Sécurité: les trois types d’authentification

securite si

La gestion des risques est l’une des préoccupations majeures des DSI. C’est en fait l’un des cinq piliers de la gouvernance des systèmes d’information définis par l’ISACA (Information Systems Audit and Control Association). En matière de bonnes pratiques et d’une façon générale, la famille des référentiels ISO27000 traite des différents aspects de la sécurité de l’information au sein d’une organisation. En particulier, le référentiel ISO 27001 définit les exigences de mise en place d’un système de management de la sécurité de l’information (SMSI) adapté aux besoins de l’organisation en termes de sécurité de l’information. Dans la même famille de référentiels, le référentiel ISO 27002 (anciennement 17799) se veut être un ensemble de mesures de sécurité (bonnes pratiques) qui a défini trois caractéristiques fondamentales pour l’information : la disponibilité, l’intégrité et la confidentialité. Ces mesures de sécurité sont au nombre de 133 étalées sur les 11 chapitres dudit référentiel.

L’un des grands concepts de la sécurité de l’information est celui de l’authentification. En effet, il faut tout d’abord faire attention à ne pas confondre « authentification » et « autorisation » ; ces deux termes qui peuvent sembler vouloir dire la même chose alors que concrètement la différence entre eux n’est pas anodine. Si le premier signifie la vérification d’une identité en vue d’accéder à un système, le deuxième terme fait référence à une capacité d’agir sur une partie d’un système et une possession d’un droit qui confère à son propriétaire de procéder à une (des) opération(s) déterminée(s).

L’authentification vis-à-vis d’un système se fait à partir d’une ou plusieurs approches parmi les suivantes :

What you have : La reconnaissance de l’identité du demandeur de service se fait au moyen de quelque chose qu’il possède. L’exemple le plus courant est l’accès à une résidence ou aux locaux d’une entreprise par un badge personnel ou un badge visiteur.

What you know : Dans ce type d’authentification, l’utilisateur est reconnu par le système grâce à « un secret » qu’il connait. C’est le type le plus courant d’authentification, et l’exemple le plus classique est celui d’un mot de passe.

What you are : Ce type d’authentification est basé sur quelque chose qui appartient uniquement à l’utilisateur. Un contrôle d’accès par empreinte ou par reconnaissance vocale sont des exemples courants.

A un niveau de sécurité plus haut, il existe évidemment des modes d’authentification qui s’appuient sur plusieurs types parmi ceux cités plus haut comme, par exemple, une authentification bancaire ou une carte et un mot de passe sont requis est une combinaison des types 1 et 2 (What you have, What you know).

About these ads
Tagged with: , ,
Posted in Gouvernance des SI, Sécurité des SI
4 comments on “Sécurité: les trois types d’authentification
  1. […] revenant brièvement à un article récemment publié sur ce blog (Les trois types d’authentification), on trouvera que l’authentification peut se faire au moyen de trois éléments: […]

  2. […] (piste d’audit). En revenant brièvement à un article récemment publié sur ce blog (Les trois types d’authentification), on trouvera que l’authentification peut se faire au moyen de trois éléments: Ce […]

  3. […] La gestion des risques est l’une des préoccupations majeures des DSI. C’est en fait l’un des cinq piliers de la gouvernance des systèmes d’information définis par l’ISACA (Information Systems Audit…  […]

  4. […] La gestion des risques est l’une des préoccupations majeures des DSI. C’est en fait l’un des cinq piliers de la gouvernance des systèmes d’information définis par l’ISACA (Information Systems Audit…  […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Entrez votre adresse mail ci-dessous pour suivre ce blog et être notifié par email des nouvelles publications.

Join 316 other followers

Categories
Archives
Follow

Get every new post delivered to your Inbox.

Join 316 other followers

%d bloggers like this: