Révision rapide : Contrôles d'accès – ISC2 CC

Ce que vous devez vraiment savoir

Les contrôles d'accès servent à déterminer qui peut accéder aux systèmes, aux données, aux applications et aux ressources, et avec quelles permissions. Pour ISC2 CC, vous devez comprendre la différence entre identification, authentification, autorisation et accounting.

Le point central est simple : il ne suffit pas de savoir qui est un utilisateur. Il faut aussi vérifier son identité, attribuer uniquement les permissions nécessaires et contrôler dans le temps que ces accès sont encore corrects.

Concepts clés

• Identification : l'utilisateur déclare qui il est, par exemple avec un nom d'utilisateur.
• Authentification : le système vérifie l'identité de l'utilisateur.
• Autorisation : le système décide ce que l'utilisateur peut faire.
• Accounting : enregistre et trace les activités de l'utilisateur.
• MFA : exige plusieurs facteurs d'authentification.
• Least privilege : accorde uniquement les permissions nécessaires.
• Need to know : permet l'accès uniquement aux informations nécessaires.
• RBAC : attribue les permissions selon le rôle.
• Cycle de vie des comptes : gestion des comptes de la création à la désactivation.
• Revue d'accès : révision périodique des permissions attribuées.

Différences à ne pas confondre

Concept	Signification principale
Identification	Déclarer qui l'on est
Authentification	Vérifier l'identité
Autorisation	Définir ce que l'on peut faire
Accounting	Tracer les activités
MFA	Utiliser plusieurs facteurs d'authentification
Least privilege	Donner uniquement les permissions nécessaires
Need to know	Donner accès uniquement aux informations nécessaires
RBAC	Gérer les permissions selon les rôles

Identification, authentification et autorisation

Ces trois concepts sont souvent confondus dans les quiz.

L'identification se produit lorsqu'un utilisateur déclare son identité, par exemple en saisissant un nom d'utilisateur.

L'authentification se produit lorsque le système vérifie que l'utilisateur est bien celui qu'il prétend être, par exemple avec un mot de passe, un token, une empreinte digitale ou la MFA.

L'autorisation intervient après l'authentification et détermine ce que l'utilisateur peut faire : lire des données, modifier des fichiers, accéder à une application ou administrer un système.

Exemple simple :

• nom d'utilisateur = identification ;
• mot de passe ou MFA = authentification ;
• permissions attribuées = autorisation.

Accounting et traçabilité

L'accounting concerne l'enregistrement des activités des utilisateurs. Il sert à savoir qui a fait quoi, quand et depuis où.

Exemples d'accounting :

• journaux d'accès ;
• piste d'audit ;
• enregistrement des modifications ;
• traçage des activités administratives ;
• surveillance des tentatives d'accès échouées.

Pour ISC2 CC, vous devez retenir que l'accounting est important pour les enquêtes, les audits, la conformité et la détection de comportements suspects.

MFA

La MFA, Multi-Factor Authentication, exige plusieurs facteurs d'authentification. Les principaux facteurs sont :

• quelque chose que vous savez, comme un mot de passe ;
• quelque chose que vous possédez, comme un token ou un smartphone ;
• quelque chose que vous êtes, comme une empreinte digitale ou une reconnaissance biométrique.

La MFA est plus sûre qu'un simple mot de passe parce qu'elle réduit le risque de compromission d'un compte si un seul facteur est volé.

Least privilege

Le principe du least privilege établit que les utilisateurs, les processus et les applications doivent disposer uniquement des permissions minimales nécessaires pour accomplir leur tâche.

Cela réduit le risque d'abus, d'erreur humaine et de dommages en cas de compromission d'un compte.

Exemple : un utilisateur qui doit seulement consulter des rapports ne devrait pas avoir de permissions d'administrateur.

Need to know

Le principe du need to know établit qu'un utilisateur doit accéder uniquement aux informations réellement nécessaires à son travail.

Il est similaire au least privilege, mais se concentre surtout sur l'accès aux informations.

Exemple : un employé peut être autorisé à accéder au système RH, mais il ne doit pas nécessairement voir toutes les données sensibles des employés si cela ne lui est pas utile.

RBAC

RBAC signifie Role-Based Access Control. Dans ce modèle, les permissions sont attribuées aux rôles et les utilisateurs reçoivent des accès selon le rôle qu'ils occupent.

Exemples de rôles :

• utilisateur standard ;
• responsable ;
• administrateur ;
• auditor ;
• help desk.

RBAC simplifie la gestion des accès parce qu'il évite d'attribuer les permissions manuellement utilisateur par utilisateur.

Cycle de vie des comptes

Le cycle de vie des comptes comprend toutes les phases de gestion d'un compte :

• création ;
• attribution des permissions ;
• modification des permissions lorsque le rôle change ;
• suspension ;
• désactivation ;
• suppression des accès qui ne sont plus nécessaires.

Une erreur très fréquente consiste à laisser actifs les comptes d'utilisateurs qui ne travaillent plus dans l'organisation ou à conserver d'anciens privilèges après un changement de rôle.

Revue d'accès

Les revues d'accès sont des contrôles périodiques des permissions attribuées aux utilisateurs.

Elles servent à vérifier que :

• les utilisateurs ont encore besoin des accès accordés ;
• il n'y a pas de privilèges excessifs ;
• les comptes inactifs sont supprimés ;
• les accès administratifs sont justifiés ;
• les changements de rôle ont été correctement gérés.

Les revues périodiques réduisent le risque de privilege creep, c'est-à-dire l'accumulation progressive de permissions qui ne sont plus nécessaires.

Erreurs fréquentes dans les quiz

• Confondre authentification et autorisation.
• Penser que le nom d'utilisateur est une authentification.
• Penser que le mot de passe seul est toujours suffisant.
• Confondre least privilege et need to know.
• Oublier que les accès doivent être revus périodiquement.
• Penser que RBAC signifie donner les mêmes permissions à tout le monde.
• Oublier de désactiver les comptes qui ne sont plus utilisés.
• Confondre accounting et authentification.

Mini scénario d'examen

Un employé change de service mais conserve toutes les permissions de son ancien rôle, en plus des nouvelles permissions. Cette situation représente un problème de privilege creep.

La bonne solution consiste à effectuer une revue d'accès et à supprimer les permissions qui ne sont plus nécessaires, en appliquant le principe du least privilege.

Mini checklist avant le quiz

Avant de commencer le quiz, vous devriez savoir expliquer :

• la différence entre identification, authentification et autorisation ;
• à quoi sert l'accounting ;
• pourquoi la MFA est plus sûre qu'un simple mot de passe ;
• ce que signifie least privilege ;
• ce que signifie need to know ;
• comment fonctionne RBAC ;
• pourquoi le cycle de vie des comptes est important ;
• pourquoi les accès doivent être revus périodiquement ;
• ce que signifie privilege creep.