Skip to main content

Skillber v1.0 is here!

Learn more

Authentification et Autorisation

Checking access...

L’authentification vérifie qui vous êtes ; l’autorisation détermine ce que vous pouvez faire. Bien que ces deux concepts soient distincts, ils fonctionnent ensemble pour sécuriser l’accès aux applications, aux API et aux données. Ce module couvre en profondeur les protocoles, les modèles et les politiques qui constituent l’épine dorsale du contrôle d’accès en entreprise.

Le Paysage de l’Authentification

Facteurs d’Authentification

L’authentification repose sur trois catégories de facteurs, souvent combinés dans le cadre de l’authentification multi-facteurs (MFA) :

FacteurExemplesNiveau de SécuritéVulnérabilité
Quelque chose que vous savezMot de passe, NIP, phrase secrèteFaibleHameçonnage, réutilisation, force brute
Quelque chose que vous avezJeton OATH, smartphone, carte à puceMoyenPerte, vol, SMS intercepté
Quelque chose que vous êtesEmpreinte digitale, reconnaissance facialeÉlevéCoût du capteur, préoccupations de confidentialité
Quelque part où vous êtesGéolocalisation, adresse IP réseauFaible (contextuel)VPN, spoofing
Quelque chose que vous faitesDynamique de frappe, schéma de défilementMoyen (comportemental)Apprentissage automatique imparfait

Protocoles d’Authentification

ProtocoleTypeCas d’UsageSécurité
LDAPAnnuaireAuthentification d’entreprise en backendDéconseillé sans TLS
KerberosTicket réseauWindows Active Directory, SSO d’entrepriseTrès sécurisé dans un domaine
SAML 2.0Basé sur assertionSSO d’entreprise, fédération B2BBon (avec signature)
OIDCBasé sur jeton JWTSSO moderne, applications mobilesTrès bon (standardisé)
RADIUSAAA réseauWi-Fi, VPN, accès réseauBon (avec EAP)

Le Paysage de l’Autorisation

L’autorisation détermine ce qu’un utilisateur authentifié peut faire. Les modèles standard incluent :

Modèles d’Autorisation

ModèleGranularitéComplexitéPassage à l’ÉchelleMeilleur Pour
DAC (Discretionary Access Control)Contrôle par le propriétaireTrès faibleFaiblePetites équipes, fichiers partagés
MAC (Mandatory Access Control)Basé sur des étiquettes de sécuritéÉlevéeFaibleGouvernement, militaire
RBAC (Role-Based Access Control)Basé sur des rôles professionnelsFaible-MoyenneTrès bonneLa plupart des déploiements d’entreprise
ABAC (Attribute-Based Access Control)Basé sur des attributs (utilisateur, ressource, environnement)ÉlevéeExcellenteOrganisations complexes, cloud
ReBAC (Relationship-Based Access Control)Basé sur des relations entre entitésMoyenneExcellenteApplications sociales, SaaS multi-locataire

Module Roadmap

Méthodes d’Authentification

Facteurs d’authentification, hachage de mots de passe (Argon2id, bcrypt), NIST SP 800-63B, vecteurs d’attaque, FIDO2 et authentification sans mot de passe.

Authentification Multi-Facteurs (MFA)

Méthodes MFA (TOTP, push, WebAuthn, SMS), architectures de déploiement, RBA (Risk-Based Authentication), contournement de la MFA, stratégies d’atténuation.

Authentification Unique (SSO)

SAML 2.0 vs OIDC, flux initiés par SP et IdP, types de jetons, modèles de déploiement d’entreprise, risques de sécurité.

Autorisation OAuth 2.0

Types d’octroi OAuth 2.0, flux PKCE, types de jetons, OIDC comme couche d’identité, DPoP, changements OAuth 2.1.

Identité Fédérée

Concepts de fédération, modèles de confiance (direct, courtier, maillé), échange de métadonnées SAML, fédération OIDC, provisionnement SCIM.

RBAC — Contrôle d’Accès Basé sur les Rôles

Niveaux RBAC NIST, ingénierie des rôles descendante et ascendante, pièges (explosion de rôles, dérive des privilèges, rôles orphelins), meilleures pratiques.

ABAC et PBAC

Attributs ABAC, architecture XACML (PAP/PDP/PEP/PIP), politique en tant que code avec OPA/Rego, ReBAC (modèle Zanzibar), tableau comparatif des modèles.

Stratégies d’Autorisation

Spectre des modèles (DAC→ReBAC), hybrides (RBAC+ABAC), autorisation de microservices, modèles d’authentification API, cadre décisionnel.

Gestion des Politiques

Architecture PDP/PEP/PIP/PAP/PRP, algorithmes de combinaison de politiques, Rego vs Cedar vs XACML, cycle de vie des politiques avec GitOps.

Points Clés à Retenir

  • L’authentification vérifie l’identité à l’aide de trois facteurs (connaissance, possession, inhérence) — la MFA combine au moins deux facteurs pour une sécurité renforcée
  • L’autorisation détermine ce qu’un utilisateur authentifié peut faire via des modèles comme DAC, MAC, RBAC, ABAC et ReBAC — chaque modèle offre un équilibre différent entre granularité, complexité et passage à l’échelle
  • Les protocoles d’authentification évoluent de LDAP/Kerberos (sur site) à SAML/OIDC (cloud et fédéré), avec FIDO2/WebAuthn comme avenir sans mot de passe
  • La séparation entre authentification et autorisation est fondamentale : l’authentification répond “qui êtes-vous ?” tandis que l’autorisation répond “que pouvez-vous faire ?”
  • Choisir le bon modèle d’autorisation est une décision architecturale majeure — RBAC pour la simplicité et les déploiements standard, ABAC pour la granularité et le contexte, ReBAC pour les systèmes sociaux et multi-locataires
  • Les six prochaines pages approfondissent chaque méthode d’authentification et modèle d’autorisation, fournissant des conseils pratiques pour la mise en œuvre en entreprise