CHAPITRE IV. CONTROLE D'ACCES AUX DONNEES

Introduction

Les contrôles d'accès furent de tout temps utilisés (le contrôle d'accès physique avec les gardes, ou l'accès administratif par la surveillance du passé d'un employé), mais le développement des nouvelles technologies a contraints à l'amélioration des techniques préexistantes. Le contrôle d'accès logique fut donc développé dès la création d'ARPANET. Ainsi, le DoD (Department of Defence),  développa le modèle Bell-La Padula pour assurer la confidentialité des informations, principalement dans ce contexte de guerre froide, ou encore Biba pour l'intégrité. D'autres modèles furent ensuite créés, ayant pour base certains principes de sécurité, et étant plus ou moins adaptés à certaines structures (gouvernementales ou économiques).

Le contrôle d'accès donne à une entité l'autorisation d'accéder aux ressources demandées, qu'elles soient physiques (accès à un bâtiment, une salle, un coffre, etc.) ou logiques (accès à certains dossiers, programmes, informations, etc.). Les deux principales entités définies dans le contrôle d'accès sont le sujet et les objets.

Le contrôle d'accès peut être décomposé en quatre étapes:

L'identification : le sujet désirant un accès à une ressource doit avant tout s'identifier, c'est-à-dire qu'il doit annoncer qu'il est.

Authentification : après l'identification, le sujet doit prouver son identité.

Droits d'accès : le sujet se voit attribuer les permissions qui lui ont été accordées vis-à-vis de la ressource sollicitée.

Traçabilité: après l'authentification, les actions du sujet seront tracées et conservées au sein d'une base de données ou d'un fichier de log.

IV.1. Définition du contrôle d'accès

Le contrôle d'accès est une technique qui consiste à soumettre l'entrée d'un établissement ou, de locaux à l'intérieur d'une entreprise, un système, à une autorisation d'accès^17(*).

Processus par lequel les données d'authentification fournies par une personne, ou toute autre entité, pour avoir accès à un centre ou à un système informatiques, sont comparées avec des valeurs de référence définies touchant cette entité, permettant ainsi l'autorisation ou le refus de l'accès demandé, qu'il soit physique ou logique. 

Le contrôle d'accès est donc un procédé qui consiste à reconnaître l'apparence des individus à une collectivité puis à autoriser leur accès en respect de conditions préétablies et à refuser l'accès aux personnes n'appartenant pas à cette collectivité ou ne respectant pas les conditions.

Le contrôle d'accès peut être attribué à un local, site ou à une machine ou un outil. Dans tous les cas un contrôle d'accès est différent d'un système de sécurité empêchant l'accès. De même une vérification n'est aucunement une identification.

Pour l'autorisation d'accès, il y a trois façons de prouver son identité face à un système informatique :

- de montrer ce que l'on sait (un mot de passe ou code).

- de montrer ce que l'on possède (un objet, telle une carte à puce, un badge).

- de prouver qui l'on est grâce à une caractéristique physique propre (biométrie).

Le contrôle d'accès est donc un moyen de ne laisser que les sujets autorisées à accéder à une ressource spécifique. Ainsi l'entreprise utilisera une politique de sécurité établie préalablement afin de définir quels sujets auront accès à tel ou tel objet. On pourrait prendre par exemple le cas de casiers privés (ou le contrôle d'accès physique serait obtenu par l'utilisation d'une clef) où la confidentialité des informations serait garantie. L'accès à la salle serveur uniquement à l'administrateur réseaux permet  d'éviter  une indisponibilité du réseau de l'entreprise par l'altération physique ou logique des équipements par d'éventuels attaquants, ou encore l'accès aux ressources seulement pour les personnes autorisées évite la modification des données par des individus considérés comme malveillant et préserve ainsi l'intégrité de ces dernières.

* ¹⁷BONHOMIE BOPE, Sécurité Informatique, Notes des Cours, Inédit, UPAC, L3 Génie Informatique, Année Académique 2015-2016