Évaluation des systèmes de contrôle d’accès : du DAC au PBAC

Dans le paysage cyberphysique en constante évolution d’aujourd’hui, sécuriser l’accès aux informations et aux ressources sensibles est essentiel au bon fonctionnement de toute entreprise. L’un des aspects essentiels de la sécurisation des systèmes consiste à mettre en place des mécanismes de contrôle d’accès efficaces. Le Contrôle d’accès discrétionnaire (DAC ou Discretionary Access Control) est un modèle de contrôle d’accès qui permet aux entreprises de définir et d’appliquer des autorisations selon le principe de discrétion de chaque utilisateur. De quoi s’agit-il et en quoi cet outil est-il différent du Contrôle d’accès basé sur des règles (PBAC) ? Ne vous inquiétez pas, nous allons en parler.

Comprendre le Contrôle d’accès discrétionnaire (DAC)

Dans le contexte de la sécurité physique, le DAC joue un rôle essentiel dans la protection des systèmes cyberphysiques. En mettant en œuvre le DAC, les organisations peuvent réglementer l’accès aux infrastructures critiques, en veillant à ce que seul le personnel autorisé puisse interagir avec ces systèmes. Par exemple, sur un site industriel, le DAC peut être utilisé pour contrôler l’accès aux machines sensibles ou aux systèmes de contrôle opérationnel, empêchant les personnes non autorisées de forcer ou de perturber des processus cruciaux.

Le principe du moindre privilège est un concept fondamental du DAC qui encourage l’idée d’accorder aux utilisateurs uniquement le niveau d’accès minimum nécessaire pour effectuer leurs tâches. En respectant ce principe, les organisations peuvent minimiser les dommages potentiels causés par une mauvaise utilisation accidentelle ou intentionnelle des privilèges. Dans le contexte d’un environnement cyberphysique, cela garantit que les individus ne peuvent accéder qu’aux composants spécifiques dont ils ont besoin pour leur travail, réduisant ainsi la surface d’attaque et empêchant les modifications non autorisées.

Améliorer le contrôle des accès grâce au Contrôle d’accès basé sur des règles (PBAC)

Bien que le DAC fournisse un cadre flexible pour le contrôle d’accès, il n’est pas toujours suffisant pour répondre à des exigences de sécurité complexes. C’est là que le PBAC entre en jeu. Le PBAC est un modèle de contrôle d’accès qui utilise des stratégies pour définir des droits d’accès en fonction de divers attributs et conditions. En tirant parti du PBAC, les entreprises peuvent mettre en œuvre des mécanismes de contrôle d’accès plus sophistiqués qui s’alignent sur leurs besoins spécifiques en matière de sécurité.

Dans un système PBAC, les politiques de sécurité définissent les conditions dans lesquelles l’accès est accordé ou refusé. Ces politiques prennent en compte les attributs tels que les rôles d’utilisateur, le temps d’accès, l’emplacement et la sensibilité de la ressource accessible. Le PBAC peut compléter le DAC en permettant aux organisations d’appliquer des politiques de contrôle d’accès granulaires qui correspondent à leurs exigences de sécurité spécifiques.

Dans un environnement cyberphysique, le PBAC aide à établir des politiques de sécurité complètes en tenant compte non seulement des utilisateurs et de leurs autorisations, mais aussi des facteurs contextuels qui peuvent avoir un impact sur les décisions d’accès. Par exemple, dans un établissement de haute sécurité, une politique PBAC peut, pour certaines personnes, limiter l’accès à certaines zones et pendant certaines périodes, même si elles disposent des autorisations DAC requises. Le PBAC ajoute un niveau de sécurité supplémentaire et garantit que les décisions de contrôle d’accès correspondent aux objectifs de sécurité globaux de l’entreprise.

Le PBAC facilite également le contrôle dynamique des accès, permettant aux entreprises d’adapter les autorisations d’accès en temps réel en fonction de changements de contexte ou de l’évolution des menaces. Cette capacité est particulièrement cruciale dans les systèmes cyberphysiques, où l’environnement physique et les risques associés peuvent fluctuer rapidement. En associant le DAC et le PBAC, les entreprises peuvent mettre en place un système de contrôle d’accès robuste et adaptatif qui répond aux défis de sécurité complexes posés par les environnements cyberphysiques.

Centraliser

La mise en place de mécanismes de contrôle d’accès robustes est indispensable pour assurer la sécurité des systèmes cyberphysiques. Le Contrôle d’accès discrétionnaire (DAC) donne aux individus le contrôle de leurs ressources et leur permet de définir les autorisations d’accès via les listes de contrôle d’accès (ACL). En matière de sécurité physique, le DAC joue un rôle essentiel en permettant au personnel autorisé d’accéder aux infrastructures sensibles tout en empêchant tout accès non autorisé. De plus, l’intégration du contrôle d’accès basé sur des règles (PBAC) améliore davantage les mécanismes de contrôle d’accès en permettant aux organisations de définir des politiques de sécurité basées sur des facteurs contextuels. En s’appuyant en même temps sur le DAC et le PBAC, les entreprises peuvent mettre en place un système de contrôle d’accès complet qui crée un équilibre entre la discrétion individuelle, l’administration centralisée et les politiques de sécurité dynamiques, garantissant la protection des systèmes cyberphysiques et minimisant les vulnérabilités.

Contactez Alert Enterprise afin de découvrir comment contrôler l’accès, en fonction des calendriers et des spécifications individuels, grâce au tout premier service cloud de contrôle d’accès basé sur des politiques.

Parlons-en ensemble.

David Cassady

Directeur de la stratégie

Depuis plus de 30 ans, David Cassady évolue dans le secteur de la vente et dirige des équipes dans la Silicon Valley. Au cours de cette période, il a aussi bien contribué à la réussite de grands noms de l’industrie que de start-ups. David a également participé à cinq introductions en bourse, et au moins autant d’acquisitions. 

En tant que directeur de la stratégie, David tire parti de son immense expérience en aidant les éditeurs de logiciels à stimuler leur croissance grâce à des partenariats approfondis et percutants avec les meilleurs prestataires SaaS du marché mondial que sont ServiceNow, Microsoft ou SAP. 

Mark Weatherford

Directeur de la sécurité
Vice-président senior, Secteurs réglementés

Riche d’une longue expérience, Mark Weatherford est un spécialiste de haut vol dans le domaine de l’expertise cyberphysique. En tant que responsable de la sécurité (CSO) d’Alert Enterprise, il oriente la stratégie de gestion et de protection des données en émettant des recommandations sur les politiques et procédures de sécurité cyberphysique au sein de l’entreprise. Mark travaille également en liaison avec des entreprises et des cadres professionnels des secteurs de la cybersécurité et de la sécurité physique afin d’accélérer davantage l’adoption de la convergence de la sécurité.

Mark a occupé de nombreux postes de haut niveau dans le domaine de la technologie, notamment celui de vice-président et de responsable de la sécurité de North American Electric Reliability Corporation (NERC), de premier sous-secrétaire adjoint à la cybersécurité du ministère de la sécurité intérieure sous l’administration Obama, de responsable principal de la sécurité de l’État de Californie et de directeur de la sécurité informatique de l’État du Colorado.

Harsh Chauhan

Directeur de la technologie

En tant que directeur de la technologie (CTO) d’Alert Enterprise, Harsh Chauhan est responsable de l’innovation technologique en matière d’ingénierie et de la mise en œuvre de solutions pour l’entreprise. Véritable vétéran et leader des technologies depuis 20 ans, Harsh Chauhan se consacre pleinement au développement de la plateforme cloud hyperscale 3D GRC (gouvernance, risques et conformité) de l’entreprise.

Il continue également à développer des solutions intégrées avec des partenaires technologiques de premier plan tels que SAP, SAP NS2 et ServiceNow. Avant Alert Enterprise, M. Chauhan a occupé plusieurs postes de directeur technique. Il a aussi occupé des fonctions de directeur produits et de responsable du développement chez SAP GRC 10.0, en proposant notamment des solutions personnalisées à des clients SAP de premier plan.

Ruby Deol

Directrice des opérations

Ruby Deol supervise l’ensemble des unités opérationnelles d’Alert Enterprise. Avec plus de 20 ans d’expérience dans les services de vente et de support mondiaux, Ruby Deol cultive les relations client en plaçant chacun d’entre eux au premier plan. Face à la croissance continue d’Alert Enterprise en termes de reconnaissance et de stature, Ruby Deol a désormais la mission de développer et de mettre en œuvre des méthodes pour atteindre les objectifs internes et favoriser la transformation continue de l’entreprise.

Kaval Kaur

Directrice financière et cofondatrice

En tant que directrice financière (CFO) et cofondatrice d’Alert Enterprise, Kaval Kaur dirige toutes les opérations de back-office administratif et financier. Kaval Kaur est membre de l’organisation professionnelle nationale de l’American Institute of Certified Public Accountants (AICPA – Institut américain des experts-comptables) et de la California State CPA Society.

Avant de rejoindre Alert Enterprise, elle était directrice financière et cofondatrice de Virsa Systems, poste qu’elle a occupé jusqu’à son acquisition par SAP.

Kaval est une véritable philanthrope, qui apprécie la diversité de la région de la baie de San Francisco où elle assiste et assure la promotion de grands événements culturels. Elle a récemment parrainé 2 000 écoles publiques dans les zones rurales de l’Inde pour aider les enfants à acquérir des bases informatiques. Elle est mère adoptive d’un enfant âgé de 10 ans.

Jasvir Gill

Fondateur et PDG

Jasvir Gill, fondateur et PDG d’Alert Enterprise, Inc. est à la tête de la transformation numérique et de la convergence de la sécurité. Ingénieur de formation accompli, Jasvir est à l’origine de la transformation numérique longtemps espérée dans le secteur de la sécurité physique.

Avant de lancer Alert Enterprise, Jasvir Gill a créé et occupé le poste de PDG de Virsa Systems, une entreprise devenue leader mondial des logiciels de sécurité des applications. Pionnier dans la mise en place de politiques de gouvernance, de gestion des risques et de conformité en tant que segment du marché des logiciels, Virsa a bénéficié d’une croissance exponentielle, ce qui a largement contribué à son acquisition par SAP e 2006.

Pendant son temps libre, Jasvir participe à des projets communautaires d’émancipation sociale et économique. Il est également administrateur de l’American India Foundation.