ACL est l’acronyme de « Access Control List », ou « liste de contrôle d’accès » en français.
Ce système permet de définir qui peut accéder à une ressource numérique, et avec quels droits.
ACL est un outil essentiel pour la sécurité informatique dans les entreprises et organisations.
Qu’est-ce que ACL ?
Une ACL est un mécanisme de sécurité utilisé dans les systèmes informatiques.
Elle permet de contrôler l’accès aux fichiers, répertoires, serveurs ou applications.
Chaque ressource possède une liste précisant quels utilisateurs ou groupes y ont accès.
Ces accès sont définis selon des droits précis : lecture, écriture, exécution, etc.
À quoi sert ACL ?
ACL sert à restreindre l’accès aux données sensibles. Elle évite que des personnes non autorisées puissent les consulter ou les modifier.
Elle est utilisée dans les systèmes d’exploitation (Windows, Linux), les bases de données ou les solutions cloud.
Par exemple, dans une entreprise, seules les personnes du service RH peuvent accéder aux dossiers des salariés. Cette restriction est gérée via une ACL.
Comment fonctionne ACL ?
Chaque élément protégé (fichier, répertoire, ressource) possède une ACL rattachée.
Cette ACL contient une série de règles. Chaque règle indique :
- l’utilisateur ou le groupe concerné
- le type d’accès accordé (lecture, écriture...)
Lorsqu’un utilisateur tente d’accéder à une ressource, le système vérifie la présence d’une autorisation dans l’ACL.
S’il n’y a pas de droit défini pour cet utilisateur, l’accès est refusé par défaut.
Différences avec des notions proches
ACL est souvent comparée aux permissions traditionnelles dans les systèmes UNIX, qui reposent sur le trio propriétaire/groupe/autres.
Les ACL sont plus flexibles, car elles permettent de définir des droits spécifiques pour plusieurs utilisateurs ou groupes, au lieu de se limiter à trois catégories.
Il existe aussi un autre concept lié : RBAC (Role-Based Access Control). Avec RBAC, les droits sont attribués à des rôles (ex. : manager, analyste), que l’on associe ensuite aux utilisateurs.
ACL est plus granulaire : elle peut être appliquée au niveau de chaque ressource. RBAC est global et plus abstrait.
Exemples ou cas d’usage concrets
Un administrateur système configure une ACL pour qu’un fichier confidentiel ne soit accessible qu’aux membres du service juridique.
Dans une application SaaS, l’ACL permet de limiter les fonctionnalités accessibles selon le type d’abonnement du client.
Une base de données utilise une ACL pour restreindre l’accès à certaines tables en fonction du service utilisateur (RH, Finance...).
Dans le cloud, des ACLs sont utilisées pour contrôler l’accès à des ressources API, des buckets de stockage ou des services réseau.