Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AC-03(07) - Contrôle d’accès basé sur les rôles   (PaF-)


Énoncés :

Appliquer une stratégie de contrôle d’accès basé sur les rôles à des sujets et objets définis, et il contrôle l’accès en fonction des [Affectation : rôles et du personnel autorisé à assumer ces rôles définis par l’organisation].

Paramètres :

Responsable : Aucun

Discussion :

Le contrôle d’accès basé sur les rôles (RBAC pour Role-Based Access Control) est une stratégie de contrôle d’accès qui applique l’accès à des objets et à des fonctions de système en se basant sur le rôle défini (par exemple, les fonctions) du sujet. Les organisations peuvent créer des rôles précis selon les fonctions du poste et les autorisations (c’est-à-dire les droits d’accès) nécessaires en vue d’exécuter les opérations requises sur les systèmes associés aux rôles définis par l’organisation. Lorsque des rôles particuliers sont attribués aux utilisatrices et utilisateurs, ceux-ci héritent des autorisations ou des privilèges définis pour ces rôles. Le RBAC simplifie l’administration des droits d’accès des organisations puisque les droits d’accès ne sont pas attribués directement à chaque utilisatrice ou utilisateur (ce qui peut représenter beaucoup d’utilisatrices et utilisateurs), mais plutôt à des rôles. Le RBAC peut également accroître les risques liés à la protection de la vie privée et à la sécurité si des personnes à qui un rôle a été attribué obtiennent l’accès à de l’information qui excède ce dont elles ont besoin pour appuyer les fonctions liées à la mission et aux activités de l’organisation. Le RBAC peut être mis en oeuvre de façon discrétionnaire ou non. Pour les organisations mettant en oeuvre le RBAC avec des contrôles d’accès non discrétionnaire, les exigences du contrôle AC-03(03) définissent la portée des sujets et des objets couverts par la stratégie.