Contrôle d’accès basé sur les rôles (RBAC) et Contrôle d’accès basé sur les attributs (ABAC) : Quelle est la différence ?

10 févr. 2022

-minutes de lecture

Introduction

Contrôler les accès aux données et aux réseaux est une vraie priorité pour n’importe quelle organisation. Les entreprises ont recours au contrôle des accès, également appelé autorisation, pour donner accès aux ressources en utilisant des permissions prédéterminées ou personnalisées sur la base du rôle de l’utilisateur, des attributs de l’identité ou de facteurs de risque.

Il est également fondamental de protéger l’accès aux données des clients, sur la base de trois facteurs principaux : les réglementations sur la confidentialité des données, les besoins de sécurité de l’entreprise et les attentes en matière d’expérience client. Garantir à la fois une bonne expérience client, la sécurité des données et la conformité aux réglementations peut être difficile compte tenu du nombre d’applications et d’API impliquées, ainsi que du nombre d’individus et de processus requis pour procéder aux changements et aux mises à jour nécessaires.

Examinons deux options de contrôle d’accès :

Le contrôle d’accès basé sur les rôles (RBAC) donne accès à des ressources ou à des informations en fonction des rôles des utilisateurs. Ce rôle peut être défini par l’intitulé du poste, le département, le lieu ou une responsabilité particulière.

Le contrôle des accès basé sur les attributs (ABAC) constitue une approche plus flexible des décisions d’autorisation, en utilisant des informations supplémentaires (attributs) pour éclairer les décisions stratégiques. S’affranchir des rôles permet de gagner en précision grâce aux attributs, notamment contextuels, en ce qui concerne l’autorisation d’accès à un individu.

En poursuivant votre lecture vous en saurez plus sur le RBAC et l’ABAC, notamment leurs différences, leurs avantages et leurs inconvénients.

Le contrôle des accès, c’est quoi ?

Une fois qu’un utilisateur a été authentifié, l’autorisation est utilisée pour contrôler à quelles données, applis et ressources un utilisateur vérifié peut accéder. Cela permet d’empêcher les utilisateurs non autorisés d’accéder à des informations sensibles, y compris à des applis sur site et basées sur le cloud.

Les entreprises qui suivent le principe du moindre privilège (PoLP) s’assurent que l’accès soit limité uniquement aux ressources dont l’utilisateur a vraiment besoin. Par exemple, il n’est pas souhaitable qu’un stagiaire ait le même accès et les mêmes privilèges qu’un administrateur du système. D’autres exemples incluent :

Les équipes des ressources humaines peuvent accéder à des applis qui stockent des informations sensibles sur les employés, mais les services financiers et en charge du marketing ne le peuvent pas.

Deux clients peuvent être connectés au même site de vente en ligne, mais un seul, qui est membre du programme de fidélité VIP, pourra accéder aux ressources du programme fidélité VIP.

Des solutions de contrôle des accès peuvent également être utilisées pour approuver ou refuser un accès à un stock de données en s’appuyant sur des directives relatives au consentement du consommateur, qui aident à respecter les réglementations sur la confidentialité des données comme le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA).

Le contrôle des accès basé sur les rôles (RBAC), c’est quoi ?

Le contrôle des accès basé sur les rôles (RBAC) accorde des permissions en fonction du rôle des utilisateurs. Les rôles peuvent être définis en s’appuyant sur des critères tels que le niveau d’autorité, la responsabilité, le titre du poste ou le statut (employé ou contractuel) ainsi que sur les besoins en fonction des tâches (droits pour consulter ou pour modifier). Par exemple, lorsqu’un nouveau vendeur est recruté, il peut rapidement obtenir un accès aux mêmes ressources prédéfinies que d’autres membres du service commercial car ils partagent le même rôle.

Avantages du contrôle des accès basé sur les rôles (RBAC)

Une approche optimisée. Les rôles prédéfinis constituent une option prête à l’emploi, qui limite la quantité de travail qu’il faut au service informatique pour intégrer de nouveaux employés. L’approche du RBAC limite aussi les risques d’erreur de saisie des données lorsqu’un grand nombre d’employés sont recrutés en même temps.

Il est simple d’octroyer un accès provisoire. Les utilisateurs ayant besoin d’un accès provisoire à des ressources, comme les saisonniers, peuvent obtenir un accès limité aux ressources dont ils ont besoin pour réaliser leurs tâches.

Modifie rapidement les missions et leur date de fin. Lorsqu’un employé change de travail ou quitte l’entreprise, l’accès de cet utilisateur aux ressources peut soit être modifié pour l’associer à un nouveau rôle soit être révoqué quand l’utilisateur quitte l’entreprise.

Conformité aux réglementations. Les réglementations sur la confidentialité des données exigent que les entreprises limitent les accès à leurs ressources. En automatisant les accès en fonction des rôles, les erreurs qui permettent aux mauvaises personnes d’accéder à des données sensibles, telles que les données sur les consommateurs couvertes par les réglementations, ont moins de risques de se produire.

Le contrôle des accès basé sur les attributs (ABAC), c’est quoi ?

Le contrôle des accès basé sur les attributs (ABAC) renforce la sécurité et améliore la flexibilité en évaluant plus que des rôles pour prendre des décisions d’autorisation. Les attributs peuvent inclure les attributs de l’utilisateur (par ex., une habilitation de sécurité, l’âge), les attributs des ressources (par ex., la date de création, le type de ressource) et le contexte (par ex., l’emplacement de l’accès, le moment de la journée). Par exemple, un vendeur pourrait être bloqué s’il tente de se connecter aux ressources commerciales depuis des emplacements à haut risque, comme un coffee shop ou un aéroport, ou bien il lui sera demandé de passer des étapes de sécurité supplémentaires avant d’obtenir l’accès.

Autorisation dynamique

L’autorisation dynamique améliore l’ABAC en permettant de mettre en place une logique commerciale stricte en temps réel. Cela vous permet de contrôler les accès en demandant que certaines conditions soient réunies. L’autorisation dynamique centralise également les contrôles des accès plutôt que de les incorporer au niveau individuel de l’application, en gouvernant l’accès à des ressources entières ou à des attributs individuels.

Les avantages du Contrôle des accès basé sur les attributs (ABAC) avec l’autorisation dynamique

Renforce la sécurité et accroît la flexibilité. Des attributs clés peuvent être évalués en temps réel au moment d’une transaction pour déterminer la validité de la demande d’accès. Ajouter du contexte améliore la prise de décisions.

Procure de meilleures expériences client. Donne aux clients un contrôle et une visibilité accrue sur leurs données, tout en leur permettant de gérer facilement le consentement pour pouvoir protéger leur données contre des accès depuis des data stores et des API non approuvés.

Conformité aux réglementations. Les réglementations sur la confidentialité des données demandent aux entreprises de limiter l’accès aux données des clients. Les équipes de sécurité peuvent avancer plus rapidement en contrôlant l’accès que toutes les équipes en charge des applis et des canaux numériques ont aux données des clients.

Une meilleure agilité. Les entreprises peuvent évaluer les données, réagir plus rapidement aux fluctuations du marché mais aussi lancer de nouvelles applications et API sans sacrifier la conformité aux régulations ou la sécurité.

Let's talk about securing fine-grained access to sensitive customer data.
Multiple forces are pressuring enterprises to take action, Including consumer privacy and data protection legislation, the risk and impact of exposure or Breaches of consumer data, and meeting user expectations about data rights, Consents, and privacy preferences.
There's a lot of data about your customers, beyond just what's stored in user profiles, Including things like transactions and browsing history.
It's being stored in many places across your enterprise and in the cloud.
And it's accessed more and more by remote employees and outside partners through APIs.
In an ideal world, we trust employees and partners to only request the Customer data they Need and are authorized to access.
Unfortunately, there isn't a single source of truth for what an authorized use of a Customer's data actually is.
There are, however, many stakeholders who would like to have a say in data access policy Decisions.
Without visibility or a Centralized-UI for This today, the burden of gathering and reconciling detailed data security requirements, Coding policies and validating them all with each of these stakeholders is falling to each of your API developers and database admins.
Ping authorized can help.
It provides fine-grained, dynamic, externalized authorization for all of your customer data.
It's a policy engine for administering and enforcing fine-grained access controls on user Data in your data stores and APIs.
It can allow, block, filter, or obfuscate unauthorized data, Preventing it from getting in the wrong hands.
It gives your enterprise a way to enforce consent and data privacy preferences, Including privacy management in delegated access scenarios, All in compliance with regulations.
For Zero Trust architectures, Ping Authorized gives you the flexibility of setting Authorization perimeters around granular customer data attributes.
Ping Authorize connects in real time to any data source to enable attribute-based Access control across your enterprise environment.
Dynamic authorization policies use real-time connections to policy attributes, Which means that when underlying attributes change, the authorization changes automatically.
Ping Authorize externalizes authorization from code to a centralized, collaborative drag-and Drop Interface, where business users build and test policies by layering attributes Visual Policy Decision Tree.
Delegated policy administration speeds things along because developers and database admins now Longer have to manually code data access policies and aren't solely responsible for security.
With today's service-oriented architectures, External clients and modern applications access customer data through APIs.
Deployed here, Ping Authorize acts as an API data security gateway, Deployed as a proxy or sideband to your existing API management gateways.
At this layer, developers don’t have to change how they request data; Since policies are being enforced on the other side of this flow.
The bottom line is that protecting valuable customer data requires fine-grained, Dynamic, externalized authorization capabilities that can be deployed where it counts.
To learn about protecting customer data with Zero Trust security, privacy, and consent enforcement, visit www.pingidentity.com.
Thanks for watching.

Quelles sont les différences entre le Contrôle des accès basé sur les rôles (RBAC) et le Contrôle des accès basé sur les attributs (ABAC) ?

Le contrôle des accès basé sur les rôles (RBAC) avait du sens lorsque les accès étaient limités aux utilisateurs se trouvant dans le périmètre d’un réseau, mais il est trop limité pour de nombreux cas d’usage actuels. Il peut constituer une bonne option pour une logique simple et statique, par exemple pour s’assurer que seuls les employés ayant un seul rôle puissent accéder aux outils dont ils ont besoin pour faire leur travail. Le RBAC n’est pas efficace pour fournir une gouvernance stricte des accès aux données ni l’autorisation nécessaire pour sécuriser les données des clients. Si les rôles et les appartenances peuvent être bien définis, le RBAC s’appuie sur les applications mêmes pour prendre des décisions sur les accès et les permissions des utilisateurs.

Le National Institute of Standards and Technology (NIST) recommande le contrôle des accès basé sur les attributs (ABAC) par rapport au contrôle des accès basé sur les rôles (RBAC) pour les organisations ayant divers cas d’usage commerciaux. L’ABAC procure un contrôle centralisé ainsi que la flexibilité nécessaire pour gérer les permissions pour différents utilisateurs, environnements et conditions.

« De nos jours, la plupart des entreprises utilisent le contrôle des accès basé sur les rôles (RBAC) dans le but d’octroyer l’accès aux réseaux et systèmes en fonction d’un rôle ou d’un intitulé de poste défini. Mais si un employé change de rôle ou quitte l’entreprise, l’administrateur doit modifier manuellement les droits d’accès en conséquence, parfois sur plusieurs systèmes. Alors que les organisations s’agrandissent ou rétrécissent, forment des partenariats avec des entités extérieures et modernisent leurs systèmes, cette méthode de gestion d’accès des utilisateurs devient de moins en moins pratique et efficace ».

– Institut national des normes et de la technologie (NIST) / Centre national d’excellence en cybersécurité (NCCoE)

Pour en savoir plus sur les différences entre le RBAC et l’ABAC, et savoir quelle est la meilleure option pour votre organisation, téléchargez notre livre blanc Le contrôle des accès basé sur les attributs et l’autorisation dynamique.

Partager cet article:

Ressources connexes

Dtection des fraudes ecommerce lavenir dun shopping sr

Détection des fraudes e-commerce : l’avenir d’un shopping sûr

Louise Watson

28 sept. 2023

Le nombre de transactions digitales continuant d’augmenter, la détection des fraudes ciblant le e-commerce est plus importante que jamais. Découvrez comment PingOne Protect peut garder votre site et vos applis en sécurité.

Bonnes pratiques en matière de confidentialité des données et de consentement client

Yev Koup

23 août 2023

La confidentialité et le consentement sont de plus en plus importants pour les clients en ligne. Suivre les bonnes pratiques pour gagner la confiance des clients peut représenter un avantage concurrentiel.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.