La question de la pro­tec­tion des données est fré­quem­ment relayée par les médias et constitue un sujet d’une grande actualité. Pour les en­tre­prises, le contrôle d’accès s’inscrit dans la stratégie de sécurité in­dis­pen­sable pour que les données des clients et les in­for­ma­tions sensibles de l’en­tre­prise ne soient pas ac­ces­sibles à des personnes non au­to­ri­sées et qu’elles ne puissent pas faire l’objet d’un usage mal­veil­lant. Chaque uti­li­sa­teur dispose donc de droits d’accès res­treints qui sont contrôlés sys­té­ma­ti­que­ment lorsqu’il cherche à accéder à des données.

Pour mettre en œuvre et pour gérer ces contrôles d’accès, il existe dif­fé­rents modèles, dont le Mandatory Access Control. Ce modèle est aussi employé dans les secteurs comme l’armée et les instances gou­ver­ne­men­tales, des secteurs où il est capital de protéger les données contre un usage abusif. Nous vous ex­pli­quons ci-dessous le fonc­tion­ne­ment de ce contrôle d’accès ré­gle­menté, et vous pré­sen­te­rons par la même occasion ses forces et ses fai­blesses.

Qu’est-ce que le Mandatory Access Control ?

Pour protéger les données ou les pa­ra­mètres d’un système contre tout accès non autorisé ou contre une mo­di­fi­ca­tion mal­veil­lante, les en­tre­prises at­tri­buent gé­né­ra­le­ment à tout uti­li­sa­teur un accès restreint aux fichiers dont il a besoin dans l’exercice de ses fonctions. Définir et attribuer ces droits d’accès reste cependant une tâche complexe pour les petites et moyennes en­tre­prises. Une en­tre­prise se décline gé­né­ra­le­ment en dif­fé­rents services, comme par exemple le service financier, le service com­mer­cial et les res­sources-humaines. Le personnel de chacun de ces services a besoin d’un droit d’accès spé­ci­fique, lui per­met­tant de réaliser les tâches qui lui sont confiées. Certains employés ont par ailleurs besoin de droits d’accès élargis pour assumer certaines res­pon­sa­bi­li­tés ou fonctions spé­ci­fiques. Pour pouvoir mettre en œuvre et contrôler ces dif­fé­rents droits d’accès, dif­fé­rentes stra­té­gies de sécurité ont été conçues, parmi les­quelles le Mandatory Access Control (MAC) ou Contrôle d’Accès obli­ga­toire. Grâce à une telle stratégie, chaque uti­li­sa­teur bénéficie d’un accès restreint aux seules res­sources dont il a vé­ri­ta­ble­ment besoin. Le terme « obli­ga­toire » implique cependant que le contrôle d’accès repose sur des règles clai­re­ment définies qu’il est impératif de respecter.

Remarque
On entend par Res­sources les objets, les fichiers ou les systèmes in­for­ma­tiques.

L’or­ga­ni­sa­tion des droits d’accès dans le MAC

Les droits d’accès sont ad­mi­nis­trés de façon cen­tra­li­sée. Gé­né­ra­le­ment, la personne qui assume cette fonction est quelqu’un qui connaît bien la ré­par­ti­tion des tâches au sein de l’en­tre­prise ou de l’or­ga­ni­sa­tion. Cela permet ainsi à chacun d’exercer plei­ne­ment ses fonctions sans être restreint dans son travail en raison de droits manquants. Dans une en­tre­prise, c’est gé­né­ra­le­ment l’ad­mi­nis­tra­teur système qui assume cette tâche. La mise en œuvre et la réac­tua­li­sa­tion per­ma­nente se fait gé­né­ra­le­ment au moyen du système d’ex­ploi­ta­tion ou d’un noyau de sécurité. Si un uti­li­sa­teur tente d’accéder aux données, le système valide ou non son accès. L’avantage de cette ap­pli­ca­tion au­to­ma­tique est qu’elle exclut ef­fi­ca­ce­ment les accès mal­veil­lants.

La va­li­da­tion des dif­fé­rents droits d’accès est définie sur la base des facteurs suivants :

  • Les uti­li­sa­teurs et les processus
  • Les objets (les res­sources aux­quelles on accède)
  • Des règles et des pro­prié­tés : ca­té­go­ri­sa­tions, labels, mots de passe

Le contrôle d’accès obli­ga­toire repose sur une approche hié­rar­chique : chaque élément cons­ti­tuant un système de fichiers se voit assigner un niveau de sécurité qui dépend du degré de con­fi­den­tia­lité des données. Parmi les niveaux de sécurité, on a ty­pi­que­ment les mentions « con­fi­den­tiel » ou « top secret ». On attribue ce type de sécurité également aux uti­li­sa­teurs et aux appareils. Si un uti­li­sa­teur cherche à accéder à une ressource, le système vérifie au­to­ma­ti­que­ment si l’accès est autorisé ou non. Par ailleurs, on attribue une catégorie à toutes les in­for­ma­tions et à tous les uti­li­sa­teurs. Le système vérifie aussi au­to­ma­ti­que­ment cette adé­qua­tion lors d’une tentative d’accès. Pour pouvoir accéder aux données, l’uti­li­sa­teur doit répondre aux deux critères : le niveau de sécurité et la catégorie.

Note

le Role Based Access Control (contrôle d’accès basé sur les rôles) est un modèle de contrôle d’accès qui décline les processus de travail en dif­fé­rents rôles, et qui attribue les droits d’accès en con­sé­quence.

Les formes du Mandatory Access Control

On distingue deux formes de Mandatory Access Control :

Les systèmes de sécurité à multi-niveaux

Ce modèle est la forme simple et originale de MAC, composée d’une suite verticale de niveaux de pro­tec­tion et de sécurité. Les in­for­ma­tions ne circulent qu’à l’intérieur de ces domaines. Un niveau de sécurité est également assigné aux uti­li­sa­teurs. Ils peuvent ainsi accéder à leur niveau, et aux niveaux in­fé­rieurs.

Des systèmes de sécurité mul­ti­la­té­raux

Ces systèmes sont plus complexes et per­met­tent des accès sur la base de segments qui cons­ti­tuent un ensemble. Ces segments ont à leur tour des niveaux de sécurité et des mots de passe. Il en résulte un système de sécurité ho­ri­zon­tale qui renferme des niveaux de sécurité verticaux.

Quels sont les avantages et les in­con­vé­nients du MAC ?

Le Mandatory Access Control ou Contrôle d’Accès obli­ga­toire fait partie des contrôles d’accès les plus sécurisés, car on ne peut quasiment pas l’en­freindre. À la dif­fé­rence du RBAC, le système MAC ne permet aux uti­li­sa­teurs d’apporter aucune mo­di­fi­ca­tion. Le contrôle et l’at­tri­bu­tion des droits d’accès se font de façon par­fai­te­ment au­to­ma­tique par le système. De ce fait, le Mandatory Access Control offre un haut niveau de con­fi­den­tia­lité. Le système est par ailleurs ca­rac­té­risé par une ex­cel­lente intégrité. Sans au­to­ri­sa­tion préalable, il est im­pos­sible de modifier les données qui sont donc par­fai­te­ment à l’abri d’un usage mal­veil­lant.

La mise en œuvre d’un contrôle d’accès obli­ga­toire demande cependant une pla­ni­fi­ca­tion détaillée en amont, et son ad­mi­nis­tra­tion après im­plé­men­ta­tion impose un suivi important. Chaque as­sig­na­tion de droit sur des objets ou des uti­li­sa­teurs demande une vé­ri­fi­ca­tion et une réac­tua­li­sa­tion per­ma­nentes. Il en va de même des tâches d’entretien courantes, parmi les­quelles on compte l’ajout de nouvelles données, de nouveaux uti­li­sa­teurs, la prise en compte de mo­di­fi­ca­tions dans la ca­té­go­ri­sa­tion ou dans la clas­si­fi­ca­tion. Gé­né­ra­le­ment, l’at­tri­bu­tion de ces droits repose sur une seule personne. Cela garantit certes un niveau de sécurité élevé, mais re­pré­sente souvent une dose de travail im­por­tante pour l’ad­mi­nis­tra­teur.

Où utilise-t-on le MAC ?

Le haut niveau de con­fi­den­tia­lité et d’intégrité du Mandatory Access Control ou Contrôle d’Accès obli­ga­toire a imposé son usage dans les secteurs utilisant des données sensibles, notamment dans les en­vi­ron­ne­ments exposés sur le plan de la sécurité. C’est le cas par exemple de l’armée, des autorités gou­ver­ne­men­tales, du secteur de la politique, du commerce extérieur, du domaine de la santé et du service de ren­seig­ne­ments. Il n’est pas rare non plus que des en­tre­prises or­di­naires aient recours au MAC. Le système d’ex­ploi­ta­tion Security-Enhanced Linux (SELinux) est par exemple bâti sur l’im­plé­men­ta­tion d’un contrôle d’accès obli­ga­toire dans le noyau de Linux.

Note
SELinux utilise aussi deux autres mé­ca­nismes : le Type-En­for­ce­ment (TE) et le Role Based Access Control ou contrôle d’accès basé sur les rôles (RBAC).
Aller au menu principal