Contrôle RBAC vs ABAC : définitions et modalités d’utilisation

Updated: 07/10/2024 - 6:23

Time to read: 6 minutes

La gestion des identités protège vos ressources numériques sensibles. Mais quelle forme cette protection doit-elle prendre ?

Connaître la différence entre le contrôle d’accès basé sur les rôles (RBAC, Role-Based Access Control) et celui basé sur les attributs (ABAC, Attribute-Based Access Control) peut vous aider à prendre la bonne décision à cet égard.

La principale différence entre les types de contrôle RBAC et ABAC réside dans la méthode d’octroi de l’accès. Le contrôle RBAC vous permet d’octroyer un accès par rôle. Le contrôle ABAC détermine l’accès en fonction de caractéristiques propres à l’utilisateur, de caractéristiques d’objet, de types d’action, etc.

Voyons cela plus en détail.

Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?

Une personne se connecte à votre système informatique. Qu’est-elle autorisée à faire ? Dans le cas du contrôle RBAC, les actions autorisées varient en fonction du rôle de cette personne.

Dans un tel contexte, un rôle fait référence à un groupe de personnes partageant certaines caractéristiques, par exemple :

Département de l’entreprise
sites
Niveau de responsabilité
Tâches professionnelles

Une fois le rôle défini,vous pouvez attribuer les autorisations correspondantes. Par exemple :

Accès. Que peut voir la personne ?
Opérations. Que peut-elle lire ? Que peut-elle écrire ? Peut-elle créer ou supprimer des fichiers ?
Sessions. Combien de temps la personne peut-elle rester connectée au système ? Quand peut-elle se connecter ? Quand la connexion expire-t-elle ?

Ce mode de fonctionnement est identique pour tous les systèmes de contrôle d’accès basé sur les rôles. Le National Institute of Standards and Technology (NIST) définit quatre sous-catégories de contrôle RBAC, utiles si la configuration des accès nécessite un peu plus de flexibilité.

Modèle plat : tous les collaborateurs possèdent au moins un rôle qui détermine les autorisations octroyées, mais certains en ont plusieurs.
Modèle hiérarchique : les niveaux de responsabilité définissent les relations entre les rôles. Les cadres dirigeants possèdent leurs propres autorisations, mais ils jouissent aussi de celles octroyées à leurs subordonnés.
Modèle restreint : ce modèle inclut la séparation des tâches, et plusieurs personnes collaborent à une même tâche. Il permet de renforcer la sécurité et de prévenir les activités frauduleuses.
Modèle symétrique : les autorisations d’un rôle sont régulièrement réévaluées, à la suite de quoi elles peuvent être modifiées.

Ces rôles se complètent mutuellement et peuvent être organisés par niveau de sécurité.

Niveau 1, plat : la forme la moins complexe du contrôle RBAC. Les collaborateurs utilisent les rôles pour obtenir des autorisations.
Niveau 2, hiérarchique : ce modèle repose sur les règles du modèle RBAC plat et ajoute l’aspect de la hiérarchie des rôles.
Niveau 3, restreint : ce modèle repose sur les règles du modèle RBAC hiérarchique et ajoute l’aspect de la séparation des tâches.
Niveau 4, symétrique : ce modèle repose sur les règles du modèle RBAC restreint et ajoute l’aspect de la réévaluation des autorisations.

Qu’est-ce que le contrôle d’accès basé sur les attributs (ABAC) ?

Une personne se connecte à votre système informatique. Qu’est-elle autorisée à faire ? Ce sont les attributs des utilisateurs, les attributs des ressources ou encore l’environnement qui déterminent la réponse à cette question.

En tant qu’administrateur d’un système de contrôle ABAC, vous pouvez définir des autorisations par :

Utilisateur. La fonction d’une personne, ses tâches habituelles ou le niveau de responsabilité peuvent déterminer les actions autorisées ou non.
Attributs de ressources. Le type de fichier, son auteur ou le niveau de confidentialité d’un document peut déterminer l’accès.
Environnement. L’emplacement de la personne accédant au fichier, l’heure du jour ou la date sont autant d’attributs pris en compte pour l’accès.

Avec un tel système, les administrateurs bénéficient d’un contrôle plus nuancé. Vous pouvez définir des autorisations basées sur un large éventail d’attributs qui participent tous à la protection des documents. En théorie, vous pourriez même attribuer à la même personne différentes autorisations selon l’origine de sa connexion, ou les actions qu’elle tente d’effectuer différents jours de la semaine.

Dans un système ABAC, les éléments fonctionnent de façon coordonnée.

Sujets. Qui tente d’effectuer certaines actions?
Objets. À quel fichier du réseau l’utilisateur tente-t-il d’accéder ?
Opération. Quelles actions l’utilisateur tente-t-il d’effectuer sur ce fichier ?

Les relations sont définies par des instructions conditionnelles. Par exemple :

Si l’utilisateur travaille à la comptabilité, alors il peut accéder aux fichiers comptables.
S’il s’agit d’un responsable, alors il peut accéder aux fichiers en lecture et en écriture.
Si la politique de l’entreprise indique qu’aucun travail ne peut être effectué le samedi et que le jour de la tentative de connexion est un samedi, alors personne ne peut accéder aux fichiers ce jour-là.

RBAC vs ABAC : avantages et inconvénients

Tous deux concernent le contrôle et l’accès. Si les deux approches sont destinées à protéger vos systèmes, chacune possède ses propres avantages et inconvénients.

Avantages du contrôle ABAC	Inconvénients du contrôle ABAC
Contrôle bien défini Les administrateurs peuvent définir, optimiser et gérer de nombreuses variables, et bénéficier ainsi d’un niveau de contrôle très précis. Vous pouvez créer des règles très spécifiques et granulaires pour protéger vos ressources.	Contraintes de temps Définir les variables et configurer les règles représente une charge de travail très importante, surtout au moment du lancement du projet.
	Expertise Comme les analystes l’ont constaté, la configuration de règles ABAC appropriées permet une implémentation précise. Mais si vous ne configurez pas correctement le système au départ, la correction des erreurs peut prendre un temps considérable.

Avantages du contrôle RBAC	Inconvénients du contrôle RBAC
Simplicité Les règles d’un système RBAC sont simples et faciles à exécuter. La configuration est rapide et nécessite une puissance de calcul moindre.	Explosion des rôles Pour améliorer la granularité du contrôle, certains administrateurs ajoutent des rôles supplémentaires. Cela peut conduire à ce que les analystes appellent une « explosion des rôles », avec des centaines ou des milliers de règles à gérer.

5 scénarios de gestion des identités à étudier

Ces exemples vous aident à mieux comprendre quand choisir un système RBAC ou préférer un système ABAC. Nous avons également inclus un exemple où les deux approches sont utilisées conjointement, ce qui peut être utile dans certains cas.

Les entreprises doivent réfléchir au choix entre RBAC ou ABAC lorsque leur environnement comporte les éléments suivants :

1. Des petits groupes de travail. Le contrôle RBAC est l’option à privilégier. La définition des tâches par rôle est simple lorsqu’il s’agit d’une entreprise de petite taille et que le nombre de fichiers est réduit.

Si vous travaillez pour une entreprise de construction qui compte 15 collaborateurs, un système RBAC est normalement efficace et facile à configurer.

2. Des groupes de travail géographiquement dispersés. Le contrôle ABAC est un bon choix. Vous pouvez définir l’accès par type de collaborateurs, emplacement et heures ouvrables. Vous pouvez autoriser l’accès uniquement pendant les heures ouvrables du fuseau horaire spécifique d’une filiale.

3. Des groupes de travail assortis de contraintes de temps. Il est préférable d’utiliser un système de contrôle ABAC. Certains systèmes ou documents sensibles ne doivent pas être accessibles en dehors des heures ouvrables. Le contrôle ABAC permet de définir des règles basées sur le temps.

4. Des groupes de travail avec une structure simple. Le contrôle RBAC est plus intéressant ici. Vous possédez une entreprise de grande taille, mais l’accès est défini par la fonction des collaborateurs.

Par exemple, un cabinet médical peut donner aux réceptionnistes un accès en lecture/écriture sur les calendriers, mais cette catégorie de collaborateurs ne doit pas voir les résultats des tests médicaux, ni les données de facturation. Dans un tel cas, le RBAC est tout indiqué.

5. Entreprises créatives. Le contrôle ABAC est idéal dans ce cas, car ce type d’entreprise utilise souvent les fichiers de façon unique. Parfois, tous les collaborateurs doivent pouvoir accéder à certains documents alors que, dans d’autres cas, cet accès est réservé à quelques personnes seulement. L’accès doit changer en fonction du document et non des rôles.

Par exemple, l’équipe créative de votre entreprise, y compris les artistes et les rédacteurs, crée des fichiers qui sont distribués par d’autres collaborateurs. Mais ces collaborateurs, dont le personnel du service de facturation et les responsables de comptes, peuvent avoir besoin de consulter ces fichiers. De même, il est possible que l’équipe de marketing doive les partager.

Compte tenu de la diversité des utilisateurs autorisés à consulter ces documents et de la complexité de leur gestion, une solution ABAC est préférable.

Il arrive souvent qu’aucune des deux approches ne convienne à tous les cas d’usage dont vous avez besoin. C’est pourquoi la plupart des entreprises implémentent un système hybride, où l’accès général est géré par un système RBAC, et les contrôles plus granulaires au sein de cette structure sont régis par une solution ABAC.

Ainsi, vous pouvez utiliser le contrôle RBAC pour masquer des serveurs sensibles aux nouveaux collaborateurs. Ensuite, vous pouvez utiliser un système ABAC pour contrôler les possibilités de modification de ces documents une fois qu’ils y ont accès.

Selon les analystes, la combinaison des deux approches permet aux administrateurs d’avoir le meilleur des deux mondes. Le contrôle RBAC offre une protection « hermétique » aux fichiers sensibles, tandis que le système ABAC permet des comportements plus dynamiques. En les associant, vous bénéficiez des avantages des deux approches.

Faites le bon choix

Vous ne savez pas quel modèle de gestion des identités convient le mieux à votre entreprise ? Aucun problème.

Okta utilise des autorisations granulaires et des facteurs d’accès utilisateur qui vous permettent de mettre en place un parcours sécurisé pour l’accès et l’autorisation. Découvrez ce qu’Okta peut apporter à votre entreprise.

Références

The NIST Model for Role-Based Access Control: Towards a Unified Standard. Juillet 2007. National Institute of Standards and Technology.

Policy Engineering in RBAC and ABAC. Novembre 2018. From Database to Cyber Security.

Adding Attributes to Role-Based Access Control. Juin 2010. IEEE Computing.

Role-Based ABAC Model for Implementing Least Privileges. Février 2019. ICSCA ’19 : Proceedings of the 2019 8th International Conference on Software and Computer Applications.