Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.
Home / Identity and Access Management 101 / Authentification et autorisation

Authentification et autorisation

L’authentification et l’autorisation sont deux processus clés qu’utilisent les administrateurs pour protéger les systèmes et les informations. L’authentification vérifie l’identité d’un utilisateur ou d’un service, et l’autorisation détermine leurs droits d’accès. Bien que ces deux termes se ressemblent, ils représentent des concepts distincts mais tout aussi essentiels à la protection des applications et des données. Il est indispensable de savoir les différencier. Ensemble, ils établissent le périmètre de sécurité d’un système. Votre entreprise ne peut disposer d’une protection adéquate avec une authentification et une autorisation mal configurées.

Qu’est-ce que l’authentification ?

L’authentification est un processus qui permet de vérifier qu’une entité est bien ce qu’elle prétend être. Les systèmes technologiques utilisent généralement une forme d’authentification pour sécuriser l’accès à une application ou à ses données. Par exemple, pour accéder à un site ou à un service en ligne, vous devez généralement saisir votre nom d’utilisateur et votre mot de passe. Le système compare le nom d’utilisateur et le mot de passe que vous avez saisis avec les informations enregistrées dans sa base de données. Si les informations que vous avez fournies correspondent, le système considère que vous êtes un utilisateur valide et vous accorde l’accès. Dans cet exemple, la solution d’authentification du système suppose que vous êtes la seule personne à connaître le nom d’utilisateur et le mot de passe attendus. Elle vous authentifie donc en se basant sur ce principe de connaissance unique.

Quel est l’objectif de l’authentification ?

L’authentification consiste à vérifier qu’une entité est bien ce qu’elle prétend être. Il existe de nombreuses formes d’authentification. Dans le monde artistique par exemple, des processus et des institutions existent pour confirmer qu’une peinture ou une sculpture est bien l’œuvre d’un artiste donné. De même, les gouvernements utilisent différentes techniques d’authentification pour protéger leur monnaie de la contrefaçon. L’authentification protège généralement les objets de valeur. À l’ère de l’informatique, elle protège les systèmes et les données.

Qu’est-ce que l’authentification de l’identité ?

L’authentification de l’identité est le processus qui consiste à vérifier l’identité d’un utilisateur ou d’un service. C’est sur la base de ces informations qu’un système autorise ou non l’accès de l’utilisateur ou du service. Prenons l’exemple de deux personnes qui travaillent dans un café et que nous appellerons Lucie et Romain. Lucie est la gérante du café et Romain le barista. Le café utilise un terminal de vente dans lequel les serveurs et les baristas enregistrent les commandes à préparer. Dans notre exemple, le terminal utilise un processus qui vérifie l’identité de Lucie et de Romain avant de leur permettre d’accéder au système. Il peut leur demander de saisir un nom d’utilisateur et un mot de passe, ou de positionner leur pouce sur un lecteur d’empreintes digitales. Comme le café doit sécuriser l’accès à son terminal de vente, les employés qui utilisent le système doivent confirmer leur identité via un processus d’authentification.

Méthodes d’authentification courantes

Les systèmes peuvent utiliser plusieurs mécanismes pour authentifier un utilisateur. En règle générale, pour vérifier votre identité, les processus d’authentification utilisent : quelque chose que vous savez, quelque chose que vous avez, ou quelque chose que vous êtes.

Les mots de passe et les questions de sécurité sont deux facteurs d’authentification qui reposent sur quelque chose que vous savez. Comme vous êtes la seule personne à connaître votre mot de passe ou la réponse à plusieurs questions de sécurité, les systèmes se basent sur cette hypothèse pour vous accorder l’accès.

Vous pouvez également vous authentifier à l’aide de quelque chose que vous avez. Les dispositifs physiques tels que les jetons de sécurité USB et les téléphones portables entrent dans cette catégorie. Par exemple, lorsque vous accédez à un système et que celui-ci vous envoie un code PIN à usage unique par SMS ou via une application, il peut vérifier votre identité car il s’agit de votre appareil.

Le dernier type de facteur d’authentification repose sur ce que vous êtes. Nous pouvons notamment citer les mécanismes d’authentification biométrique. Étant donné que les caractéristiques physiques individuelles telles que les empreintes digitales sont uniques, ce type de mécanisme d’authentification s’avère sûr.

Qu’est-ce que l’autorisation ?

L’autorisation est le processus de sécurité qui détermine le niveau d’accès d’un utilisateur ou d’un service. Dans le domaine technologique, nous utilisons l’autorisation pour donner aux utilisateurs ou aux services la permission d’accéder à certaines données ou d’effectuer certaines actions. Si nous reprenons notre exemple, Romain et Lucie ont des rôles différents dans le café. En tant que barista, Romain se contente d’enregistrer et d’afficher des commandes dans le système. En tant que gérante, Lucie peut quant à elle avoir accès au montant total des ventes du jour. Les rôles de Romain et de Lucie étant différents, le système utilise leur identité vérifiée pour accorder à chacun des autorisations d’accès spécifiques. Il est essentiel de faire la différence entre l’authentification et l’autorisation. L’authentification permet de vérifier l’identité de l’utilisateur (Lucie) avant de lui accorder l’accès, tandis que l’autorisation détermine ce qu’elle peut faire une fois que le système lui a accordé l’accès (consulter les informations sur les ventes).

Méthodes d’autorisation courantes

Les environnements technologiques prennent en charge de nombreux types de systèmes d’autorisation. Les listes de contrôle d’accès (ACL) indiquent notamment quels utilisateurs ou services peuvent accéder à un environnement numérique donné. Elles effectuent ce contrôle d’accès en appliquant des règles d’autorisation ou de refus basées sur le niveau d’autorisation de l’utilisateur. En règle générale, chaque système comprend des utilisateurs généraux et des super utilisateurs ou des administrateurs. Si un utilisateur standard souhaite apporter des modifications qui affectent la sécurité du système, une liste de contrôle d’accès peut lui en interdire l’accès. Par contre, les administrateurs ont l’autorisation d’apporter des modifications sur le plan de la sécurité. La liste de contrôle d’accès leur accorde donc l’accès.

L’accès aux données est un autre type d’autorisation courant. Tout environnement d’entreprise contient généralement des données présentant différents niveaux de sensibilité. Cela peut être des données publiques disponibles sur le site Web de l’entreprise, des données internes qui ne sont accessibles qu’aux employés, et des données confidentielles auxquelles seuls certains utilisateurs peuvent accéder. Dans cet exemple, l’autorisation détermine quels utilisateurs peuvent accéder aux différents types d’informations.

La différence entre l’authentification et l’autorisation

Comme nous l’avons vu, l’authentification et l’autorisation sont deux concepts qui peuvent sembler similaires, mais qui jouent un rôle bien distinct dans la protection des systèmes et des données. Malheureusement, ces termes sont souvent utilisés de manière interchangeable, car ils font tous deux référence à l’accès au système. Pourtant, il s’agit bien de processus distincts. En d’autres termes, l’un vérifie l’identité d’un utilisateur ou d’un service avant de lui accorder l’accès, tandis que l’autre détermine ce qu’il peut faire une fois qu’il a obtenu l’accès.

Prenons un exemple simple. Imaginons que vous allez rendre visite à une amie. En arrivant, vous frappez à la porte et votre amie vous ouvre. Elle vous reconnaît (authentification) et vous salue. Comme votre amie vous a authentifié, elle vous laisse facilement entrer chez elle. Cependant, en fonction de votre relation, il y a certaines choses que vous pouvez faire et d’autres que vous ne pouvez pas faire (autorisation) chez elle. Par exemple, vous pouvez entrer dans la cuisine, mais pas dans son bureau. En d’autres termes, vous avez l’autorisation d’entrer dans la cuisine, mais l’accès à son bureau vous est interdit.

Quelles sont les similitudes entre l’autorisation et l’authentification ?

L’authentification et l’autorisation sont similaires en ce sens qu’elles constituent deux parties du processus sous-jacent qui permet l’accès. Par conséquent, les deux termes sont souvent confondus dans le domaine de la sécurité des systèmes d’information, d’autant plus qu’ils ont la même abréviation en anglais (« auth »). L’authentification et l’autorisation sont également similaires dans la mesure où elles reposent toutes deux sur le concept d’identité. Par exemple, l’une vérifie une identité avant d’accorder l’accès, tandis que l’autre utilise cette identité vérifiée pour contrôler l’accès.

Authentification et autorisation à l’ère du Cloud

La sécurité est un élément essentiel de toute solution Cloud. Comme ces services offrent un modèle d’accès partagé où tout est exécuté sur la même plateforme, ils doivent séparer et protéger les systèmes et les données des clients. Les fournisseurs de services Cloud utilisent l’authentification et l’autorisation pour répondre à ces besoins de sécurité. En effet, les plateformes Cloud ne pourraient pas proposer un modèle de ressources partagées aussi rentable sans méthode d’authentification et d’autorisation.

Par exemple, lorsqu’un utilisateur tente d’accéder à un service Cloud, le système lui demande de s’authentifier en saisissant un nom d’utilisateur et un mot de passe, ou via une autre méthode de vérification d’identité, notamment en acceptant une notification sur une application. Une fois que l’utilisateur s’est authentifié avec succès, la plateforme Cloud utilise l’autorisation pour s’assurer que l’utilisateur peut uniquement accéder à ses propres systèmes et données. Sans authentification et autorisation, il serait impossible de séparer les environnements des clients sur une même plateforme.

Entre authentification et autorisation, qui intervient en premier ?

L’authentification et l’autorisation reposent toutes deux sur l’identité. Comme il est impossible d’autoriser un utilisateur ou un service avant de l’avoir identifié, l’authentification précède toujours l’autorisation. Reprenons l’exemple du café.

Comme nous l’avons vu, les baristas peuvent uniquement créer et consulter des commandes, tandis que les gérants peuvent également accéder aux données de vente quotidiennes. Si le terminal ne peut pas identifier l’utilisateur qui accède au système, il ne peut pas fournir le niveau d’accès adéquat. L’authentification fournit l’identité vérifiée dont l’autorisation a besoin pour contrôler l’accès. Lorsque Romain ou Lucie se connecte au système, l’application sait qui s’est connecté et quel rôle elle doit attribuer à leur identité.

Contrôle des accès et authentification

Les termes de contrôle d’accès et d’autorisation sont souvent utilisés de manière interchangeable. Alors que de nombreuses stratégies d’autorisation font partie du contrôle des accès, le contrôle des accès est une composante à part entière de l’autorisation. Le contrôle des accès utilise le processus d’autorisation pour accorder ou refuser l’accès aux systèmes ou aux données. En d’autres termes, l’autorisation définit les stratégies qui régissent le niveau d’accès d’un utilisateur ou d’un service. Le contrôle des accès se charge ensuite d’appliquer ces stratégies.

Si nous comparons l’authentification et le contrôle des accès, nous retrouvons la même dynamique qu’entre l’authentification et l’autorisation. L’authentification vérifie l’identité de l’utilisateur et le contrôle des accès utilise cette identité vérifiée pour accorder ou refuser l’accès.

Essayez gratuitement OneLogin

Découvrez les capacités de gestion des accès OneLogin pendant 30 jours.
Essayer dès maintenant