Skip to content

Expliquez DAC, MAC, RBAC et ABAC. Quand choisiriez-vous chacun ?

Réponse courte

DAC permet au propriétaire des données d'accorder l'accès à sa discrétion ; MAC applique l'accès de façon centralisée via des étiquettes/habilitations et est non discrétionnaire ; RBAC accorde l'accès via des rôles métier ; ABAC évalue des attributs (utilisateur, ressource, environnement) au regard d'une politique pour des décisions fines et contextuelles.

Le contrôle d'accès est un domaine central du CISSP, et cette comparaison montre si vous savez associer un modèle à un environnement réel plutôt que de réciter des acronymes.

DAC — Contrôle d'accès discrétionnaire

Le propriétaire de la ressource décide qui obtient l'accès et à quel niveau, généralement via des ACL. C'est flexible et courant dans les systèmes d'exploitation commerciaux (permissions de fichiers), mais cela passe mal à l'échelle et comporte des risques : un seul utilisateur peut trop partager, et le modèle est vulnérable aux logiciels malveillants agissant avec les droits de l'utilisateur.

MAC — Contrôle d'accès obligatoire

L'accès est non discrétionnaire et appliqué par le système sur la base d'étiquettes de sécurité (par exemple Confidentiel, Secret, Très secret) comparées à l'habilitation d'un sujet, ainsi qu'au besoin d'en connaître. Les propriétaires ne peuvent pas le contourner. Rigide et à haut niveau d'assurance, c'est pourquoi il domine les contextes militaires, du renseignement et autres environnements classifiés.

RBAC — Contrôle d'accès basé sur les rôles

Les autorisations sont rattachées à des rôles correspondant aux fonctions métier ; les utilisateurs héritent de l'accès en détenant un rôle. Le modèle passe bien à l'échelle en entreprise et simplifie les changements d'arrivée/mutation/départ, mais souffre de l'explosion des rôles lorsque trop de rôles trop étroits s'accumulent.

ABAC — Contrôle d'accès basé sur les attributs

Les décisions sont calculées au moment de la requête à partir des attributs du sujet, de la ressource, de l'action et de l'environnement (heure, lieu, posture de l'appareil) évalués au regard d'une politique. C'est le modèle le plus fin et le plus contextuel — « autoriser si service = finance ET sur le réseau ET pendant les heures ouvrées » — au prix d'une complexité de politique. Il sous-tend les architectures modernes de zero trust.

Ce que recherchent les recruteurs

Identifier correctement qui contrôle l'accès dans chaque modèle (propriétaire, système/étiquette, rôle, politique/attributs), désigner MAC comme non discrétionnaire et piloté par étiquettes, et relier l'explosion des rôles de RBAC à la flexibilité d'ABAC — le tout ancré dans le moindre privilège.

Questions de suivi probables

  • Pourquoi MAC est-il privilégié dans les environnements militaires et classifiés ?
  • Qu'est-ce que l'explosion des rôles et en quoi ABAC y remédie-t-il ?
  • Comment le principe du moindre privilège s'applique-t-il à ces modèles ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.