Qu’est ce que IAM / AAA ?

Temps de lecture : 5 min

Sommaire

Dans cette leçon nous allons aborder plusieurs aspects fondamentaux en cyber sécurité, regroupés sous plusieurs appellations, ou framework.

Il s’agit des principes d’IAM (Identity and Access Management) ou autrement appelés AAA (Authentication, Authorization and Accounting).

schéma iam
Ces principes nous permettent d’implémenter une politique de gestion des accès aux ressources ou aux données.

Authentification

L’authentification (authentication en Anglais, souvent abrégé “AuthN”), est le processus de vérifier qu’une identité est bien celle qu’elle prétend être.

💡 Prenons l’exemple d’un site web avec un formulaire ayant deux champs, “adresse e-mail” et “mot de passe”. Lorsque l’utilisateur saisit son adresse e-mail, il s’identifie. Lorsque l’utilisateur saisit son mot de passe et que le site web vérifie que le mot de passe saisi correspond à l’adresse e-mail saisie, l’utilisateur est authentifié.

Les différents facteurs d’authentification

Différents facteurs d’authentification (authentification factors) existent pour prouver une identité :

  • Le facteur de connaissance (mot de passe, phrase de passe, code pin)
  • Le facteur de possession (appareil avec application dédiée, token physique)
  • Le facteur biométrique (empreinte digitale, empreinte de rétine, reconnaissance du visage)

 

À ces principaux facteurs, on pourrait aujourd’hui ajouter un quatrième facteur :

  • Le facteur géographique (localisation GPS, localisation de l’adresse IP)

L’authentification forte

L’authentification forte, également appelée authentification à facteurs multiples (multi-factor authentication, MFA), est une bonne pratique de sécurité pour augmenter la résistance de l’authentification aux attaques courantes (leaked credentials, password-spraying, brute-force, etc.).

Pour qu’une authentification soit considérée comme forte, elle doit reposer sur au moins deux facteurs différents.

Plus le nombre de facteurs différents est élevé, plus l’authentification est forte.

💡 Par exemple, si je saisis un mot de passe et un code pin, l’authentification ne sera pas considérée forte malgré le fait d’avoir fourni deux facteurs. En revanche si je saisis un mot de passe et que je valide la demande sur l’application Authenticator de mon téléphone, j’ai bien réalisé une authentification forte.

Autorisation

L’autorisation (authorization en Anglais, souvent abrégé “AuthZ”), est le processus de vérifier tout ce qu’une identité peut effectuer.

💡 Par exemple, lorsqu’un étudiant se connecte au site web de son école, il peut consulter ses relevés de notes, mais il n’est pas autorisé à modifier les notes.

Les différents types d’autorisation

Plusieurs modèles d’autorisation existent et peuvent cohabiter ou se superposer au sein d’un même périmètre :

  • Role-based Access Control (RBAC) : les autorisations sont basées sur un rôle fonctionnel de l’identité.
    Exemple : Rôle d’administrateur de la base de données.
  • Rule-based Access Control (RuBAC) : les autorisations sont basées sur des règles prédéfinies.
    Exemple : L’utilisateur Matthieu a accès au serveur entre 8 heures et 20 heures.
  • Discretionary Access Control (DAC) : les autorisations sont basées sur des droits définis par le propriétaire de l’objet.
    Exemple : Matthieu est propriétaire du fichier “liste_primes.pdf” et donne l’accès en lecture à Thomas et en écriture à Max.
  • Mandatory Access Control (MAC) : les autorisations sont basées sur des règles définies par l’administrateur, par défaut on rejette toutes les demandes d’autorisation.
    Exemple : L’équipe RH doit être la seule habilitée à visualiser les montants des salaires de tous les employés. L’administrateur a explicitement donné un droit nominatif à chaque membre de l’équipe RH.
  • Attribute-based Access Control (ABAC) : les autorisations sont basées sur plusieurs attributs de l’identité.
    Exemple : L’accès sur l’intranet à la page du site de Tours est uniquement possible aux utilisateurs ayant comme localisation “Tours” dans l’annuaire de l’entreprise.

 

Au quotidien, chacun de ces modèles d’autorisation ont leurs avantages et leurs inconvénients. C’est pourquoi il convient de choisir avec précaution quel modèle utiliser et combiner différents modèles.

schéma aaa

💡 Exemple : sur un partage de fichier, l’accès peut être globalement donné à tous les salariés de l’entreprise. En revanche le dossier “RH” est accessible à tous les utilisateurs ayant le rôle “Responsable RH” (RBAC). Le sous-dossier “Paris” est accessible uniquement aux personnes ayant le rôle “Responsable RH” et l’attribut “Localisation = Paris” (ABAC). Enfin, dans ce sous dossier, un document “bonus.pdf” est consultable uniquement par David et Marc (MAC).

Principe du moindre privilège

Le “besoin d’en connaître” est une expression qui vient à l’origine du monde militaire et des renseignements. Cela signifie la nécessité absolue pour une personne d’avoir accès à une information donnée.

Le “principe du moindre privilège” est une bonne pratique essentielle en cyber sécurité. Elle consiste à accorder à chaque utilisateur uniquement les droits d’accès minimum nécessaires à la réalisation de son travail.

Ces deux notions se retrouvent donc pleinement intégrées dans la gestion des autorisations. Qu’il s’agisse de l’accès à la donnée, ou bien de l’accès à des droits ou des privilèges, nous devons toujours nous assurer que ceux-ci sont uniquement ceux nécessaires et suffisants pour accomplir la tâche.

Traçabilité

Le sujet de la traçabilité a déjà été évoqué dans la leçon sur la triade DIC et T (Disponibilité, Intégrité, Confidentialité et Traçabilité).

Les bonnes pratiques concernant la journalisation des évènements sont principalement les suivantes :

  • l’horodatage des évènements doit s’effectuer de manière précise et fiable.
  • le contenu du journal doit être qualitatif (simple, compréhensible mais sans omettre d’information).
  • le système de gestion des évènements doit être robuste, suffisamment dimensionné et sauvegardé selon les objectifs de rétention.

 

Pour aller plus loin sur le sujet, vous pouvez consulter le guide référence de l’ANSSI, Recommandations de sécurité pour l’architecture d’un système de journalisation.

logo cyber training

Commencez votre formation en cybersécurité !

Lancez votre carrière en cybersécurité et formez-vous au métier qui vous correspond. Notre plateforme en ligne vous permet de vous entraîner à votre rythme pour une montée en compétences rapide et efficace.

100% en ligne

Théorie & Pratique

Personnalisé par niveau

Commencez votre formation en cybersécurité

Formation

Carrière

Cybersécurité

100% en ligne

Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité

Mail

information@seela.io