Aujourd’hui, dans notre environnement numérique, on peut accéder aux ressources de données pratiquement n’importe où. Si cela ouvre aux organisations axées sur les données (« data-driven organisations ») de nouvelles perspectives de croissance et de rentabilité, cela pose aussi un risque accru de violations de données.
Rien qu’en septembre 2021, 1 291 violations de données ont été enregistrées, en hausse de 17 % par rapport à l’année précédente où ce chiffre s’établissait à 1 108. Le nombre de victimes de cybermenaces s’envole également avec 291 millions de victimes recensées sur les neuf premiers mois de l’année 2021.
Aujourd’hui, les entreprises contrôlent de plus en plus les accès. Certaines automatisent les contrôles d’accès, la sécurité et la conformité, tout en rationalisant l’accès aux données. La mise en place d’un système de contrôle d’accès complet permet d’opérer, in fine, une surveillance et une gouvernance en temps réel des informations et de leur application. C’est également un moyen de mettre fin aux processus chronophages de développement au coup par coup.
Qu’entend-on exactement par contrôle d’accès logique ?
Aujourd’hui, les entreprises contrôlent de plus en plus les accès. Certaines automatisent les contrôles d’accès, la sécurité et la conformité, tout en rationalisant l’accès aux données. La mise en place d’un système de contrôle d’accès complet permet d’opérer, in fine, une surveillance et une gouvernance en temps réel des informations et de leur application. C’est également un moyen de mettre fin aux processus chronophages de développement au coup par coup.
Mais que sont exactement les contrôles d’accès ?
Il s’agit de l’une des techniques de sécurité des données permettant aux entreprises de définir qui peut accéder à leurs données et leurs ressources. Les procédures de contrôle d’accès sécurisé garantissent que les utilisateurs sont bien qui ils prétendent être et qu’ils bénéficient des niveaux de contrôle d’accès appropriés.
Dans une démarche de sécurité des applications Web, la mise en place d’un contrôle d’accès est fondamentale, et garantit que seuls les utilisateurs autorisés peuvent accéder aux ressources appropriées. Les entreprises sont ainsi mieux armées pour se prémunir des violations de données et lutter contre les vecteurs d’attaque comme les attaques par dépassement de tampon, les attaques KRACK, les attaques de l’homme du milieu (maintenant appelées on-path attacks) et les attaques par hameçonnage.
Pourquoi est-ce si important de mettre en place des contrôles d’accès ?
L’engouement pour les contrôles d’accès va crescendo, avec un succès inédit cette année. Cette composante clé de toute stratégie de sécurité permet de régir « qui » (qu’il s’agisse d’une personne physique ou d’une entité) peut consulter ou utiliser telle ou telle ressource. Les contrôles d’accès peuvent être utilisés pour décrire qui a accès à tel fichier, mais aussi quel équipement et quelle personne peuvent accéder à quels appareils en particulier.
Le contrôle d’accès vise à apporter un niveau de sécurité permettant de réduire les risques pour une organisation ou une entreprise, en protégeant ses données, ses installations et ses ressources humaines. Il fait partie intégrante de la sécurité informatique et à ce titre, tout dirigeant devrait en faire une priorité. Sans contrôle d’accès efficace, les équipes et l’entreprise s’exposent à des vols de données. Mais ce n’est pas tout. Elles risquent aussi d’enfreindre les réglementations relatives à la confidentialité et la protection des données.
Comment fonctionne le contrôle d’accès ?
Le contrôle d’accès est un processus qui identifie les personnes ou les entités, et les vérifie. C’est lui qui valide au bout du compte le niveau d’accès et l’ensemble des activités associées aux identifiants de connexion (login) ou à l’adresse IP.
Il existe deux grands services d’annuaire et protocoles, le Lightweight Directory Access Protocol (LDAP) et le Security Assertion Markup Language (SAML), pour authentifier et autoriser les utilisateurs et les entités. Ils assurent les contrôles d’accès qui leur permettent de se connecter à des ressources IT comme des applications distribuées ou des serveurs Web.
Les organisations choisissent les stratégies de contrôle d’accès à appliquer en fonction de leurs exigences de conformité et des niveaux de sécurité des ressources IT à protéger.
Différents types de contrôle d’accès
En fonction de votre organisation, il vous faudra réfléchir à un certain nombre de concepts généraux : le degré de propriété que vous souhaitez mettre en place pour le système et les modalités pour accéder à telle ou telle ressource.
Il existe plusieurs modèles de contrôles d’accès ; chacun ayant ses avantages.
Contrôle d’accès obligatoire (MAC, Mandatory Access Control)
En fonction de votre organisation, il vous faudra réfléchir à votre rapport au système [de contrôle d’accès] en termes de droits, de responsabilité et de propriété, et aux modalités pour choisir les personnes habilitées à accéder à telle ou telle ressource.
Le système de contrôle d’accès obligatoire est le plus sécurisé. Les administrateurs système sont les seuls à pouvoir octroyer les droits d’accès. Autrement dit, les utilisateurs ne peuvent pas modifier les droits qui leur interdisent/octroient l’accès à certains domaines. Les données sensibles bénéficient par conséquent d’une excellente protection.
Cette méthode ne permet pas aux propriétaires des ressources d’accorder comme bon leur semble les accès aux ressources. Lorsqu’un employé accède au système, il se voit attribuer un lien unique avec « des étiquettes de sensibilité » modifiables indiquant son niveau d’accès — un peu à la manière d’un profil de sécurité numérique. L’accès de l’utilisateur aux ressources est donc limité en fonction des étiquettes et de la sensibilité des informations. Cette technologie ingénieuse est souvent privilégiée par les administrations pour son respect de l’anonymat.
Contrôle d’accès discrétionnaire (DAC, Discretionary Access Control)
Un système de contrôle d’accès discrétionnaire laisse davantage de pouvoir aux chefs d’entreprises. Même si l’administrateur système crée une hiérarchie de fichiers auxquels correspondent certaines permissions, c’est au patron de décider qui peut accéder à quoi. Reste aux utilisateurs à disposer des autorisations appropriées. Cette méthode présente cependant un inconvénient. En effet, laisser l’utilisateur final choisir ses niveaux de sécurité peut être source d’erreurs. La gestion des permissions et droits d’accès exigeant un suivi plus actif, il arrive que certaines actions passent à la trappe. Les systèmes DAC sont flexibles, mais demandent beaucoup d’efforts, tandis que la méthode MAC est rigide, mais nécessite peu d’efforts.
Contrôle d’accès basé sur les rôles (RBAC, Role-Based Access Control)
Le contrôle d’accès basé sur les rôles attribue les droits d’accès en fonction des responsabilités professionnelles et du poste occupé par l’utilisateur. C’est le système de contrôle d’accès le plus répandu. Il permet d’éviter que les employés situés aux échelons inférieurs accèdent à des informations sensibles. La gestion des autorisations d’accès s’effectue en fonction d’un ensemble de critères propres à l’entreprise — besoins en ressources, environnement, emploi, géographie, etc. Privilégiée par la plupart des dirigeants, cette méthode facilite l’organisation des équipes selon les ressources qui leur sont nécessaires. On peut ainsi considérer que les équipes RH n’ont pas besoin d’accéder aux documents confidentiels du marketing. Inversement, les équipes marketing n’ont pas à accéder aux fiches de paie de l’ensemble du personnel. Le RBAC est un paradigme polyvalent qui favorise la visibilité tout en protégeant [l’entreprise] contre les violations et les fuites de données.
Contrôle d’accès basé sur des règles
Dans ce système, les droits d’accès sont accordés sur la base de règles et de politiques prédéfinies. Lorsqu’un utilisateur tente d’accéder à une ressource, le système d’exploitation vérifie les règles définies dans la « liste de contrôle d’accès » pour cette ressource spécifique. La création des règles, des politiques et du contexte demande du temps et du travail. Cette méthode est par ailleurs fréquemment utilisée avec l’approche basée sur les rôles exposée plus haut.
Contrôle d’accès basé sur les attributs (ABAC, Attribute-Based Access Control)
Allons plus loin avec le système ABAC qui permet d’effectuer un contrôle dynamique distinct et en fonction des risques (risk-aware), sur la base des qualités attribuées à un utilisateur donné. Ces caractéristiques peuvent être considérées comme les éléments du profil d’utilisateur. Combinées, ce sont elles qui déterminent les droits d’accès. Une fois que les politiques sont en place, ces qualités peuvent être utilisées pour décider de l’opportunité pour tel utilisateur d’avoir le contrôle — ou pas. Ces propriétés peuvent également être acquises et importées à partir d’une autre base de données, comme Salesforce.
Quels avantages offrent les systèmes de contrôle d’accès ?
Plus besoin d’un gros trousseau de clés
Avec un système de contrôle d’accès, vous savez qui se trouve où et à quelle heure, et grâce au suivi des entrées et sorties des locaux, vous pouvez vérifier que chacun travaille là où il est censé être. Ainsi, en cas d’incident, d’accident ou de vol, vous êtes en mesure de savoir exactement qui se trouvait dans la zone concernée à ce moment-là.
Une trace des entrées et des sorties
En empêchant les visiteurs indésirables et les personnes non autorisées de pénétrer dans vos locaux, le système de contrôle d’accès veille sur la sûreté de vos employés et de vos visiteurs. À chaque tentative d’accès non autorisé, les intrus se voient refuser l’accès à vos installations. Vous renforcez ainsi la sécurité de votre site, de vos employés et de vos visiteurs.
Sécurité du personnel
En empêchant les visiteurs indésirables et les personnes non autorisées de pénétrer dans vos locaux, le système de contrôle d’accès veille sur la sûreté de vos employés et de vos visiteurs. À chaque tentative d’accès non autorisé, les intrus se voient refuser l’accès à vos installations. Vous renforcez ainsi la sécurité de votre site, de vos employés et de vos visiteurs.
Réduction des coûts
Au fil du temps, un système de contrôle d’accès vous fait aussi économiser de l’argent. En effet, vous n’avez pas de clés ou de serrures à remplacer ou à fournir, et pas d’agents de sécurité à embaucher pour assurer la sécurité de votre site.
Réduction des vols
En réglementant l’accès à vos bâtiments, aucune personne non autorisée ne peut y pénétrer. Devant les difficultés pour s’introduire dans vos locaux, les vols diminuent.
Meilleure expérience pour les employés
Non seulement les employés se sentent plus en sécurité dans vos locaux, mais ils profitent aussi d’une meilleure expérience de travail. Ils accèdent en toute autonomie aux différents espaces de travail, sans avoir à dépendre d’autres collaborateurs ou d’agents de sécurité pour leur ouvrir les portes des différents bâtiments et salles. En offrant un environnement de travail plus souple, vous améliorez par la même occasion la satisfaction de vos collaborateurs.
Politique de contrôle d’accès
La plupart des professionnels de la sécurité admettent l’importance des contrôles d’accès dans leur entreprise. Toutefois, d’après certains experts, les modalités de mise en œuvre de ces contrôles d’accès ne font pas toujours l’unanimité.
Autrefois, les approches étaient souvent statiques. Aujourd’hui, l’accès au réseau doit être fluide et prendre en charge les cas d’utilisation basés sur l’identité et les applications.
Une stratégie complète de contrôle d’accès doit pouvoir être ajustée dynamiquement pour répondre à l’évolution des variables de risque, et permettre ainsi, en cas d’intrusion, de limiter les dégâts pour l’entreprise concernée.
Les entreprises doivent s’assurer que leurs solutions de contrôle d’accès peuvent être adaptées et modifiées en fonction des risques. La réalisation d’un contrôle d’accès dynamique nécessite l’ajout de couches de mesures de sécurité aux configurations de sécurité existantes — en s’appuyant sur l’IA et d’autres logiciels d’apprentissage.
Une stratégie complète de contrôle d’accès peut être mise à jour de manière dynamique pour répondre à l’évolution des variables de risque. Ainsi, en cas d’intrusion l’entreprise pourra isoler les collaborateurs et les ressources de données concernés afin de limiter les dommages.
Quelques pistes pour améliorer les contrôles d’accès
1. Évaluez les caractéristiques de votre système de contrôle d’accès
De nombreux responsables de sites fondent leurs décisions sur l’apparence d’un système et sur les discours commerciaux, au lieu d’étudier précisément les fonctionnalités qui répondent à leurs difficultés quotidiennes.
Choisissez un système en fonction de ses capacités plutôt qu’en fonction de son apparence. Tenez compte des éléments suivants lors du choix d’un système de contrôle d’accès :
- Endroits où un système est nécessaire.
Il sera utilisé pour obtenir l’accès à certains moments.
Combien de personnes auront des niveaux d’accès différents ?
Comment s’intègre-t-il aux autres composants déjà en place ?
2. Mettez en place des processus de connexion sécurisée et maintenez-les
La mise en œuvre de processus de connexion sécurisée permet de vérifier l’identité des utilisateurs et de les associer à leurs actions. En limitant ainsi le risque de compromission de mots de passe, ces processus luttent aussi contre les violations de données ou incidents de sécurité. Il est recommandé de fixer une limite de cinq échecs de tentatives de connexion consécutives dans un intervalle de 15 minutes. Passé ce seuil, les comptes doivent être verrouillés. Il est également souhaitable de notifier les responsables de la surveillance de vos réseaux en cas d’échec de connexion et d’autres alertes sur le contrôleur de domaine.
3. Identifiez vos entrées principales et limitez leur nombre afin de mieux contrôler les accès à vos bâtiments
Chaque entrée représente une faiblesse potentielle. Leur multiplication revient, pour les organisations, à ouvrir physiquement la porte à de potentiels adversaires.
La mise en place d’un contrôle d’accès vous aide à mieux réguler et surveiller le flux des personnes qui entrent et sortent de votre établissement. Mais au préalable, il vous faudra avoir identifié vos principaux points d’entrée et restreint les accès aux seules personnes pour qui cela est absolument indispensable.
4. La sécurité ne s’arrête pas à votre porte d’entrée
La majorité des contrôles de sécurité sont positionnés à l’extérieur et à proximité immédiate de la porte principale. Or, il est indispensable que les systèmes surveillent également ce qu’il se passe une fois l’employé à l’intérieur du bâtiment. Pour réellement améliorer la sécurité, il importe de savoir en permanence qui fait quoi, où et quand. Savoir, c’est pouvoir. Mieux vaut donc agir pour éviter le pire.
5. Mettez à jour vos technologies
Dirigeants et chefs d’entreprise doivent prévoir de déployer des technologies de chiffrement récentes. Leur objectif, lorsqu’ils installent un système de contrôle d’accès, est de limiter qui peut entrer. Si les systèmes commencent à dater, il est temps de les mettre à niveau. On recommande de budgéter une mise à jour du système tous les 10 ans, sachant qu’une technologie devient rapidement obsolète.
6. Testez périodiquement vos systèmes de contrôle d’accès
Chez vous, vous vérifiez régulièrement le fonctionnement de vos détecteurs de fumée pour être certain qu’ils se déclencheront correctement en cas de besoin ? Et bien, faites de même avec votre système de contrôle d’accès. Tous vos appareils doivent fonctionner correctement. Restez attentif aux petits défauts de votre système de contrôle d’accès pour éviter qu’ils ne deviennent plus gros. Effectuez des tests tous les mois ou tous les trimestres : c’est le seul moyen d’être certain que tout fonctionne correctement.
Vaut-il la peine d’investir dans des systèmes de contrôle d’accès ?
Au vu des nombreux avantages d’un système de contrôle d’accès pour la sécurité de votre entreprise, il est clair que l’investissement en vaut la peine. En plus de protéger les actifs de votre entreprise et de créer, dans vos locaux, des zones ultra sécurisées accessibles sur authentification, vous montrez à votre personnel que vous avez à cœur de leur offrir un environnement de travail sûr et sécurisé.
Si le contrôle d’accès a évolué, passant de la protection de documents papier dans des bâtiments physiques à des technologies sur le cloud, la protection de vos ressources est un concept intemporel. Mieux nous maîtriserons la technologie, plus nous aurons de possibilités. Une bonne compréhension de facteurs comme la taille de l’entreprise, ses besoins en ressources et la localisation de ses personnels peut aider les organisations à mieux gérer leurs contrôles d’accès aux données.
La technologie n’est jamais une panacée. Pour protéger au mieux les bâtiments publics et les entités commerciales, les systèmes et le personnel doivent être efficaces. Alors que les entreprises et les grands groupes continuent à employer des solutions et des technologies dans le cloud au sein d’une structure de gouvernance efficace, la technologie reste un complément et un moyen de rationaliser la sécurité, pour la rendre plus performante et plus efficiente.