RBAC – Contrôle d’accès basé sur les rôles : qu’est-ce-que c’est ? À quoi ça sert ?

Un mot de passe volé peut-il vous offrir les clés de tout un royaume ? En fait, il apparaît que 81 % des vols de données qui ont eu lieu en 2017...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 7 juillet 2023

Un mot de passe volé peut-il vous offrir les clés de tout un royaume ? En fait, il apparaît que 81 % des vols de données qui ont eu lieu en 2017 ont utilisé des mots de passe volés ou faibles pour accéder au réseau.
Nous devons faire mieux que cela en 2018. Nous devons revoir les normes applicables à nos droits et mettre en œuvre un contrôle d’accès basé sur les rôles (RBAC) pour faire en sorte que les utilisateurs restent bien à la place qui leur a été attribuée sur le réseau.

Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

Contrôle d’accès basé sur les rôles (RBAC) : qu’est-ce-que c’est ?

Le Contrôle d’accès basé sur les rôles (RBAC) est un concept de sécurité du réseau selon lequel le réseau accorde des droits aux utilisateurs en fonction de leur rôle dans l’entreprise. C’est simple comme bonjour : le service financier n’a pas le droit de mettre son nez dans les données du service des ressources humaines, et vice-versa.

Chaque utilisateur du réseau a un rôle, et chaque rôle a un ensemble de droits d’accès aux ressources de l’organisation. Par exemple, les employés du service financier ont accès au système de CRM en fonction de l’utilisation qu’ils en ont, à la messagerie électronique et au partage réseau dédié au service financier. Cela pourrait s’arrêter là.

Mis en œuvre correctement, un RBAC sera transparent pour les utilisateurs. L’affectation des rôles s’effectue en arrière-plan et chaque utilisateur a accès aux applications et données dont il a besoin pour travailler.

Pourquoi mettre en place un RBAC ?

RBAC

La mise en œuvre d’un Contrôle d’accès basé sur les rôles optimise l’efficacité opérationnelle, protège les données des risques de fuite ou de vol, réduit le travail d’administration et d’assistance informatique, et aide à répondre aux besoins d’audit.

Les utilisateurs doivent pouvoir accéder aux données dont ils ont besoin pour faire leur travail – leur accorder un accès à des données qui ne leur sont pas utiles nuit à la sécurité et augmente le risque de fuite, vol, altération ou piratage des données. Les hackers n’aiment rien autant qu’accéder à un seul compte et se déplacer latéralement sur le réseau pour rechercher des données qu’ils pourraient vendre. Si vous avez mis en place un RBAC efficace, les hackers se heurtent à un mur dès qu’ils tentent de sortir de la bulle du rôle de l’utilisateur qu’ils ont piraté.

Bien évidemment, la situation est grave lorsqu’il s’avère qu’un compte a été piraté. Mais cela pourrait être tellement pire si cet utilisateur avait accès à toutes les données sensibles. Même si l’utilisateur concerné travaille aux ressources humaines et a accès à des informations personnellement identifiables (PII), le hacker n’aura pas la possibilité de se déplacer facilement pour accéder aux données des équipes financières et de direction.

Le RBAC réduit également la charge de travail informatique et d’administration de l’organisation et améliore la productivité des utilisateurs. Même si cela semble peu logique au premier abord, cela tombe sous le sens si l’on prend la peine d’y réfléchir. L’informatique n’a pas à gérer des droits personnalisés pour chaque utilisateur, et les utilisateurs concernés accèdent plus facilement aux bonnes données.

Gérer de nouveaux utilisateurs et des utilisateurs invités peut être difficile et prendre du temps, mais si un RBAC définit ces rôles avant qu’un utilisateur ne rejoigne le réseau, le problème est résolu d’emblée. Dès que des invités et nouveaux utilisateurs rejoignent le réseau, leur accès est prédéfini.

Enfin, il est prouvé qu’un RBAC fait faire d’importantes économies à l’entreprise. En 2010, RTI a publié un rapport intitulé « The Economic Impact of Role-Based Access Control » qui explique qu’un RBAC génère un important retour sur investissements. Dans le cas d’une entreprise de services financiers imaginaire comprenant 10 000 employés, RTI estime que le RBAC permettra d’économiser pour 24 000 dollars de main d’œuvre informatique, et pour 300 000 dollars d’indisponibilité des employés, chaque année. L’automatisation du processus d’accès des utilisateurs vous permettra d’économiser bien plus que cela, rien qu’au niveau de la main d’œuvre informatique. Une occasion rêvée d’obtenir une augmentation.

Après implémentation, votre réseau sera beaucoup plus sûr qu’avant et vos données seront bien mieux protégées contre le vol. Et, autre avantage, la productivité de vos utilisateurs et de votre équipe informatique sera renforcée. Pour nous, il n’y a pas d’hésitation à avoir.

RBAC : une mise en œuvre en 3 étapes

Quelle est la meilleure façon de mettre en œuvre des Contrôles basés sur les rôles ? Pour partir sur de bonnes bases, respectez les étapes suivantes :

  1. Définissez les ressources et services que vous fournissez à vos utilisateurs (c’est-à-dire messagerie électronique, CRM, partages de fichiers, CMS, etc.)
  2. Créez une bibliothèque de rôles : faites correspondre les descriptions de postes aux ressources définies à l’étape 1 nécessaires à la réalisation de leur mission
  3. Affectez les utilisateurs aux rôles définis.

La bonne nouvelle, c’est que vous pouvez automatiser ce processus : Varonis DatAdvantage permet de savoir qui utilise activement les partages de fichiers de manière régulière et qui ne les utilise pas. En attribuant aux rôles des droits d’accès aux fichiers, vous désignerez aussi un propriétaire de données pour les partages. Ce propriétaire de données est responsable à long terme des accès des utilisateurs aux données, et peut facilement accepter et refuser les demandes d’accès émises depuis l’interface Varonis DataPrivilege. Lorsque vous affectez des rôles, Varonis peut aussi vous fournir des capacités de modélisation grâce auxquelles vous voyez ce qui se passe si vous révoquez l’accès à un dossier pour ce rôle, avant de valider la révocation.

Une fois l’implémentation terminée, le système doit impérativement rester propre. Aucun droit ne correspondant pas au rôle d’un utilisateur ne doit lui être attribué de manière permanente. DataPrivilege autorise les accès temporaires aux partages de fichiers, sur demande, de manière à ce que la première règle soit respectée. Il sera toutefois nécessaire de prévoir un processus de modification permettant d’ajuster les rôles en fonction des besoins.

Et, bien sûr, vous devez organiser une surveillance et un audit réguliers de l’ensemble de ces ressources critiques. Vous devez savoir si un utilisateur tente d’accéder à des données ne correspondant pas à son rôle, ou si un droit non conforme au rôle d’un utilisateur a été ajouté.

Les personnes malintentionnées utiliseront plusieurs tactiques pour percer votre sécurité. Une plate-forme efficace de surveillance et d’analyse de la sécurité des données imposera les règles définies dans votre RBAC, enverra des alertes à votre équipe de sécurité et fournira des informations qui décourageront les tentatives de piratage tout en coupant court aux vols de données.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

intégrité-des-données-:-qu’est-ce-que-c’est-?-comment-la-préserver-?
Intégrité des données : qu’est-ce que c’est ? Comment la préserver ?
Si vous n’avez aucun moyen de savoir qui trafique ou supprime les données de votre entreprise, ni quand et comment, les répercussions peuvent être importantes au niveau des décisions stratégiques...
qu’est-ce-que-la-gestion-des-accès-à-privilèges-(pam)-?
Qu’est-ce que la gestion des accès à privilèges (PAM) ?
Qu’est-ce que la gestion des accès à privilèges (PAM) et en quoi est-elle importante pour votre organisation ? Découvrez pourquoi la gestion des accès à privilèges est un élément indispensable de votre stratégie de cybersécurité et protège vos actifs.
qu’est-ce-qu’un-serveur-proxy-et-comment-fonctionne-t-il ?
Qu’est-ce qu’un serveur Proxy et comment fonctionne-t-il ?
Un serveur proxy joue le rôle de passerelle entre Internet et vous. C'est un serveur intermédiaire qui sépare les utilisateurs, des sites Web sur lesquels ils naviguent.
qu’est-ce-que-le-modèle-zero-trust ?-guide-complet-et-modèle-de-sécurité
Qu’est-ce que le modèle Zero Trust ? Guide complet et modèle de sécurité
Le cadre Zero Trust ne fait confiance à personne et vérifie toutes les identités, même celle des utilisateurs de votre propre organisation. Lisez notre article pour découvrir le modèle Zero Trust et apprendre à le mettre en œuvre dans votre entreprise.