Nous y sommes : la sécurité est en passe de devenir l’alpha et l’oméga de toute action opérée par les organisations sur leur système d’information. Le contexte, bien entendu, explique ce virage auquel nombre de professionnels s’attendaient. Prolifération des cyber-attaques, généralisation du mode SaaS, développement du télétravail, extension du périmètre couvert par la cybersécurité… Plus aucune entreprise, plus aucun secteur, n’est à l’abri. Ce qui amène les éditeurs de logiciels à ajuster leur approche des identités via les contrôles d’accès basés sur les rôles.

RBAC : réduire la complexité, simplifier les processus

Liés à la gestion des identités (Identity Governance and Administration, IGA), les contrôles d’accès basés sur les rôles (RBAC) bénéficient des apports de l’intelligence artificielle (IA) et du Machine Learning. Ces fonctionnalités peuvent aider à établir le principe du moindre privilège et à adopter un état d’esprit Zero Trust. Les contrôles d’accès basés sur des rôles ont l’avantage de fournir le niveau d’accès minimal dont chaque utilisateur a besoin (« ni plus, ni moins »). Le RBAC permet encore de réduire la complexité et de simplifier le processus d’intégration en attribuant des accès et des droits par fonction, par rôle ou ensemble de rôles. Grâce à lui, les nouvelles recrues de l’entreprise sont opérationnelles et productives dès le premier jour.

Explorer l’intégralité des relations entre droit et fonction professionnelle

Le contrôle d’accès basé sur les rôles fonctionne de la manière suivante : en explorant chaque rôle de manière automatisée, il permet de mettre à plat l’intégralité des relations entre les droits d’un utilisateur et sa fonction professionnelle. Dans le cadre de ce système de gestion, les rôles sont strictement définis, quand ils ne dérivent pas d’attributs existants pour les utilisateurs (critères d’association utilisateur/droit). Dans ce processus, plusieurs familles d’approches existent, ascendantes, descendantes et hybrides. Dans le cas d’une approche ascendante, les rôles sont établis à partir d’associations de droits d’utilisateurs communs à un même groupe. Dans l’approche descendante, les rôles dérivent de l’associations de droits d’utilisateurs avec une fonction ou une organisation (ce sont alors aux gestionnaires de définir ces rôles, pour les tâches ou les organisations qu’ils contrôlent). Pour sa part, l’approche hybride combine ces deux approches : elle repose à la fois sur des associations de droits d’utilisateurs groupés et sur des fonctions ou organisations.

Nous le voyons bien : l’automatisation réduit de plus en plus la complexité et l’ampleur des accès qui concernent toute organisation. Grâce à l’IA, le programme d’identités s’adapte de manière dynamique – en temps réel – à l’évolution des accès. Au final, le contrôle basé sur les rôles assainit le système informatique, rationalise la maintenance des rôles et améliore leur qualité. C’est dès lors la sécurité de l’organisation qui y gagne dans son ensemble, c’est-à-dire sa robustesse et sa pérennité.