Domaine 5 · 13% Poids examen

Gestion des identités et des accès

Le Domaine 5 (13 %) gouverne le cycle de vie de l'identité et le contrôle d'accès : qui êtes-vous, êtes-vous bien vous, qu'avez-vous le droit de faire, et qui répond de vos actes. Il couvre l'IAAA, l'authentification multifacteur et la biométrie, les modèles DAC/MAC/RBAC/RuBAC/ABAC, le SSO et la fédération (Kerberos, SAML, OAuth/OIDC), les protocoles AAA (RADIUS, TACACS+), les annuaires (LDAP, AD), et les niveaux d'assurance NIST (IAL/AAL/FAL).

Objectifs du CBK (ISC)²

Les 6 domaines d'apprentissage officiels du Domaine 5. Cliquez un objectif pour le détail.

Objectif A

Contrôle des accès physiques et logiques

Diagramme — Contrôle des accès physiques et logiques

Deux plans : physique (badges, biométrie porte, CCTV, mantraps) et logique (comptes, groupes, ACL, tokens, MFA). Les deux doivent être cohérents : révoquer un badge quand on révoque un compte.

Points clés

  • Cloisonnement logique via ACL, physique via zones
  • Même source d'identité idéalement (HRMS → AD → badge)
  • Revue périodique des accès (access recertification)
Objectif B

Gérer l'identification et l'authentification

Diagramme — Gérer l'identification et l'authentification

3 facteurs d'authentification : Knowledge (mot de passe), Possession (token, smartcard), Inherence (biométrie). MFA = combiner ≥ 2 facteurs différents. Biométrie : mesurer FAR/FRR/CER (plus bas = mieux).

Points clés

  • MFA ≠ 2× le même facteur (2 mots de passe = non)
  • FAR (Type II) = faux accept, plus grave que FRR (Type I)
  • Passwordless : FIDO2/WebAuthn remplacent progressivement le mot de passe
Objectif C

Identité fédérée avec un tiers

Diagramme — Identité fédérée avec un tiers

Fédération = un IdP de confiance prouve l'identité pour plusieurs SP. Protocoles : SAML 2.0 (XML, SSO web entreprise), OAuth 2.0 (autorisation API), OpenID Connect (identité sur OAuth). Avantages : 1 compte utilisateur, décommissionnement centralisé.

Points clés

  • SAML = auth (qui ?) ; OAuth = authz (quelle permission ?)
  • OIDC = identité sur OAuth 2.0 = le meilleur des deux pour apps web modernes
  • IdP down = tous les SP sont bloqués (SPoF critique)
Objectif E

Mécanismes d'autorisation

Diagramme — Mécanismes d'autorisation

Modèles : DAC (propriétaire décide, ACL), MAC (labels, central, militaire), RBAC (rôles), ABAC (attributs - moderne), Rule-BAC (règles conditionnelles). RBAC est le standard entreprise ; ABAC apporte la finesse pour le cloud et le Zero Trust.

Points clés

  • RBAC : user → role → permission. Lisible, auditable.
  • ABAC : evaluate(user, resource, action, environment)
  • Moindre privilège + séparation des devoirs comme garde-fous
Objectif F

Cycle de vie de l'identité et des accès

Diagramme — Cycle de vie de l'identité et des accès

Cycle : Request → Approve → Provision → Review → Revoke. Crucial : automatiser. Un compte orphelin (ancien employé) = brèche en gestation. Access review trimestrielle + déclenchement RH sur mouvement (hire, role change, leave).

Points clés

  • JML : Joiner, Mover, Leaver - processus clé
  • Offboarding = priorité absolue en 24 h max
  • Privileged Access Management (PAM) pour comptes admin
Objectif G

Systèmes d'authentification

Diagramme — Systèmes d'authentification

Kerberos (tickets KDC), RADIUS/TACACS+ (AAA), SAML, OAuth 2.0, OpenID Connect, FIDO2/WebAuthn. Considérer : sécurité protocolaire, performance, intégration, UX. Architecture centralisée vs décentralisée.

Points clés

  • Kerberos : AS + TGS, tickets chiffrés, protection replay
  • TACACS+ (Cisco) chiffre tout ; RADIUS chiffre uniquement mot de passe
  • FIDO2 résiste au phishing (origin binding)

Concepts clés

Sujets et objets

Un sujet (subject) est l'entité active qui demande l'accès (utilisateur, processus, service). Un objet (object) est la ressource passive convoitée (fichier, base, périphérique). Le système décide si le sujet peut effectuer une opération CRUD (Create, Read, Update, Delete) sur l'objet.

IAAA - cycle du contrôle d'accès

Identification (présenter une identité), Authentication (prouver l'identité), Authorization (accorder les permissions), Accountability/Auditing (tracer et imputer les actions). Souvent étendu en IAAAA pour distinguer accountability et auditing.

Facteurs d'authentification

Connaissance (know - mot de passe, PIN), Possession (have - token, smartcard, OTP), Caractéristique (are - biométrie). Deux facteurs supplémentaires : lieu (where you are - géolocalisation) et action (what you do - frappe clavier, démarche). MFA = au moins deux facteurs DIFFÉRENTS.

Moindre privilège et need to know

Least privilege = n'accorder que les droits strictement nécessaires à la fonction. Need to know = limiter l'accès aux seules données requises pour une tâche précise. Le need to know affine le moindre privilège au niveau de la donnée.

Séparation des devoirs

Separation of Duties (SoD) répartit une tâche sensible entre plusieurs personnes pour qu'aucune ne puisse agir seule (un demande, un valide). Couplée au need to know, elle neutralise la fraude et les conflits d'intérêts.

Defense in depth

Empiler des couches de contrôles (physique, logique, administratif) afin qu'une défaillance unique ne compromette pas tout l'accès. Le contrôle d'accès physique (PACS) reste une couche distincte du contrôle logique.

Zero Trust

Modèle « ne jamais faire confiance, toujours vérifier » : pas de périmètre de confiance implicite, chaque requête est authentifiée, autorisée et contextualisée (identité, posture, attributs). S'appuie naturellement sur l'ABAC et le JIT.

Identity store

Référentiel central des identités et de leurs attributs (annuaire LDAP, Active Directory). C'est la source que consultent SSO et fédération pour authentifier et autoriser, plutôt que de dupliquer des comptes partout.

Credential et CMS

Un credential est le lien entre une identité et un authentifiant (mot de passe, certificat, smartcard). Un Credential Management System (CMS) émet, renouvelle et révoque les credentials, souvent adossé à une PKI pour des identités 2FA.

Identity proofing

Décision initiale, prise une fois lors de l'enrôlement, de vérifier qu'une personne est bien qui elle prétend être (pièces d'identité, vérification d'adresse). À ne pas confondre avec l'authentification, répétée à chaque accès. Cadré par NIST SP 800-63A.

Modèle d'identité numérique (rôles)

Applicant (candidat) → CSP (Credential Service Provider : enrôlement + proofing) → Claimant → Verifier → Subscriber → Relying Party (RP). La confiance est passée du CSP jusqu'à la partie de confiance qui accorde l'accès.

Biométrie et taux d'erreur

On mesure des caractéristiques physiologiques ou comportementales. Deux erreurs : FRR (Type I, rejet d'un légitime, coût opérationnel) et FAR (Type II, acceptation d'un imposteur, risque sécurité). Le CER (FAR = FRR) sert à comparer les systèmes.

SSO (Single Sign-On)

Une seule authentification donne accès à toutes les ressources autorisées d'un même domaine de confiance. Améliore l'expérience et réduit la fatigue des mots de passe, mais crée un single point of failure : compromettre le SSO compromet tout.

FIM (fédération d'identité)

La fédération étend le SSO ENTRE organisations distinctes via une confiance mutuelle : l'IdP (Identity Provider) authentifie l'utilisateur et le SP (Service Provider) lui fait confiance. Évite de redupliquer les comptes chez chaque partenaire (SAML, OIDC).

JIT (Just-in-Time)

Provisionnement d'identité ou de privilège à la demande, accordé pour un événement précis et valable pour lui seul, puis déprovisionné automatiquement. Cas d'usage majeur : JIT PAM, qui supprime les privilèges permanents des comptes à hauts pouvoirs.

Gestion de session

Après authentification, un session ID (valeur longue, aléatoire, à usage unique : nonce) est émis et stocké en cookie pour suivre les requêtes. La session se termine sur timeout d'inactivité ou anomalie (changement d'IP, double login). Le vol/rejeu du cookie est une replay attack.

DAC / MAC / NDAC / RBAC / RuBAC / ABAC

DAC : le propriétaire décide (ACL). MAC : autorité centrale et labels, système non contournable. NDAC : non discrétionnaire, central. RBAC : droits portés par les rôles. RuBAC : règles conditionnelles (heure, montant). ABAC : décision sur attributs (qui, quand, où, ressource, menace).

PDP et PEP (ABAC)

Dans l'ABAC (NIST SP 800-162), le Policy Decision Point (PDP) évalue la politique et rend la décision ; le Policy Enforcement Point (PEP) l'applique. Séparer décision et application permet une autorisation centralisée et fine.

Kerberos

Authentification réseau via le KDC, composé de l'AS (Authentication Server) et du TGS (Ticket Granting Server). L'AS délivre un TGT, le TGS délivre des Service Tickets (ST). Cryptographie symétrique, tickets horodatés (NTP critique), protection contre le rejeu.

Élévation de privilège

Verticale : un utilisateur normal gagne des droits supérieurs (root/admin). Horizontale (mouvement latéral) : accès à un autre compte de même niveau, d'un serveur à un autre. Mitigations : MFA, moindre privilège, patch, IDS/SIEM, renommage des comptes privilégiés.

Frameworks & standards

FrameworkRôle
NIST SP 800-63 (IAL / AAL / FAL) Lignes directrices d'identité numérique : niveaux d'assurance de l'identité (IAL), de l'authentification (AAL) et de l'assertion fédérée (FAL).
FICAM / ICAM Architecture fédérale US (2009) d'Identity, Credential and Access Management pour bâtir une architecture de credentials saine.
NIST SP 800-192 Décrit les modèles de contrôle d'accès (DAC, RBAC, RuBAC, ABAC) et les moyens de les mettre en oeuvre.
NIST SP 800-162 Guide de l'ABAC : PDP (décision) et PEP (application) au coeur du mécanisme.
ISO/IEC 27000 Définit le contrôle d'accès comme le moyen d'assurer qu'on accède aux actifs sur la base d'exigences métier et de sécurité.
ISO/IEC 24760 Cadre pour la gestion des identités (identity management framework).
Kerberos Protocole d'authentification réseau à tickets symétriques via KDC (AS + TGS).
SAML 2.0 Échanges d'authentification et d'autorisation en XML entre domaines (SSO web fédéré).
OAuth 2.0 / OIDC OAuth 2.0 = délégation d'autorisation (jetons d'accès) ; OpenID Connect = couche d'authentification au-dessus, avec un ID token.
RADIUS / TACACS+ Protocoles AAA d'accès réseau. RADIUS (UDP, combine authN/authZ, chiffre seulement le mot de passe) ; TACACS+ (TCP, sépare AAA, chiffre tout le paquet).
LDAP / X.500 Annuaire des identités et attributs (Distinguished Names). Socle d'Active Directory et de l'identity store.

Acronymes

SigleSignification
IAM Identity & Access Management
IdM Identity Management
IAAA Identification, Authentication, Authorization, Accountability
AAA Authentication, Authorization, Accounting
IAL Identity Assurance Level (force du proofing)
AAL Authenticator Assurance Level (force de l'authentification)
FAL Federation Assurance Level (force de l'assertion fédérée)
FICAM Federal Identity, Credential and Access Management
ICAM Identity, Credential and Access Management
CSP Credential Service Provider
RP Relying Party (partie de confiance)
IdP Identity Provider
SP Service Provider
SFA Single-Factor Authentication
MFA Multi-Factor Authentication
OTP One-Time Password
TOTP Time-based One-Time Password
HOTP HMAC-based One-Time Password
FAR False Acceptance Rate (Type II)
FRR False Rejection Rate (Type I)
CER Crossover Error Rate
EER Equal Error Rate (synonyme de CER)
DAC Discretionary Access Control
MAC Mandatory Access Control
NDAC Non-Discretionary Access Control
RBAC Role-Based Access Control
RuBAC Rule-Based Access Control
ABAC Attribute-Based Access Control
PDP Policy Decision Point
PEP Policy Enforcement Point
ACL Access Control List
PAM Privileged Access Management
JIT Just-in-Time (provisioning à la demande)
SSO Single Sign-On
FIM Federated Identity Management
IDaaS Identity as a Service
IGA Identity Governance and Administration
KDC Key Distribution Center (Kerberos)
TGT Ticket Granting Ticket
TGS Ticket Granting Server
ST Service Ticket
AS Authentication Server (Kerberos)
SAML Security Assertion Markup Language
OAuth Open Authorization (délégation d'accès)
OIDC OpenID Connect
OP OpenID Provider
RADIUS Remote Authentication Dial-In User Service
TACACS+ Terminal Access Controller Access-Control System Plus
LDAP Lightweight Directory Access Protocol
DN Distinguished Name (LDAP)
AD Active Directory
AD DS Active Directory Domain Services
AD FS Active Directory Federation Services
FIDO Fast IDentity Online
U2F Universal 2nd Factor (FIDO)
UAF Universal Authentication Framework (FIDO)
WebAuthn Web Authentication (API FIDO2)
PKI Public Key Infrastructure
CMS Credential Management System
PACS Physical Access Control System
SID Security Identifier (Windows)
NTP Network Time Protocol (vital pour Kerberos)
EAP Extensible Authentication Protocol

Mnémotechniques

Mémo · IAAA

IAAA dans l'ordre : Identification (qui ?) → Authentication (le prouver) → Authorization (que peut-on faire ?) → Accountability/Auditing (qui répond, et qu'a-t-il fait ?).

Mémo · 5 facteurs

5 facteurs : KNOW (savoir) · HAVE (avoir) · ARE (être, biométrie) · WHERE (où l'on est) · DO (ce que l'on fait). MFA = au moins 2 facteurs DIFFÉRENTS (password + PIN = encore 1 seul facteur).

Mémo · FAR vs FRR

FAR (Type II) = l'intrus PASSE (le pire, risque). FRR (Type I) = le légitime est REJETÉ (coût). CER = FAR = FRR : plus bas = mieux.

Mémo · Modèles d'accès

DAC = Owner décide (ACL) · MAC = Central + labels · RBAC = Rôle · RuBAC = Règle (condition) · ABAC = Attribut. Indice : la lettre avant BAC dit qui ou quoi décide.

Mémo · Kerberos passeport

Le TGT est le PASSEPORT (prouve qui vous êtes, délivré par l'AS). Le Service Ticket est le VISA (donne accès à UN service, délivré par le TGS). Tickets horodatés : NTP critique.

Mémo · OAuth vs OIDC

OAuth 2.0 = autoriZation (quelle permission déléguée ?). OpenID Connect = authentificatioN (qui es-tu ?), une couche posée sur OAuth avec un ID token.

Mémo · SSO vs FIM

SSO = 1 login DANS un domaine. FIM = SSO ENTRE domaines/organisations via confiance mutuelle (IdP authentifie, SP fait confiance).

Mémo · RADIUS vs TACACS+

RADIUS : UDP, combine authN+authZ, chiffre SEULEMENT le mot de passe. TACACS+ : TCP, SÉPARE les 3 A, chiffre TOUT le paquet.

Formules

À retenir

FAR = faux accept / tentatives imposteurs

False Acceptance Rate (Type II) : taux d'acceptation d'imposteurs. À l'examen, c'est l'erreur la PLUS dangereuse (un attaquant entre). Un FAR bas privilégie la sécurité.

À retenir

FRR = faux rejets / tentatives légitimes

False Rejection Rate (Type I) : taux de rejet d'utilisateurs légitimes. Erreur de confort/coût (travail bloqué), moins grave que le FAR mais nuit à la disponibilité.

À retenir

CER (= EER) = point où FAR = FRR

Crossover/Equal Error Rate : seuil où les deux courbes se croisent. Sert à comparer des systèmes biométriques (CER plus bas = meilleur). PIÈGE : le CER n'est le réglage OPTIMAL que si les coûts d'un FAR et d'un FRR sont équivalents ; sinon on déplace le seuil.

À retenir

Throughput = utilisateurs traités / unité de temps

Débit biométrique : nombre d'authentifications réussies par minute. Un throughput trop bas crée des files d'attente et nuit à l'acceptabilité, même si la précision est bonne.

Pièges d'examen

Piège

Authentication ≠ Authorization

L'authentification prouve QUI vous êtes ; l'autorisation décide CE QUE vous pouvez faire. Une question qui parle de permissions sur des objets relève de l'authorization, pas de l'authentication.

Piège

Identity proofing ≠ authentication

Le proofing est la décision INITIALE et UNIQUE (à l'enrôlement) de vérifier l'identité réelle. L'authentification se répète à CHAQUE accès. Ne pas confondre la vérification de qui est inscrit avec la vérification à la connexion.

Piège

Type I (FRR) vs Type II (FAR)

Type I = FRR = faux rejet (légitime bloqué). Type II = FAR = faux accept (imposteur admis). Type II est le PIRE pour la sécurité. L'examen intervertit souvent les numéros.

Piège

OAuth (authZ) ≠ OIDC (authN)

OAuth 2.0 délègue une AUTORISATION (accès à une ressource via token), il n'authentifie pas l'utilisateur. OpenID Connect ajoute la couche d'AUTHENTIFICATION (ID token). Utiliser OAuth seul pour « se connecter » est un anti-pattern.

Piège

RBAC ≠ RuBAC

RBAC = accès porté par le RÔLE (fonction de l'utilisateur). RuBAC = accès porté par des RÈGLES conditionnelles (heure, montant, IP). Même préfixe « R », logique différente.

Piège

Escalade verticale ≠ horizontale

Verticale = gagner des droits SUPÉRIEURS (user → admin). Horizontale = prendre un compte de MÊME niveau (mouvement latéral). L'examen teste la direction de l'élévation.

Piège

SSO ≠ FIM

SSO = un login pour plusieurs ressources d'UN même domaine de confiance. FIM = fédération ENTRE organisations distinctes. Toute fédération offre du SSO, mais tout SSO n'est pas fédéré.

Piège

Data owner ≠ custodian

Le data owner définit la classification et décide des accès (responsabilité). Le custodian (custode) applique et opère les protections au quotidien (sauvegardes, droits). Décision vs exécution.

Piège

RADIUS ≠ TACACS+

RADIUS : UDP, combine authentification et autorisation, ne chiffre que le mot de passe. TACACS+ : TCP, sépare les trois A, chiffre tout le corps du paquet. TACACS+ est préféré pour l'administration réseau granulaire.

Piège

Le CER n'est pas toujours optimal

Le CER (FAR = FRR) sert à COMPARER des systèmes, mais il n'est le réglage idéal que si un faux accept et un faux rejet coûtent autant. Pour une zone très sensible, on baisse délibérément le FAR au prix d'un FRR plus élevé.

Cas concrets

Cas concret · Cas réel - DHS PACS

Physical Access Control System du DHS

Le Department of Homeland Security exploite un PACS divisé en quatre domaines indépendants (badges/PII, parking, surveillance d'alarmes/IDS, etc.) gérés par l'administrateur PACS. Leçon CISSP : le contrôle d'accès PHYSIQUE est un problème distinct du logique ; un attaquant qui obtient l'accès physique contourne souvent les défenses logiques. Le PACS ne collecte que les PII strictement nécessaires (least privilege appliqué à la donnée).

Cas concret · Cas réel - Dropbox 2012

Brèche Dropbox 2012

En 2012, des attaquants ont utilisé le mot de passe VOLÉ d'un employé Dropbox pour accéder à un document contenant les emails de millions d'utilisateurs. Un seul facteur (mot de passe réutilisé) a suffi. Réponse : déploiement de la 2FA et réévaluation du cycle de provisioning des identités. Leçon : un facteur unique sur un compte à accès large est une faille critique ; MFA et moindre privilège l'auraient contenue.

Cas concret · Scénario pédagogique - biométrie/CER

Régler le seuil d'un lecteur biométrique

Deux lecteurs d'empreintes : A (CER 1 %) et B (CER 3 %). Pour comparer à l'aveugle, A est meilleur. Mais pour l'accès à une salle de serveurs classifiée, on n'opère PAS au CER : on durcit le seuil pour écraser le FAR (zéro imposteur), quitte à augmenter le FRR (quelques rejets légitimes acceptables, car un agent peut re-tenter). Inversement, un tourniquet de cantine privilégie un FRR bas (débit/confort).

À retenir en 10 secondes

À retenir en 10 secondes

  • IAAA = Identification, Authentication, Authorization, Accountability (cycle complet).
  • 5 facteurs : know / have / are / where / do ; MFA = au moins 2 facteurs DIFFÉRENTS.
  • FRR = Type I (faux rejet, coût) ; FAR = Type II (faux accept, risque) ; CER = FAR = FRR.
  • Le CER compare les systèmes mais n'est optimal que si FAR et FRR coûtent autant.
  • Modèles : DAC (owner) · MAC (central+labels) · RBAC (rôle) · RuBAC (règle) · ABAC (attributs, PDP/PEP).
  • Kerberos : KDC = AS (TGT) + TGS (Service Ticket), symétrique, NTP critique.
  • SSO = un domaine ; FIM = entre organisations ; SAML authN, OAuth authZ, OIDC = identité sur OAuth.
  • Niveaux NIST 800-63 : IAL (proofing) / AAL (authentification) / FAL (fédération).

Quiz du domaine

Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.

🔒 Inscription requise pour les quiz

Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.