Temps de lecture : 5 min
Dans cette leçon nous allons aborder plusieurs aspects fondamentaux en cyber sécurité, regroupés sous plusieurs appellations, ou framework.
Il s’agit des principes d’IAM (Identity and Access Management) ou autrement appelés AAA (Authentication, Authorization and Accounting).
💡 Prenons l’exemple d’un site web avec un formulaire ayant deux champs, “adresse e-mail” et “mot de passe”. Lorsque l’utilisateur saisit son adresse e-mail, il s’identifie. Lorsque l’utilisateur saisit son mot de passe et que le site web vérifie que le mot de passe saisi correspond à l’adresse e-mail saisie, l’utilisateur est authentifié.
Différents facteurs d’authentification (authentification factors) existent pour prouver une identité :
À ces principaux facteurs, on pourrait aujourd’hui ajouter un quatrième facteur :
L’authentification forte, également appelée authentification à facteurs multiples (multi-factor authentication, MFA), est une bonne pratique de sécurité pour augmenter la résistance de l’authentification aux attaques courantes (leaked credentials, password-spraying, brute-force, etc.).
Pour qu’une authentification soit considérée comme forte, elle doit reposer sur au moins deux facteurs différents.
Plus le nombre de facteurs différents est élevé, plus l’authentification est forte.
💡 Par exemple, si je saisis un mot de passe et un code pin, l’authentification ne sera pas considérée forte malgré le fait d’avoir fourni deux facteurs. En revanche si je saisis un mot de passe et que je valide la demande sur l’application Authenticator de mon téléphone, j’ai bien réalisé une authentification forte.
💡 Par exemple, lorsqu’un étudiant se connecte au site web de son école, il peut consulter ses relevés de notes, mais il n’est pas autorisé à modifier les notes.
Plusieurs modèles d’autorisation existent et peuvent cohabiter ou se superposer au sein d’un même périmètre :
Au quotidien, chacun de ces modèles d’autorisation ont leurs avantages et leurs inconvénients. C’est pourquoi il convient de choisir avec précaution quel modèle utiliser et combiner différents modèles.
💡 Exemple : sur un partage de fichier, l’accès peut être globalement donné à tous les salariés de l’entreprise. En revanche le dossier “RH” est accessible à tous les utilisateurs ayant le rôle “Responsable RH” (RBAC). Le sous-dossier “Paris” est accessible uniquement aux personnes ayant le rôle “Responsable RH” et l’attribut “Localisation = Paris” (ABAC). Enfin, dans ce sous dossier, un document “bonus.pdf” est consultable uniquement par David et Marc (MAC).
Le “besoin d’en connaître” est une expression qui vient à l’origine du monde militaire et des renseignements. Cela signifie la nécessité absolue pour une personne d’avoir accès à une information donnée.
Le “principe du moindre privilège” est une bonne pratique essentielle en cyber sécurité. Elle consiste à accorder à chaque utilisateur uniquement les droits d’accès minimum nécessaires à la réalisation de son travail.
Ces deux notions se retrouvent donc pleinement intégrées dans la gestion des autorisations. Qu’il s’agisse de l’accès à la donnée, ou bien de l’accès à des droits ou des privilèges, nous devons toujours nous assurer que ceux-ci sont uniquement ceux nécessaires et suffisants pour accomplir la tâche.
Le sujet de la traçabilité a déjà été évoqué dans la leçon sur la triade DIC et T (Disponibilité, Intégrité, Confidentialité et Traçabilité).
Les bonnes pratiques concernant la journalisation des évènements sont principalement les suivantes :
Pour aller plus loin sur le sujet, vous pouvez consulter le guide référence de l’ANSSI, Recommandations de sécurité pour l’architecture d’un système de journalisation.
Commencez votre formation en cybersécurité !
100% en ligne
Théorie & Pratique
Personnalisé par niveau
Commencez votre formation en cybersécurité
Formation
Carrière
Cybersécurité
100% en ligne
Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité
La certification qualité a été délivrée au titre de la catégorie
« ACTIONS FORMATION »
© Seela – 24/11/2022
Organisme de formation
N°11755030075
Cet enregistrement ne vaut pas agrément de l’Etat.
Le certificat Qualiopi est disponible sur ce lien
A propos
Ressources