Accueil SLAM B3 M3.1 C3.1.2 Séance 1 — Droits et accès

🔏 C3.1.2 — Gestion des droits & accès aux données

Bloc B3 Module M3.1 BTS SIO SLAM 4h
FormationBTS SIO option SLAM — IRIS Mediaschool
BlocB3 — Cybersécurité des services informatiques
ModuleM3.1 — RGPD et protection des données personnelles
CoursC3.1.2 — Gestion des droits et des accès aux données · Séance 1/1
CompétenceB3.1 — Protéger les données à caractère personnel
Durée4h (10 min intro + 85 min théorie + 90 min TP + 15 min synthèse)
PrérequisC3.1.1 Séances 1 et 2 — Principes RGPD, bases légales, droits des personnes

Accroche (10 min)

Chez InnovatTech, un salarié a quitté l'entreprise mais ses accès VPN, mail et serveurs sont restés actifs pendant 3 mois. Deux semaines après son départ, il s'est reconnecté depuis l'extérieur et a téléchargé des données clients. Résultat : procédure judiciaire, dommages et intérêts, perte de confiance des clients. Comment l'éviter ? Par une politique claire de gestion des comptes, l'application du principe du moindre privilège et une traçabilité fiable des accès.

Section 1 — Modèles d'autorisation et principe du moindre privilège (~50 min)

RBAC — Role-Based Access Control

Dans le modèle RBAC, les permissions sont attribuées à des rôles et non directement aux personnes. Chaque utilisateur est affecté à un ou plusieurs rôles. L'intérêt principal : centralisation et cohérence. Lorsqu'un collaborateur change de poste, on change son rôle et ses autorisations sont automatiquement ajustées.

Rôle InnovatTechRessources accessibles
TechnicienAccès SSH limité serveurs Debian, tickets IT
CommercialPartage réseau \srv\commercial, CRM (lecture/écriture)
DirectionTableaux de bord, rapports financiers (lecture)
PrestataireDroits très limités et temporaires sur des ressources spécifiques

En pratique, RBAC s'implémente dans Active Directory via des groupes de sécurité et des GPO.

ABAC — Attribute-Based Access Control

ABAC base la décision d'autorisation sur des attributs contextuels : qui est l'utilisateur (département, rôle), caractéristiques de l'objet (classification, sensibilité), et conditions de la demande (heure, localisation, appareil). Exemple : accès aux dossiers RH uniquement depuis le réseau interne, entre 8h et 18h, par un membre du département RH.

Principe du moindre privilège

Un compte ne doit disposer que des droits strictement nécessaires pour accomplir sa mission et rien de plus. Objectifs : limiter la surface d'attaque, empêcher les mouvements latéraux en cas de compromission. Ce principe est souvent négligé par commodité ("je m'en occuperai plus tard") — cette mauvaise habitude facilite les escalades de privilèges.

Cycle de vie des comptes

ÉtapeProcédureChez InnovatTech
Provisioning (arrivée)Déclenchement par événement officiel (contrat signé), validation manager, création AD avec droits minimaux, changement MDP au 1er loginTicket IT déclenché par RH, délai max 48h
Modification (mutation)Demande officielle manager + approbation RH, revue des droits existants, suppression des permissions inutiles (éviter le privilege creep)Revue groupes AD et ACL sur partages
Suspension temporaireDésactivation sans suppression (flag Disabled AD), conservation compte et données pour continuité administrativeCongé maternité, arrêt maladie long
Désactivation/Suppression (départ)Désactivation immédiate à la date de sortie ; suppression définitive après délai (6-12 mois) ; checklist : AD, VPN, partages, mail archivéNe jamais supprimer immédiatement : risque de perte de preuves
⚠️ Comptes de service

Les comptes applicatifs ne doivent jamais utiliser des mots de passe partagés en clair. Utiliser des Managed Service Accounts (AD), des coffres-forts (HashiCorp Vault) et une rotation régulière planifiée.

Section 2 — Journalisation et traçabilité (~35 min)

Sans journaux fiables, il est impossible de reconstruire une chaîne d'actions, d'identifier un auteur ou de démontrer la conformité (accountability RGPD). Événements critiques à journaliser :

  • Connexions réussies et échouées
  • Modifications de droits (ajout/suppression dans les groupes sensibles)
  • Accès à des données marquées sensibles
  • Exécutions de commandes privilégiées (sudo)
  • Création et suppression de comptes

Centralisation des logs avec rsyslog (Debian)

# /etc/rsyslog.d/60-centrale.conf
# Envoi de tous les logs vers le serveur central en TCP (port 514)
*.* @@10.0.0.50:514

# Recharger rsyslog après modification
sudo systemctl restart rsyslog
sudo systemctl status rsyslog --no-pager

auditd — Règles d'audit Linux

# /etc/audit/rules.d/99-innovattech.rules

# Tracer toutes les exécutions de sudo
-a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -F perm=x -k sudo_exec
-a always,exit -F arch=b32 -S execve -F path=/usr/bin/sudo -F perm=x -k sudo_exec

# Surveiller les modifications du fichier /etc/passwd
-w /etc/passwd -p wa -k passwd_changes

# Surveiller les modifications de sudoers
-w /etc/sudoers -p wa -k sudoers_changes
-w /etc/sudoers.d -p wa -k sudoers_d_changes

# Appliquer les règles
sudo augenrules --load
sudo auditctl -l  # Vérifier les règles actives

Recherche dans les logs auditd

# Trouver tous les événements sudo
sudo ausearch -k sudo_exec -i

# Rapport d'exécution mensuel
sudo aureport -x --summary --start $(date --date='1 month ago' +%Y-%m-%d) --end $(date +%Y-%m-%d) -i

# Rechercher les modifications de /etc/passwd
sudo ausearch -k passwd_changes -i

Windows Event Log — IDs utiles

Event IDSignification
4624Connexion réussie
4625Échec de connexion
4720Compte créé
4726Compte supprimé
4648Tentative d'authentification avec identifiants explicites

TP — Gestion des comptes et traçabilité (90 min)

Scénario : InnovatTech embauche Léa Martin (commerciale) et met fin à la mission du prestataire Marc Dupont. En parallèle, configurez auditd pour tracer les actions privilégiées.

Étape 1 — Procédure d'arrivée pour Léa Martin

# PowerShell — Contrôleur de domaine AD
Import-Module ActiveDirectory

# 1. Créer le compte AD
New-ADUser -Name "Léa Martin" -GivenName "Léa" -Surname "Martin" `
  -SamAccountName "lmartin" -UserPrincipalName "lmartin@innovattech.local" `
  -Path "OU=Commerciaux,DC=innovattech,DC=local" `
  -AccountPassword (ConvertTo-SecureString "Ch@ngeMe2024!" -AsPlainText -Force) `
  -Enabled $true -ChangePasswordAtLogon $true

# 2. Ajouter au groupe Commerciaux
Add-ADGroupMember -Identity "Commerciaux" -Members "lmartin"

# 3. Accorder l'accès au partage réseau
Grant-SmbShareAccess -Name "commercial" -AccountName "INNOVATTECH\Commerciaux" -AccessRight Change -Force

# 4. Créer le dossier utilisateur
New-Item -Path "\srv-files\commerciaux\lmartin" -ItemType Directory -Force
icacls "\srv-files\commerciaux\lmartin" /grant "INNOVATTECH\lmartin:(OI)(CI)F" /T

Étape 2 — Procédure de départ pour Marc Dupont

# Désactiver le compte AD (NE PAS SUPPRIMER IMMÉDIATEMENT)
Disable-ADAccount -Identity "mdupont"

# Archiver la boîte mail (Exchange Management Shell)
New-MailboxExportRequest -Mailbox "mdupont" -FilePath "\srv-archive\pst\mdupont.pst"

# Documenter la désactivation dans le registre des comptes
Add-Content -Path "C:
egistre-comptes\desactivations.csv" `
  -Value "$(Get-Date -Format yyyy-MM-dd),mdupont,prestataire,compte_desactive"
🔜 Cours suivant — C3.1.3

Mise en conformité RGPD en entreprise : cartographie des traitements, DPIA (Analyse d'Impact), mesures techniques et organisationnelles, gestion des incidents et violations de données.

Synthèse (15 min)

Question finale : Quelle est la différence entre désactiver et supprimer un compte utilisateur ? Pourquoi cette distinction est-elle importante du point de vue RGPD ?

Réponse : Désactiver préserve l'identité, les permissions et les données pour l'audit (accountability RGPD) ; supprimer peut entrer en conflit avec des obligations légales de conservation ou des besoins d'enquête. La procédure recommandée : désactivation immédiate, suppression planifiée après évaluation des obligations.

🎮 Quiz — Testez vos connaissances

3 QCM · 1 Vrai/Faux · 1 Question ouverte

QCM 1 — Modèles de contrôle d'accès

Que signifie RBAC ?

  1. Rules-Based Authority Control
  2. Role-Based Access Control
  3. Rights and Benefits Access Control
  4. Remote Backup and Configuration
📋 Correction

B — Role-Based Access Control. Dans RBAC, les permissions sont attribuées à des rôles (et non directement aux personnes). Un utilisateur se voit affecter un ou plusieurs rôles, et c'est via ces rôles qu'il obtient l'accès aux ressources. Cela facilite la gestion et l'audit des droits dans une organisation.

QCM 2 — Départ d'un collaborateur

Quelle est la bonne pratique recommandée lors du départ immédiat d'un collaborateur ?

  1. Supprimer immédiatement le compte et toutes ses données
  2. Désactiver le compte sans le supprimer, archiver les données et documenter les accès révoqués
  3. Modifier uniquement le mot de passe du compte
  4. Attendre la confirmation écrite du service RH avant toute action
📋 Correction

B. La bonne pratique est de désactiver immédiatement le compte (flag Disabled dans AD) sans le supprimer, afin de conserver les journaux et données pour l'audit (accountability RGPD). La suppression définitive n'intervient qu'après évaluation des obligations légales de conservation (généralement 6 à 12 mois).

QCM 3 — auditd Linux

Qu'est-ce qu'auditd permet de faire sur un serveur Linux ?

  1. Chiffrer automatiquement les fichiers sensibles
  2. Filtrer le trafic réseau entrant et sortant
  3. Tracer les événements bas niveau (syscalls), surveiller les fichiers et commandes critiques
  4. Gérer les certificats TLS du serveur
📋 Correction

C. auditd (daemon d'audit Linux) capture des événements bas niveau : exécutions de commandes (execve), modifications de fichiers sensibles (/etc/passwd, /etc/sudoers), accès à des ressources surveillées. Les règles persistantes sont stockées dans /etc/audit/rules.d/*.rules. Les logs peuvent être interrogés avec ausearch et aureport.

Vrai / Faux

La journalisation des accès aux données personnelles n'est pas requise dans le cadre du RGPD.

📋 Correction

FAUX. Le principe d'accountability (Art. 5 §2) impose au responsable de traitement de pouvoir démontrer sa conformité. La traçabilité des accès fait partie des mesures techniques et organisationnelles nécessaires pour répondre aux contrôles, enquêtes d'incident et audits CNIL. Le registre des traitements (Art. 30) doit d'ailleurs mentionner les mesures de sécurité mises en place, dont la journalisation.

Question ouverte

Expliquez le principe du moindre privilège et donnez un exemple concret de sa mise en œuvre dans l'infrastructure d'InnovatTech (Windows AD + serveurs Debian + NAS Synology).

📋 Éléments de réponse

Le principe du moindre privilège stipule qu'un compte ne doit disposer que des droits strictement nécessaires à l'accomplissement de sa mission, et rien de plus. Objectif : limiter la surface d'attaque et empêcher les mouvements latéraux en cas de compromission. Exemples chez InnovatTech : un commercial a accès en lecture/écriture au partage \srv\commercial via le groupe AD "Commerciaux", mais n'a aucun accès SSH aux serveurs Debian ; un prestataire reçoit des droits temporaires et limités à une ressource spécifique, révoqués à la fin de sa mission ; un compte de service pour les sauvegardes NAS a uniquement les droits d'écriture sur le répertoire de sauvegarde, sans accès aux partages de production.

← C3.1.1 Séance 2 — Droits et sanctions C3.1.3 Séance 1 — Mise en conformité RGPD →