation, pour empêcher les utilisateurs d'envoyer de nouvelles notes de frais, un gestionnaire de système supprime simplement l'autorisation « Créer une note de frais » du « Soumissionnaire de notes de frais ». Les utilisateurs de l'application pourraient toujours vérifier les frais qu'ils ont soumis précédemment, mais ne pourraient pas en créer de nouvelles.

Un autre avantage de l'utilisation du contrôle d'accès basé sur les rôles est que l'audit des privilèges des utilisateurs devient plus facile à gérer. Si vous constatez des problèmes au niveau des autorisations attribuées aux utilisateurs, leur correction ne nécessite qu'une seule modification de rôle. En revanche, si vous contrôliez les autorisations par utilisateur, vous devriez auditer des centaines, voire des milliers d'utilisateurs. Bien entendu, c'est le résultat d'une définition de rôle bien conçue.

Auth0, une plateforme d'identité choisie par des clients de tous les secteurs du marché, intègre le RBAC dans son noyau. Auth0 permet de simplifier la mise en œuvre de RBAC pour gérer les autorisations basées sur les rôles.

Par exemple, pour sécuriser l'API de votre application avec RBAC et Auth0, de sorte que les utilisateurs ayant un rôle donné puissent accéder à l'API, mais que les autres ne le puissent pas, vous devrez suivre une recette simple en seulement quatre étapes :

1. Vous devez d'abord enregistrer l'API dans votre tableau de bord Auth0.

2. Après l'avoir enregistrée, vous devrez définir les autorisations que cette API utilisera.

3. Une fois les autorisations mappées, votre prochaine tâche consistera à créer les rôles qui organiseront ces autorisations.

4. Enfin, vous devrez affecter des utilisateurs à ces rôles.

Les informaticiens ont développé de nombreuses stratégies d'autorisation pour sécuriser leurs systèmes de contrôle d'accès. RBAC n'est qu'une de ces stratégies. Une des alternatives est le contrôle d'accès basé sur les attributs (ABAC). Cette stratégie utilise un attribut de l'utilisateur (par exemple, la qualification) plutôt qu'un rôle d'utilisateur pour accorder des autorisations d'accès aux ressources. Exemple de cas d'utilisation : un entrepreneur doit prouver qu'il possède un permis spécifique pour effectuer un travail dans une entreprise. Ce permis serait l'attribut permettant d'accorder les autorisations d'accès aux utilisateurs.

Si vous souhaitez en savoir plus sur l'authentification ou l'autorisation, consultez les articles suivants:

• Qu'est-ce que l'authentification ?
• Qu'est-ce que l'autorisation ?

Poursuivez la lecture de notre page Introduction à l'IAM pour explorer d'autres sujets relatifs à la gestion des identités et des accès.