Dans le monde de l’informatique, la sécurité joue un rôle crucial dans la sauvegarde des ressources. Au cours de la dernière décennie, divers modèles de sécurité ont été créés pour garantir la confidentialité, l’intégrité et la disponibilité des informations. Ils présentent des méthodes que les organisations peuvent adopter pour établir des politiques formelles de sécurité de l’information. Ces politiques visent à fournir une approche structurée pour le déploiement de mesures et de pratiques de sécurité afin de protéger les informations sensibles et de prévenir les failles de sécurité. Il est crucial de connaître les différents modèles de sécurité, leurs fonctionnalités et leur adéquation à des situations spécifiques. Il permet de prendre des décisions éclairées sur la sélection du modèle de sécurité approprié qui peut répondre efficacement aux problèmes de sécurité et protéger les ressources de calcul.
Modèles de contrôle d’accès
L’un des modèles les plus utilisés, le contrôle d’accès, est conçu pour aider à la création de politiques liées à l’accès au niveau système/utilisateur pour diverses ressources telles que les fichiers, les bases de données et les réseaux. La règle d’or est de ne donner accès qu’à l’entité dont ils ont besoin pour accomplir leurs tâches. Ce modèle englobe trois principaux types de contrôles ; Contrôle d’accès discrétionnaire (DAC), contrôle d’accès obligatoire (MAC) et contrôle d’accès basé sur les rôles (RBAC). Avec DAC, un propriétaire de ressource a la capacité de décider « qui peut accéder à quoi ? ». Par exemple, le propriétaire d’un fichier décide à qui il veut accorder l’accès et à quel titre (droits d’édition ou de visualisation). En raison de sa polyvalence et de sa facilité d’utilisation, le modèle DAC est couramment adopté par les petites organisations.
D’autre part, des industries comme la défense, l’administration, etc., préfèrent des politiques de contrôle très restrictives comme le MAC. Les restrictions d’accès dans le modèle MAC peuvent être appliquées en fonction des étiquettes de sécurité attribuées aux ressources. Ces étiquettes déterminent le niveau d’habilitation de sécurité requis pour accéder à la ressource. Ils permettent également une approche structurée pour mettre en œuvre des mesures de sécurité et empêcher l’accès non autorisé aux données sensibles. Cependant, la plupart des organisations ont besoin d’un terrain d’entente, d’un contrôle qui ne soit pas trop restrictif mais aussi peu libéral. Dans de tels scénarios, RBAC est le plus approprié. Il accorde l’accès en fonction du rôle de l’utilisateur affecté dans l’organisation. Cela permet aux organisations de modifier facilement les autorisations d’accès en cas de changement de rôle sans avoir à modifier les droits d’accès de chaque utilisateur individuel.
Modèle Take-Grant
Ce modèle repose sur le concept selon lequel les individus peuvent accorder ou retirer des autorisations à d’autres individus ou entités. L’efficacité de ce modèle peut être clairement évaluée par une représentation graphique dirigée. Il existe deux règles générales dans ce modèle. Avec la « règle de prise », un sujet peut prendre des droits à un autre sujet, tandis que la « règle d’octroi » permet à un sujet d’accorder son accès à un autre sujet.
Par exemple, un employé du service marketing a accès aux ressources marketing, tandis qu’un employé du service informatique a accès à des informations techniques sensibles. Si le membre de l’équipe marketing a besoin d’accéder à un document technique, il devra demander à quelqu’un disposant de droits d’accès à la ressource. Dans ce cas, il peut s’agir d’un superviseur informatique.
Vous trouverez ci-dessous un graphique orienté pour le modèle Take-Grant. Remarquez comment les droits peuvent être passés d’un sujet à un autre ou d’un sujet à un objet.
Figure 1 : Graphe orienté (modèle Take-Grant)
Modèle Biba
Ce modèle a une conception très similaire à Bell-LaPadula, la principale différence étant l’accent mis sur l’intégrité des données. Il est également basé sur les informations circulant au sein d’un système de sécurité à plusieurs niveaux avec des niveaux affectés aux ressources. Les deux principaux composants de ce modèle sont la propriété d’intégrité simple (SIP) et la propriété d’intégrité * (étoile). Dans SIP, les données à un niveau donné ne peuvent pas être lues par un utilisateur à un niveau de sécurité plus élevé, c’est-à-dire « pas de lecture ». Par exemple, un ingénieur senior ne peut pas lire les modifications de code apportées par l’ingénieur junior tant qu’elles ne sont pas validées. Sous la propriété d’intégrité en étoile, les données d’un niveau donné ne peuvent pas être modifiées par un utilisateur au niveau inférieur, c’est-à-dire « pas d’écriture ». Des institutions telles que la finance et la santé adoptent généralement ce modèle pour protéger les dossiers des patients et autres informations sensibles.
Modèle de Clark-Wilson :
L’intégrité des données est l’objectif principal ; ce modèle permet une modification limitée via une interface/portail d’accès contrôlé. Pour les utilisateurs, il existe une séparation des tâches et leur accès aux ressources est limité. Ce modèle comporte trois composants principaux : l’élément de données contraint (CDI), la procédure de vérification de l’intégrité (IVP) et la procédure de transformation (TP). CDI a mis en place des contrôles d’accès qui garantissent un accès autorisé. Les IVP sont utilisés pour vérifier l’intégrité des données. Une fois l’intégrité des données en cours d’utilisation établie, les procédures de transformation régissent les modifications en cours. Ce modèle est largement utilisé dans les secteurs du commerce électronique et de la finance où l’intégrité et la sécurité des données sont vitales.
Figure 2 : Modèle de Clark Wilson
Modèle sans interférence
Basé sur le concept de séparation des niveaux de sécurité et des flux d’informations, ce modèle met l’accent sur la confidentialité. Ses deux composants principaux sont la sécurité de haut niveau et la sécurité de bas niveau. Les actions effectuées sur la sécurité de niveau supérieur ne doivent pas avoir d’impact ni même être perceptibles pour les utilisateurs de niveau de sécurité inférieur. Cela empêche les fuites d’informations et offre une protection contre les programmes secrets tels que les chevaux de Troie et les portes dérobées. Il est largement utilisé au sein du gouvernement ou de l’armée où le flux d’informations sécurisé est essentiel.
Base de calcul de confiance (TCB)
Comme son nom l’indique, ce modèle garantit que toutes les ressources informatiques utilisées au sein d’une organisation sont fiables et exemptes de failles de sécurité. Ses quatre composants principaux sont la politique de sécurité, le noyau de sécurité, le moniteur de référence et le périmètre de sécurité. Le fonctionnement sécurisé global du système est défini dans la politique de sécurité. L’accès aux ressources est médiatisé au niveau du noyau de sécurité. Le moniteur de référence valide l’autorisation pour chaque ressource avant d’accorder l’accès. Enfin, le périmètre de sécurité bloque ou restreint l’accès du monde extérieur aux ressources de l’entreprise. La plupart des organisations technologiques de pointe utilisent TCB pour s’assurer que les systèmes sont conçus en toute sécurité.
Modèle Brewer et Nash
Largement utilisé dans le domaine juridique et du conseil, ce modèle évite les conflits d’intérêts lorsque les employés ont accès à des données critiques concernant différents clients. Il est également connu sous le nom de modèle du mur chinois car il est basé sur un concept de mur qui partitionne les données pour empêcher tout accès non autorisé. La création d’une séparation logique et/ou physique des données garantit que les données d’un client ne sont pas accessibles aux employés travaillant avec un autre client.
Modèle de Graham-Denning
Ce modèle repose sur la création sécurisée d’un sujet et d’un objet. Il définit qui peut accéder/modifier quelles données. Principalement centré sur l’intégrité des données et le contrôle d’accès, il établit le fait que seuls les sujets autorisés peuvent accéder à l’objet de données. Il est largement utilisé dans les sites bancaires et de commerce électronique où il est important de protéger les informations sur les comptes clients et leurs transactions/achats. Il comporte huit règles principales contenant la création/suppression de sujets et d’objets en toute sécurité tout en garantissant des droits d’accès sécurisés en lecture, écriture, suppression et octroi.
Modèle de Harrison-Ruzzo-Ullman
Une extension de Graham-Denning, ce modèle est utilisé pour assurer la sécurité du système backend comme le système d’exploitation (systèmes d’exploitation) et les bases de données. Il définit un ensemble de procédures qui fournissent des droits d’accès au sujet/utilisateur. Cela peut être représenté à l’aide d’une matrice où les sujets et les objets sont organisés respectivement en lignes et en colonnes. Un contrôle supplémentaire a été introduit pour activer les droits de modification de la matrice, tandis que des règles d’intégrité ont été mises en œuvre pour garantir que les utilisateurs ne peuvent pas créer de nouveaux sujets ou objets qui violent les exigences de validation au niveau du système. Une application claire de ce modèle concerne les systèmes d’exploitation, où l’accès aux ressources système est déterminé par les niveaux d’autorisation. Par conséquent, les utilisateurs ne peuvent utiliser que les ressources auxquelles ils ont été autorisés à accéder.
À travers ces modèles, il existe divers contrôles de sécurité disponibles qui garantiront des systèmes sécurisés et précis. Voici quelques facteurs qui peuvent aider une organisation à choisir les contrôles qui correspondent à ses besoins et aux capacités de son système :
- Critères Communs (CC): Il s’agit d’un ensemble de critères utilisés pour évaluer et valider les fonctionnalités de sécurité d’un système. Elle implique une approche basée sur la notation et est conçue pour fournir une évaluation subjective d’un produit. Le CC comprend deux éléments clés : les profils de protection, qui précisent les exigences de sécurité auxquelles un produit doit répondre, et les cibles de sécurité, qui évaluent les mesures prises par une organisation pour protéger son produit.
- Autorisation d’exploitation (ATO) : Dans le cadre d’une approche basée sur les risques, l’obtention d’une approbation officielle est requise avant d’utiliser une ressource ou un produit. C’est ce qu’on appelle l’« autorisation d’exploitation ». Il existe quatre décisions clés qu’un agent d’autorisation peut prendre : autorisation d’exploitation, autorisation de contrôle commun, autorisation d’utilisation et refus d’autorisation.
- Interfaces : Une application peut incorporer une interface contrainte ou restreinte pour limiter l’accès ou la visibilité des utilisateurs en fonction de leurs privilèges autorisés. Si un utilisateur dispose de tous les privilèges, il pourra accéder à toutes les fonctionnalités d’une application. D’un autre côté, s’ils ont des privilèges restreints, ils auront accès à des parties limitées de l’application. Par exemple, un utilisateur final ne devrait jamais pouvoir voir la console d’administration. Différentes méthodes peuvent être utilisées pour introduire des contraintes basées sur la criticité, l’exposition et la surface d’attaque identifiée pour l’application/l’interface. Par exemple, le modèle Clark Wilson peut être déployé si les actions des utilisateurs autorisés et non autorisés doivent être restreintes.
D’autres capacités et exigences du système qu’il pourrait être bon de prendre en compte incluent le niveau de cryptage, HSM (module de sécurité matérielle), la tolérance aux pannes,…