Contrôle d'accès
Un article de Wikipédia, l'encyclopédie libre.
- Pour contrôle d'accès des télévisions, voir Contrôle d'accès (télévision).
Le contrôle d'accès à un système d'information, consiste à associer des droits d'accès et/ou des ressources à une entité (personne, ordinateur …), permettant ainsi à l'entité d'accéder à la ressource souhaitée, si elle en a les droits.
Un contrôle d'accès peut être logique et/ou physique (mot de passe, carte, clé, biométrie, …), et offre la possibilité d'accéder à :
- des ressources physiques : un bâtiment, un local,
- ou logiques : un système informatique par exemple : un système d'exploitation ou une application spécifique.
Sommaire |
[modifier] Authentication Authorization Accounting
Le contrôle d'accès à un système d'information est généralement étudié suivant le protocole AAA (en anglais : Authentication Authorization Accounting).
[modifier] Authentification
Cette première phase consiste à vérifier que l'utilisateur correspond bien à l'identité qui cherche à se connecter. Le plus simple ici consiste à vérifier une association entre un mot de passe et un identifiant, mais des mécanismes plus élaborés peuvent être utilisés tels les cartes à puces,…
[modifier] Autorisation
Cette phase consiste à vérifier que l'utilisateur maintenant authentifié dispose des droits nécessaires pour accéder au système. Elle est parfois confondue avec la précédente sur de petits systèmes, mais sur des systèmes plus importants, un utilisateur peut tout à fait être authentifié (ex : membre de l'entreprise) mais ne pas avoir les privilèges nécessaires pour accéder au système (ex : page réservée aux gestionnaires).
[modifier] Traçabilité
Pour lutter contre les usurpations de droits, il est souhaitable de suivre les accès aux ressources informatiques sensibles (heure de connexion, suivi des actions, …).
[modifier] Modes de contrôle d'accès
Le contrôle d'accès à une ressource du système d'information est exercé selon deux modes :
- Mode a priori
Ceci consiste dans l'audit et la configuration des droits d'accès attribués aux utilisateurs (on parle de "Gestion des identités et des habilitations" ou "Identity & Access Management").
- Mode a posteriori
Ceci consiste dans le contrôle des droits d'accès attribués aux utilisateurs au moment de l'accès au système.
[modifier] Exemples d'application
[modifier] Entreprises françaises
La loi française oblige à différencier nettement le contrôle d'accès physique à certaines parties « sensibles » d'un bâtiment au contrôle de présence des employés dans l'entreprise. Les sociétés qui enfreignent, par mégarde ou par calcul, cette règle de séparation sont à chaque fois condamnées à de lourdes amendes.
Le contrôle d'accès physique grâce à la biométrie commence à se développer mais il est, lui aussi, très surveillé par la CNIL. D'autres types de contrôle d'accès utilisent notamment la RFID.
[modifier] La Poste
La Poste a développé un système de contrôle d'accès physique nommé Vigik permettant de s'affranchir des passes précédemment utilisés pour accéder aux immeubles d'habitation. Les fabricants de contrôle d'accès pour les habitations résidentiels utilisent la même antenne de lecture pour les badges résidants non VIGIK afin d'avoir 2 utilisations différentes sur un même lecteur : La fonction VIGIK servant pour les services de La Poste, EDF-GDF, La générale des Eaux, France télécom et tout autre opérateur souhaitant devenir prestataire VIGIK + Contrôle d'accès des badges Résidants.
[modifier] Annexes
[modifier] Voir aussi
- Droits d'accès
- Sécurité des données
- Patrimoine informationnel
- Authentification unique
- Sécurité de l'information
- Sécurité des systèmes d'information
- Single sign on
- Authentification forte
[modifier] Lien externe
- Liberty Alliance (en): ce projet tente de définir un système d'interopérabilité entre les systèmes de protection de type Web-SSO.
|
|
