Certificate of Cloud Security Knowledge (CCSK)
5.2 – Termes Fondamentaux de l’IAM (Gestion des Identités et des Accès)
Voici les termes essentiels pour comprendre l’IAM dans le cloud, expliqués simplement.
🔐 Access Control (Contrôle d’accès)
Restreint l’accès à une ressource selon les permissions accordées.
➡️ Les accès peuvent être :
Créer – Lire – Mettre à jour – Supprimer (CRUD).
🎓 Exemple
Un développeur peut lire une base de données, mais ne peut pas la supprimer.
🧍 Entity (Entité)
Un acteur unique dans un système :
- utilisateur
- application
- service
- machine virtuelle
- appareil
Chaque entité a une identité et des permissions.
🎓 Exemple
Une VM qui accède à un stockage cloud est une « entité ».
🪪 Identity (Identité)
Les attributs qui décrivent et identifient un sujet.
🎓 Exemple
Nom, email, rôle, département d’un employé.
🆔 Identifier (Identifiant)
L’artefact qui prouve l’identité :
- token cryptographique
- certificat
- mot de passe
- badge physique
- passeport
🎓 Exemple
Un jeton JWT transmis lors d’une authentification.
🔑 Authentication (Authentification)
Vérifie qui est l’entité avant d’autoriser l’accès.
🎓 Exemple
Connexion à Azure Portal avec email + mot de passe + MFA.
🚦 Authorization (Autorisation)
Décide ce que l’entité peut faire après identification.
🎓 Exemple
Un administrateur peut créer des ressources, un utilisateur normal ne peut qu’en consulter.
🔐🔐 Multifactor Authentication (MFA)
Vérifie l’identité avec plusieurs facteurs :
- quelque chose que l’on connaît (mot de passe)
- quelque chose que l’on possède (téléphone, token)
- quelque chose que l’on est (empreinte digitale)
🎓 Exemple
Après le mot de passe, l’utilisateur valide via une app comme Microsoft Authenticator.
👤 Persona
Catégorie de profils utilisateurs ayant des besoins d’accès similaires.
🎓 Exemple
Persona “Développeur” → accès aux environnements Dev
Persona “Analyste Sécurité” → accès aux logs et alertes
🧩 Entitlement (Droit d’accès / Habilitation)
Association entre :
- identité
- autorisations
- attributs contextuels
Souvent représentée dans une matrice d’habilitation.
🎓 Exemple
« L’utilisateur Pierre peut consulter le dossier X si sa localisation = France ».
🏷️ Attribute (Attribut)
Caractéristique d’une entité :
- rôle
- niveau de sécurité
- emplacement
- type d’appareil
- heure de la demande
🎓 Exemple
Attribut = “Connexion depuis un appareil géré”.
🎭 Role (Rôle)
Définit un niveau d’accès associé à un ensemble de permissions.
🎓 Exemple
Rôle “Administrator” → accès complet
Rôle “Reader” → lecture seule
🛂 RBAC – Role-Based Access Control
Accès basé sur le rôle.
Le modèle le plus courant.
🎓 Exemple
Tous les “Sales Representatives” ont les mêmes permissions.
🧬 ABAC – Attribute-Based Access Control
Décisions basées sur les attributs, ex :
- MFA activé
- emplacement géographique
- tag de la ressource
- type d’appareil
🎓 Exemple
Accès autorisé uniquement si l’utilisateur se connecte depuis un appareil géré.
📜 PBAC – Policy-Based Access Control
Les règles d’accès sont définies dans des politiques écrites et versionnées, souvent avec de l’IaC.
PBAC complète RBAC et ABAC.
🎓 Exemple
Une policy stipule :
“Interdire toute connexion admin sans MFA, quel que soit le rôle.”
🏛️ Authoritative Source (Source Autoritative)
Système officiel et fiable contenant les données les plus exactes sur une identité.
🎓 Exemple
Le système RH est la source officielle pour les informations des employés.
🌐 Federated Identity Management
Permet d’accéder à plusieurs systèmes avec un seul identifiant.
➡️ Base du Single Sign-On (SSO).
🎓 Exemple
Connexion unique via Azure AD vers :
- Salesforce
- ServiceNow
- GitHub
- AWS
🆔 Identity Provider (IdP)
Le système qui authentifie les utilisateurs et fournit les informations d’identité.
🎓 Exemple
Azure AD / Entra ID, Okta, Ping Identity, Auth0.
🛰️ Relying Party (RP)
Le service qui fait confiance à l’IdP pour valider l’utilisateur.
🎓 Exemple
Salesforce est un Relying Party lorsqu’il utilise Azure AD pour authentifier un employé.
📬 Assertion
Message envoyé par l’IdP au Relying Party contenant :
- l’identité
- des attributs
- les informations pour décider de l’autorisation
Formats typiques :
- SAML Assertions
- OIDC ID Tokens
🎓 Exemple
Azure AD envoie une assertion à AWS pour accorder un rôle IAM à un utilisateur.
🧩 Résumé
Authentification = prouver qui je suis
Autorisation = ce que j'ai le droit de faire
Rôle = ensemble de permissions
Attribut = contexte (horaire, localisation…)
Entitlement = identités + permissions
IdP = celui qui authentifie
RP = celui qui reçoit l'identité
Fédération = SSO entre organisations