Contrôle d’accès : ce qu’il faut savoir

Le contrôle d’accès est une technique de sécurité qui régule qui ou quoi peut visualiser ou utiliser les ressources dans un environnement informatique. Il s’agit d’un concept fondamental en matière de sécurité qui minimise les risques pour l’entreprise ou l’organisation.

Il existe deux types de contrôle d’accès : physique et logique. Le contrôle d’accès physique limite l’accès aux campus, aux bâtiments, aux salles et aux biens matériels informatiques. Le contrôle d’accès logique limite les connexions aux réseaux informatiques, aux fichiers système et aux données.

Pour sécuriser une installation, les entreprises utilisent des systèmes de contrôle d’accès électroniques qui s’appuient sur les justificatifs d’identité des utilisateurs, les lecteurs de cartes d’accès, les audits et les rapports pour suivre l’accès des employés aux emplacements commerciaux restreints et aux zones propriétaires, comme les centres de données. Certains de ces systèmes intègrent des panneaux de contrôle d’accès pour restreindre l’accès aux pièces et aux bâtiments, ainsi que des alarmes et des fonctions de verrouillage pour empêcher l’accès ou les opérations non autorisées.

Les systèmes de contrôle d’accès effectuent l’authentification et l’autorisation d’identification des utilisateurs et des entités en évaluant les informations d’identification requises, notamment les mots de passe, les numéros d’identification personnels (NIP), les scans biométriques, les jetons de sécurité ou autres facteurs d’authentification. L’authentification multifactorielle, qui nécessite deux facteurs d’authentification ou plus, est souvent un élément important de la défense par couches pour protéger les systèmes de contrôle d’accès.

Contrôle d’accès : les types

Les principaux types de contrôle d’accès sont :

• Contrôle d’accès obligatoire (CAO)

Un modèle de sécurité dans lequel les droits d’accès sont réglementés par une autorité centrale basée sur plusieurs niveaux de sécurité. Souvent utilisées dans les environnements gouvernementaux et militaires, les classifications sont attribuées aux ressources du système et le système d’exploitation ou le noyau de sécurité accorde ou refuse l’accès à ces objets de ressources en fonction de l’habilitation de sécurité de l’utilisateur ou du dispositif. 

• Contrôle d’accès discrétionnaire (CAD)

Une méthode de contrôle d’accès dans laquelle les propriétaires ou administrateurs du système, des données ou des ressources protégées définissent les politiques définissant qui ou quoi est autorisée à accéder à la ressource. Nombre de ces systèmes permettent aux administrateurs de limiter la propagation des droits d’accès. Une critique courante à l’égard des systèmes de CAD est l’absence de contrôle centralisé.

• Contrôle d’accès basé sur les rôles (CABR)

Un mécanisme de contrôle d’accès largement utilisé qui restreint l’accès aux ressources informatiques en fonction de personnes ou de groupes ayant des fonctions d’affaires définies, niveau exécutif, niveau ingénieur 1, plutôt que l’identité des utilisateurs individuels. Le modèle de sécurité basé sur les rôles repose sur une structure complexe d’affectations de rôles, d’autorisations de rôles et de permissions de rôles développée à l’aide de l’ingénierie des rôles pour réguler l’accès des salariés aux systèmes. Les systèmes CABR peuvent être utilisés pour appliquer les cadres CAO et CAD.

• Contrôle d’accès basé sur des règles

C’est un modèle de sécurité dans lequel l’administrateur système définit les règles régissant l’accès aux objets ressources. Souvent, ces règles sont fondées sur des conditions comme l’heure de la journée ou le lieu. Il n’est pas rare d’utiliser une forme quelconque de contrôle d’accès fondé sur des règles et de contrôle d’accès fondé sur les rôles pour appliquer les politiques et procédures d’accès.

• Contrôle d’accès basé sur les attributs (CABA)

Une méthodologie qui gère les droits d’accès en évaluant un ensemble de règles, de politiques et de relations en utilisant les attributs des utilisateurs, des systèmes et des conditions environnementales.

Contrôle d’accès : utilisation

Le but du contrôle d’accès est de minimiser le risque d’accès non autorisé aux systèmes physiques et logiques. Le contrôle d’accès est un élément fondamental des programmes de conformité en matière de sécurité qui garantit que la technologie de sécurité et les politiques de contrôle d’accès sont en place pour protéger les informations confidentielles, telles que les données clients. La plupart des organisations ont une infrastructure et des procédures qui limitent l’accès aux réseaux, aux systèmes informatiques, aux applications, aux fichiers et aux données sensibles comme les renseignements personnels identifiables et la propriété intellectuelle.

Les systèmes de contrôle d’accès sont complexes et peuvent être difficiles à gérer dans des environnements informatiques dynamiques impliquant des systèmes sur site et des services cloud. Après quelques brèches très médiatisées, les fournisseurs de technologie sont passés des systèmes d’authentification unique à la gestion unifiée des accès qui offre des contrôles d’accès pour les environnements sur site et cloud.

Contrôle d’accès : mise en œuvre

Le contrôle d’accès est un processus intégré à l’environnement informatique d’une organisation. Il peut s’agir de systèmes de gestion des identités et des accès. Ces systèmes fournissent un logiciel de contrôle d’accès, une base de données d’utilisateurs et des outils de gestion pour les politiques de contrôle d’accès, la vérification et l’application.

Lorsqu’un utilisateur est ajouté à un système de gestion des accès, les administrateurs système utilisent un système de provisionnement automatisé pour configurer les autorisations en fonction des cadres de contrôle d’accès, des responsabilités professionnelles et des procédures.

La pratique exemplaire du « moindre privilège » restreint l’accès aux seules ressources dont un employé a besoin pour s’acquitter de ses fonctions immédiates.

Pour plus d’informations, vous pouvez suivre ce lien https://www.acetprotection.com/controle-acces-biometrie/