Contrôles RBAC/ABAC

Contrôles RBAC/ABAC

Les contrôles RBAC et ABAC sont des méthodes de gestion des accès aux systèmes informatiques. Ils permettent de décider qui peut faire quoi dans un système d'information.

Ces contrôles sont utilisés pour sécuriser les données, limiter les risques et respecter les règles internes et légales.

Qu’est-ce que les contrôles RBAC/ABAC ?

RBAC signifie "Role-Based Access Control", ou contrôle d'accès basé sur les rôles. Il accorde des permissions selon le poste ou la fonction d’un utilisateur.

ABAC signifie "Attribute-Based Access Control", ou contrôle d'accès basé sur les attributs. Il prend en compte plusieurs facteurs comme l'identité, l'heure, la localisation ou le type de ressource.

Ces deux modèles permettent de déterminer de manière automatique si un utilisateur peut accéder à une information ou une action.

À quoi servent les contrôles RBAC/ABAC ?

Ils sont utilisés pour protéger l’accès aux données sensibles. Ils assurent que seules les personnes autorisées peuvent consulter ou modifier certaines informations.

Par exemple, dans une entreprise, un collaborateur RH peut accéder aux données de paie, mais pas un développeur. Un logiciel médical peut limiter les accès aux dossiers selon le profil (médecin, infirmier, administratif).

Ces contrôles servent aussi à réduire les erreurs humaines et à respecter les exigences réglementaires comme le RGPD ou ISO 27001.

Comment fonctionne RBAC ?

Le principe est simple : on attribue un ou plusieurs rôles à chaque utilisateur. Chaque rôle donne des droits précis.

Par exemple :

• Le rôle "Comptable" donne accès aux factures et aux paiements
• Le rôle "Support" permet de voir les tickets et de les modifier
• Le rôle "Manager" peut consulter les plannings de son équipe

L’intérêt de RBAC est sa simplicité. On gère les accès par groupe, sans devoir personnaliser chaque compte.

Comment fonctionne ABAC ?

ABAC est plus flexible. Chaque autorisation dépend de plusieurs attributs. Ces attributs concernent :

• L’utilisateur (ex. : service, ancienneté, localisation)
• La ressource (ex. : type de document, niveau de confidentialité)
• Le contexte (ex. : heure, appareil utilisé, statut du fichier)

Par exemple, un utilisateur peut accéder à un document si :

• Il est dans le service “Marketing”
• Le document est classé “interne”
• La connexion est faite en semaine entre 8h et 18h

ABAC permet des règles plus précises, adaptées à des cas complexes. Mais sa mise en place demande plus de travail technique.

Différences avec des notions proches

Le RBAC repose sur les rôles, donc sur une organisation en groupes. Il est plus facile à maintenir dans une petite structure ou avec peu de changements.

L’ABAC repose sur des règles dynamiques. Il s’adapte mieux aux grandes organisations ou aux environnements à fortes contraintes de sécurité.

Ils sont parfois combinés pour couvrir à la fois les besoins simples (RBAC) et les règles plus fines (ABAC).

Exemples ou cas d’usage concrets

Dans un hôpital, les médecins peuvent consulter les dossiers médicaux, mais uniquement ceux de leurs patients. C’est un exemple d’ABAC : la règle dépend du rôle (médecin) et d’un attribut (relation médecin-patient).

Dans une entreprise de services, la comptabilité peut valider les notes de frais. C’est du RBAC. Un profil “Comptable” a reçu ce droit via son rôle.

Dans une banque, l’accès à certains fichiers est interdit quand la connexion est faite hors du réseau interne. C’est de l’ABAC, basé sur le contexte (réseau, appareil, horaire).

Dans une plateforme SaaS, un manager peut modifier les accès de ses équipes mais pas ceux d’un autre service. C’est un mélange de RBAC (manager) et d’ABAC (périmètre d’équipe).