RBAC – Contrôle d’accès basé sur les rôles : qu’est-ce-que c’est ? À quoi ça sert ?

rbac

Un mot de passe volé peut-il vous offrir les clés de tout un royaume ? En fait, il apparaît que 81 % des vols de données qui ont eu lieu en 2017 ont utilisé des mots de passe volés ou faibles pour accéder au réseau.
Nous devons faire mieux que cela en 2018. Nous devons revoir les normes applicables à nos droits et mettre en œuvre un contrôle d’accès basé sur les rôles (RBAC) pour faire en sorte que les utilisateurs restent bien à la place qui leur a été attribuée sur le réseau.

Contrôle d’accès basé sur les rôles (RBAC) : qu’est-ce-que c’est ?

Le Contrôle d’accès basé sur les rôles (RBAC) est un concept de sécurité du réseau selon lequel le réseau accorde des droits aux utilisateurs en fonction de leur rôle dans l’entreprise. C’est simple comme bonjour : le service financier n’a pas le droit de mettre son nez dans les données du service des ressources humaines, et vice-versa.

Chaque utilisateur du réseau a un rôle, et chaque rôle a un ensemble de droits d’accès aux ressources de l’organisation. Par exemple, les employés du service financier ont accès au système de CRM en fonction de l’utilisation qu’ils en ont, à la messagerie électronique et au partage réseau dédié au service financier. Cela pourrait s’arrêter là.

Mis en œuvre correctement, un RBAC sera transparent pour les utilisateurs. L’affectation des rôles s’effectue en arrière-plan et chaque utilisateur a accès aux applications et données dont il a besoin pour travailler.

Pourquoi mettre en place un RBAC ?

RBAC

La mise en œuvre d’un Contrôle d’accès basé sur les rôles optimise l’efficacité opérationnelle, protège les données des risques de fuite ou de vol, réduit le travail d’administration et d’assistance informatique, et aide à répondre aux besoins d’audit.

Les utilisateurs doivent pouvoir accéder aux données dont ils ont besoin pour faire leur travail – leur accorder un accès à des données qui ne leur sont pas utiles nuit à la sécurité et augmente le risque de fuite, vol, altération ou piratage des données. Les hackers n’aiment rien autant qu’accéder à un seul compte et se déplacer latéralement sur le réseau pour rechercher des données qu’ils pourraient vendre. Si vous avez mis en place un RBAC efficace, les hackers se heurtent à un mur dès qu’ils tentent de sortir de la bulle du rôle de l’utilisateur qu’ils ont piraté.

Bien évidemment, la situation est grave lorsqu’il s’avère qu’un compte a été piraté. Mais cela pourrait être tellement pire si cet utilisateur avait accès à toutes les données sensibles. Même si l’utilisateur concerné travaille aux ressources humaines et a accès à des informations personnellement identifiables (PII), le hacker n’aura pas la possibilité de se déplacer facilement pour accéder aux données des équipes financières et de direction.

Le RBAC réduit également la charge de travail informatique et d’administration de l’organisation et améliore la productivité des utilisateurs. Même si cela semble peu logique au premier abord, cela tombe sous le sens si l’on prend la peine d’y réfléchir. L’informatique n’a pas à gérer des droits personnalisés pour chaque utilisateur, et les utilisateurs concernés accèdent plus facilement aux bonnes données.

Gérer de nouveaux utilisateurs et des utilisateurs invités peut être difficile et prendre du temps, mais si un RBAC définit ces rôles avant qu’un utilisateur ne rejoigne le réseau, le problème est résolu d’emblée. Dès que des invités et nouveaux utilisateurs rejoignent le réseau, leur accès est prédéfini.

Enfin, il est prouvé qu’un RBAC fait faire d’importantes économies à l’entreprise. En 2010, RTI a publié un rapport intitulé « The Economic Impact of Role-Based Access Control » qui explique qu’un RBAC génère un important retour sur investissements. Dans le cas d’une entreprise de services financiers imaginaire comprenant 10 000 employés, RTI estime que le RBAC permettra d’économiser pour 24 000 dollars de main d’œuvre informatique, et pour 300 000 dollars d’indisponibilité des employés, chaque année. L’automatisation du processus d’accès des utilisateurs vous permettra d’économiser bien plus que cela, rien qu’au niveau de la main d’œuvre informatique. Une occasion rêvée d’obtenir une augmentation.

Après implémentation, votre réseau sera beaucoup plus sûr qu’avant et vos données seront bien mieux protégées contre le vol. Et, autre avantage, la productivité de vos utilisateurs et de votre équipe informatique sera renforcée. Pour nous, il n’y a pas d’hésitation à avoir.

RBAC : une mise en œuvre en 3 étapes

Quelle est la meilleure façon de mettre en œuvre des Contrôles basés sur les rôles ? Pour partir sur de bonnes bases, respectez les étapes suivantes :

  1. Définissez les ressources et services que vous fournissez à vos utilisateurs (c’est-à-dire messagerie électronique, CRM, partages de fichiers, CMS, etc.)
  2. Créez une bibliothèque de rôles : faites correspondre les descriptions de postes aux ressources définies à l’étape 1 nécessaires à la réalisation de leur mission
  3. Affectez les utilisateurs aux rôles définis.

La bonne nouvelle, c’est que vous pouvez automatiser ce processus : Varonis DatAdvantage permet de savoir qui utilise activement les partages de fichiers de manière régulière et qui ne les utilise pas. En attribuant aux rôles des droits d’accès aux fichiers, vous désignerez aussi un propriétaire de données pour les partages. Ce propriétaire de données est responsable à long terme des accès des utilisateurs aux données, et peut facilement accepter et refuser les demandes d’accès émises depuis l’interface Varonis DataPrivilege. Lorsque vous affectez des rôles, Varonis peut aussi vous fournir des capacités de modélisation grâce auxquelles vous voyez ce qui se passe si vous révoquez l’accès à un dossier pour ce rôle, avant de valider la révocation.

Une fois l’implémentation terminée, le système doit impérativement rester propre. Aucun droit ne correspondant pas au rôle d’un utilisateur ne doit lui être attribué de manière permanente. DataPrivilege autorise les accès temporaires aux partages de fichier, sur demande, de manière à ce que la première règle soit respectée. Il sera toutefois nécessaire de prévoir un processus de modification permettant d’ajuster les rôles en fonction des besoins.

Et, bien sûr, vous devez organiser une surveillance et un audit réguliers de l’ensemble de ces ressources critiques. Vous devez savoir si un utilisateur tente d’accéder à des données ne correspondant pas à son rôle, ou si un droit non conforme au rôle d’un utilisateur a été ajouté.

Les personnes malintentionnées utiliseront plusieurs tactiques pour percer votre sécurité. Une plate-forme efficace de surveillance et d’analyse de la sécurité des données imposera les règles définies dans votre RBAC, enverra des alertes à votre équipe de sécurité et fournira des informations qui décourageront les tentatives de piratage tout en coupant court aux vols de données.