Le guide final du contrôle d'accès basé sur les attributs (ABAC), le contexte dynamique des utilisateurs et de la donnée
Le contrôle d’accès basé sur les attributs (ABAC) est devenu la technologie de nouvelle génération pour un accès sécurisé aux données critiques de l’entreprise. Les complexités du paysage informatique actuel – pensez aux applications cloud, aux silos de données, au mobile, à l’IoT, au Big Data – ont mis en évidence les limites des solutions de contrôle d’accès basé sur les rôles (RBAC), laissant les organisations vulnérables sur le front de la sécurité des données. Beaucoup, notamment Gartner et NIST, considèrent désormais l’ABAC comme le mécanisme dominant pour l’avenir. Dans le cadre d’un consortium chargé de créer une architecture de référence pour ABAC, NextLabs a été sélectionné par le National Institute of Standards and Technology (NIST) pour aider à définir les principales capacités et avantages d’ABAC.
Qu’est-ce que l’ABAC ?
Selon le NIST, ABAC est défini comme « une méthode de contrôle d’accès dans laquelle les demandes d’un sujet pour effectuer des opérations sur des objets sont accordées ou refusées en fonction des attributs attribués au sujet, des attributs attribués à l’objet, des conditions d’environnement et d’un ensemble de politiques spécifiées ».
Le contrôle d’accès basé sur les attributs (ABAC) permet d’accéder aux utilisateurs en fonction de qui ils sont plutôt que de ce qu’ils font : par exemple, l’unité commerciale dans laquelle ils travaillent et la manière dont ils ont été embauchés. Les attributs permettent une structure de contrôle plus simple, car les autorisations peuvent être basées sur le type, l’emplacement, le service, etc. de l’utilisateur, reflétant les aspects physiques de l’entreprise. En s’intéressant aux attributs d’un utilisateur, informations déjà connues et souvent stockées dans un système RH, ABAC permet d’exprimer plus simplement une politique de contrôle d’accès riche et complexe. Par exemple, si un utilisateur nommé Margret Smyth est promu du marketing à la direction, ses autorisations d’accès seront mises à jour parce que ses attributs professionnels ont changé, et non parce que quelqu’un s’est souvenu qu’elle disposait d’autorisations d’administrateur et a pris le temps de mettre à jour un fichier de configuration quelque part.
Les avantages de l’ABAC sont nombreux et certaines exigences ne peuvent être satisfaites qu’à l’aide d’un modèle ABAC. L’avantage le plus important est la nature intuitive d’ABAC pour l’utilisateur, qui cache des ensembles d’autorisations techniques derrière des profils utilisateur faciles à comprendre que toute personne autorisée peut mettre à jour, sachant que l’utilisateur aura l’accès dont il a besoin tant que ses attributs sont à jour. L’autre avantage d’ABAC est la flexibilité qu’il offre ; presque tout ce qui concerne l’utilisateur et l’entreprise peut être représenté, ce qui permet à l’entreprise de penser de manière commerciale et non informatique. Les applications, le type de données auxquelles les utilisateurs peuvent accéder, les transactions qu’ils peuvent soumettre et les opérations qu’ils peuvent effectuer changent automatiquement en fonction de ces facteurs contextuels. L’effet net est que les organisations utilisant ABAC peuvent prendre des décisions plus concises basées sur des informations opérationnelles en temps réel.
Par exemple, grâce à ABAC, l’accès aux données critiques pour l’entreprise peut être déterminé par des attributs ou des caractéristiques de l’utilisateur, des données ou de l’environnement, tels que le groupe, le service, le statut de l’employé, la citoyenneté, le poste, le type d’appareil, l’adresse IP ou tout autre facteur susceptible d’affecter le résultat de l’autorisation. Ces attributs peuvent provenir d’identités utilisateur, d’applications et de ressources système, d’attributs environnementaux, ils peuvent également être récupérés à partir de toute autre source de données, telle que IAM, ERP, PLM, des informations sur les employés d’un système RH interne ou des informations client de Salesforce, bases de données, serveurs LDAP, ou même auprès d’un partenaire commercial pour les identités fédérées.
ABAC peut être utilisé conjointement avec le contrôle d’accès basé sur les rôles (RBAC) pour combiner la facilité d’administration des politiques, ce qui fait la renommée de RBAC, avec une spécification de politique flexible et une capacité de prise de décision dynamique qui font la renommée d’ABAC. La combinaison de RBAC et d’ABAC en une seule solution hybride ABAC/RBAC (ARBAC) peut fournir une solution de gestion des identités et des accès évolutive, capable de concevoir et d’appliquer des règles basées sur des profils individuels et des paramètres de l’environnement commercial. Par exemple, ARBAC peut être appliqué pour appliquer un contrôle d’accès obligatoire basé sur certains attributs tout en fournissant un contrôle d’accès discrétionnaire via des rôles surchargés appelés « fonctions professionnelles » qui sont profilés en fonction des types d’emploi des utilisateurs. Alternativement, l’ARBAC peut également être appliqué pour mettre en œuvre le concept de contrôle d’accès adaptable aux risques, dans lequel les autorisations d’accès peuvent être rendues mutuellement exclusives grâce à des règles relatives à la séparation des tâches, par exemple.
L’approche hybride ARBAC permet au système de combiner les structures informatiques et commerciales. Même si l’accès de base est fourni automatiquement, l’entreprise peut toujours fournir un accès supplémentaire à des utilisateurs spécifiques via des rôles qui s’intègrent dans la structure de l’entreprise. En rendant les rôles dépendants des attributs, des limitations supplémentaires peuvent être mises en place automatiquement pour certains utilisateurs sans aucune recherche ou configuration supplémentaire, ce qui permet de mieux organiser et de réduire le nombre de profils d’accès qui doivent être suivis. Dans une grande entreprise comptant plusieurs unités commerciales et des employés multifonctionnels, permettre que l’accès soit piloté par des attributs simplifie le processus de détermination de l’accès correct pour les utilisateurs. En conséquence, une structure hybride facilite la prise de décision pour les entreprises lorsqu’il s’agit d’attribuer l’accès aux comptes utilisateur aux travailleurs. Lorsque cette approche est combinée à une interface de contrôle adaptée centrée sur l’utilisateur, le service informatique est enfin en mesure d’externaliser la charge de travail d’intégration et de désintégration des utilisateurs aux décideurs de l’entreprise.
On s’attend à ce qu’au fil du temps, l’ABAC devienne largement acceptée comme modèle d’autorisation de choix pour les entreprises. Une solution capable de combler le fossé entre RBAC et ABAC est donc importante: un actif logiciel indispensable et de grande valeur pour les entreprises intelligentes! Lisez ce synopsis pour savoir comment garantir une mise en œuvre réussie d’ABAC.
Cas d'utilisation d'ABAC
- Un ingénieur réaffecté à un nouveau projet peut accéder automatiquement aux informations liées au nouveau projet mais pas au précédent.
- Un responsable de compte réaffecté à un nouveau territoire est automatiquement en mesure de visualiser et d’effectuer des opérations sur les comptes et les produits du nouveau territoire, mais ne peut plus accéder à quoi que ce soit depuis l’ancien territoire.
- Un responsable financier ne peut télécharger des documents que lorsqu’il se trouve physiquement aux États-Unis.
- Un responsable RH affecté à une opération nationale ou à une unité commerciale ne peut accéder qu’aux données PII des employés de l’opération nationale ou de l’unité commerciale affectée.