PBAC vs ABAC : quelles différences ?

Avec l’évolution rapide de la technologie, on assiste à une migration massive des industries et des grandes organisations vers le cloud. Presque toutes les ressources, données et autres entités informatiques des entreprises y sont désormais stockées. Ce nouveau développement implique la mise en place de mesures de sécurité renforcées et plus efficaces afin de prévenir toute forme de menace pesant sur la sécurité du cloud.

PBAC vs ABAC

Le contrôle d’accès basé sur des politiques − « Policy Based Access Control » en anglais (PBAC) − et le contrôle d’accès basé sur des attributs − « Attribute Based Access Control » (ABAC) − sont des dispositifs de contrôle d’accès qui assurent la sécurité au sein des organisations. Mais qu’offrent-ils comme sécurité, et sur quels principes fonctionnent-ils exactement ? En quoi ces systèmes sont-ils différents l’un de l’autre ?

Policy Based Access Control

Le Policy Based Access Control, ou PBAC, est une stratégie de contrôle d’accès qui intègre le rôle d’un utilisateur aux politiques définies par l’organisation pour accorder un accès autorisé au système. Ces politiques sont centrées sur les rôles de l’utilisateur et certaines autres caractéristiques au sein de l’organisation. En d’autres termes, le PBAC accorde l’accès à un système sécurisé en fonction des politiques établies par l’entreprise. Dans une certaine mesure, le rôle de l’utilisateur est pris en compte, mais pas de manière aussi approfondie que dans le cas du RBAC (Role Based Access Control)¹.

Quelles sont les composantes du PBAC ?

Le PBAC, comme toute autre mesure de contrôle d’accès, agit sur ces trois éléments de base : le sujet, l’objet et la demande d’accès ou l’action. Le sujet est l’utilisateur qui demande l’accès au fichier ou au système sécurisé. Il est déterminé en fonction du titre, de la division, des qualifications, des certifications ou de la formation. L’objet est la ressource ou l’entité à laquelle le sujet veut accéder. Il peut s’agir d’un projet, d’un fichier, d’un document ou même d’argent. La demande/action est l’opération qui est effectuée. Il peut s’agir d’un accès, d’un achat ou d’une subvention. Pour le PBAC, les politiques correspondent aux principes que l’organisation a établis chaque fois qu’il est nécessaire d’accéder à un actif sécurisé.

Ainsi, si dans une entreprise la politique stipule que seuls les chefs d’équipe en poste depuis cinq ans peuvent accéder à un fichier sécurisé, cela signifie que le sujet doit être un chef d’équipe (Titre), que l’objet est le fichier sécurisé et que l’action est l’accès. Les trois éléments sont vérifiés; cependant, si le chef d’équipe n’est en poste que depuis trois ans, son accès au fichier lui est refusé en raison de la politique adoptée, même s’il répond aux critères des éléments de base.

La politique établie par l’entreprise ou l’organisation constitue donc un facteur décisif dans la mise en place d’une stratégie PBAC.

Attribute Based Access Control

L’Attribute Based Access Control, ou ABAC, est une autre stratégie de contrôle d’accès qui accorde l’accès en fonction des attributs de l’utilisateur. Cette stratégie de contrôle contient trois éléments : le sujet, l’objet et l’action. L’environnement fait également partie de ses éléments et peut inclure le lieu, le dispositif ou le temps.

PBAC vs ABAC

L’ABAC permet l’accès sur la base des attributs de l’utilisateur. Au lieu de faire défiler manuellement la relation entre un sujet et un objet, l’accès est plutôt automatisé. Lorsque les attributs d’un sujet changent, l’accès du sujet change également.

Dans une entreprise, tous les membres de l’équipe peuvent accéder à un fichier sécurisé de 9h à 17h tous les jours, mais seul un chef d’équipe peut y accéder après 17h et jusqu’à 21h.

Ainsi, dans le premier cas, le sujet correspond aux membres de l’équipe, l’objet est le fichier sécurisé, l’action est l’accès et le facteur environnemental est le temps (9h-17h). Cela signifie que vous ne pouvez pas accéder au fichier tant que vous n’avez pas rempli les trois premiers éléments. Vous devez donc être un membre de l’équipe demandant l’autorisation d’accéder à un fichier sécurisé particulier, et tout ce que vous voulez, c’est y accéder. Vous disposez ensuite d’une autorisation pour accéder au fichier de 9 à 17 heures ; en dehors de cette période, aucune action n’est autorisée, sauf si le sujet est un chef d’équipe.

Si l’un des membres de l’équipe devient chef d’équipe, l’attribut est modifié de sorte que l’accès change automatiquement. Le nouveau chef d’équipe peut dès lors accéder au fichier au-delà de 17h. Les experts en sécurité n’ont quant à eux pas besoin d’ajuster manuellement les autorisations des nouveaux membres. Tout ce qu’ils ont à faire est de changer l’attribut.

Efficacité et limites des systèmes PBAC et ABAC

L’ABAC et le PBAC ont tous deux leurs avantages et leurs inconvénients. Nous allons à présent examiner dans quelles mesures ces systèmes sont efficaces et où se situent leurs faiblesses.

L’ABAC, un système performant à différents titres

  • Automatisation : Avec l’ABAC, vous n’avez pas à gérer le contrôle d’accès manuellement. Une fois le système de contrôle mis en place et les attributs de chaque membre de l’organisation définis, le système ABAC devient automatisé. Ainsi, au lieu de modifier manuellement l’accès lorsque les rôles, les règles ou les politiques changent, l’accès précédent est révoqué pour le sujet une fois que ses attributs sont modifiés. La permission correspondante est accordée automatiquement.
  • Granularité : Une fois configuré, l’ABAC n’est pas si compliqué à contrôler. Si des changements devaient se produire dans le système, il s’agirait de changements dans les attributs du sujet. Le système est donc plus facile à maintenir car il n’est pas nécessaire de créer et de modifier constamment les rôles.
  • Éléments de sécurité/confidentialité : L’ABAC offre un niveau de sécurité élevé. Il peut être utilisé dans les grandes entreprises et organisations pour protéger les fichiers et les ressources des sociétés et des clients en limitant et en contrôlant leur accès.

L’ABAC, un modèle complexe qui offre une visibilité limitée

  • Complexité : La stratégie ABAC n’est pas très complexe une fois la configuration terminée. Cependant, la mise en place de cette configuration s’avère particulièrement difficile. Il faut du temps, des efforts et de l’énergie pour rassembler les attributs de chaque personne et les structurer en fonction des autres éléments qui correspondent à leur description. L’objectif est d’atteindre un haut niveau de précision et d’éviter toute erreur.
  • Manque de transparence et de visibilité : L’ABAC ne présente pas le même niveau de transparence et de visibilité que les autres mesures de contrôle d’accès. Il est relativement difficile d’identifier chaque ressource à laquelle un utilisateur peut accéder. Contrairement au RBAC, qui utilise les rôles, et au PBAC, qui utilise les politiques, l’ABAC nécessite une vérification approfondie pour savoir quel sujet peut accéder à quelle ressource.

Le PBAC, un modèle flexible à forte adaptabilité

  • Flexibilité : Le PBAC est flexible et peut être utilisé sur n’importe quelle technologie, appareil ou application. Tout ce que vous devez contrôler, c’est la politique, qui se reflétera dans tous les aspects du système sécurisé et s’appliquera à chaque utilisateur qui souhaite y accéder.
  • Scalabilité : Ce système est assez flexible et facile d’utilisation. Il vous suffit de rédiger une politique une seule fois, et celle-ci affectera tous les paramètres à chaque fois qu’un utilisateur fera une demande d’accès. Vous ne dépendez plus exclusivement de l’équipe informatique pour prendre le contrôle ; la politique définie peut facilement être mise en œuvre par les utilisateurs disposant d’un accès autorisé. Elle s’applique au projet en cours, ainsi qu’aux projets à venir, et ce jusqu’à ce qu’il y ait un changement dans la politique de l’organisation.

Les problèmes de compatibilité du système PBAC

Aussi passionnant et facile à mettre en œuvre qu’il puisse paraître, le PBAC n’est pas nécessairement compatible avec toutes les organisations. En effet, toutes ne sont pas en mesure d’établir des politiques qui affecteraient l’accès aux ressources sensibles sans compromettre la sécurité. Toutes les entreprises n’y trouveront pas leur compte.

PBAC vs ABAC : Quelle solution choisir pour mon organisation ?

En matière de sécurité, les deux solutions se montrent à la hauteur et sont assez efficaces pour tenir les cybermenaces à distance. Le système ABAC permet toutefois d’atteindre un niveau de sécurité plus élevé que les autres modèles de contrôle d’accès. Il est également relativement élaboré et est utilisé dans les grandes organisations en raison de sa complexité et du coût de sa mise en place.

PBAC et ABAC peuvent être complétés ou même remplacés par une approche à base de Persona. La nouvelle version de la solution IAM d’inWebo propose cette évolution.

Qu’est-ce que le PBAC ?

Le contrôle d’accès basé sur la politique, ou « Policy Based Access Control » en anglais (PBAC) est une stratégie de contrôle d’accès intégrant le rôle d’un utilisateur aux politiques de l’organisation afin d’accorder un accès autorisé à un système. Le PBAC, comme toute autre mesure de contrôle d’accès, agit sur ces trois éléments de base : le sujet, l’objet et la demande d’accès ou l’action.

Qu’est ce que l’ABAC ?

Le contrôle d’accès basé sur l’attribut, ou « Attribute Based Access Control » en anglais (ABAC) est une stratégie de contrôle d’accès contenant 3 éléments : le sujet, l’objet et l’action. Cette dernière confère des accès sur la base des attributs des utilisateurs. Au lieu de faire défiler manuellement la relation entre un sujet et un objet, l’accès est automatisé. Lorsque les attributs d’un sujet changent, l’accès du sujet change également.

Pourquoi mettre en place une stratégie de contrôle des accès ?

Dans un monde digital en pleine expansion, les grandes organisations et entreprises font de plus en plus confiance au cloud et y stockent leurs ressources, données et autres entités informatiques. La mise en place d’une stratégie de contrôle des accès efficace et adaptée est alors indispensable pour prévenir toute forme de menace pesant sur la sécurité du cloud.

L'authentification forte MFA sans compromis

Contactez-nous pour une démo ou pour demander l'ouverture de votre compte de test

Très haut niveau de sécurité

inWebo MFA détient la technologie unique et brevetée des clés dynamiques aléatoires qui lui permet de proposer le plus haut niveau de sécurité du marché. Solution certifiée par l’ANSSI.

Intégration et déploiement facile

Accessible en Saas, riche en connecteurs, API et SDK, inWebo MFA s’adapte à vos contraintes techniques, sans vous en imposer de nouvelles. Déployez un MFA rapidement et à grande échelle, sans contact humain et sans logistique.

Expérience utilisateur passwordless et deviceless

inWebo vous permet d’offrir une expérience utilisateur simplifiée, étendue à toutes les dimensions de l’authentification, de l’enrôlement à la connexion grâce à ses tokens universels, passwordless et deviceless.

Recevez toute l'actualité de l'authentification forte

Nos dernières actualités

Demandez une demo