Contrôle d'accès

Le contrôle d'accès est l'ensemble des solutions techniques permettant de sécuriser et de gérer les accès physiques à un bâtiment ou un site, ou les accès logiques à un système d'information^[1]. Il constitue un pilier fondamental de la cybersécurité en garantissant que seules les entités autorisées peuvent accéder aux ressources d'une organisation^[2].

Le contrôle d'accès est une technique de sécurité basée sur l'autorisation qui détermine les ressources qu'un utilisateur ou système peut voir ou avec lesquelles il peut interagir au sein d'une infrastructure informatique^[2]. Les systèmes de contrôle d'accès vérifient d'abord les informations d'identification d'un utilisateur ou d'un autre système, puis accordent un accès adapté au rôle ou au niveau d'habilitation qui lui est attribué^[2].

On distingue deux grandes dimensions :

• Le contrôle d'accès physique limite l'entrée aux bâtiments, salles et équipements (badges, clés électroniques, lecteurs biométriques)^[3].
• Le contrôle d'accès logique restreint les connexions aux réseaux informatiques, fichiers système et données^[3].

Dans sa forme la plus simple, le contrôle d'accès repose sur trois étapes successives, décrites par le protocole AAA (Authentication, Authorization, Accounting)^[4] :

1. L'Authentification : vérification de l'identité de l'entité demandant l'accès (mot de passe, biométrie, MFA)^[5].
2. L'Autorisation : vérification que l'entité authentifiée dispose bien des droits requis pour accéder à la ressource sollicitée^[6].
3. La Traçabilité (Accounting) : collecte d'informations sur l'utilisation des données (durée de connexion, adresse IP, actions effectuées)^[4].

Plusieurs modèles théoriques ont été développés pour formaliser les politiques de contrôle d'accès^[7].

Dans le modèle DAC (Discretionary Access Control), chaque propriétaire de ressource décide lui-même des droits d'accès qu'il attribue aux autres utilisateurs. Il peut accorder, modifier ou retirer des permissions à sa discrétion^[8]. Ce modèle a été défini par le département de la Défense américain dans le Trusted Computer Security Evaluation Criteria (TCSEC)^[8]. Il est intégré à la plupart des systèmes d'exploitation courants, notamment via les systèmes de fichiers POSIX^[9].

Dans le modèle MAC (Mandatory Access Control), une autorité centrale régule les droits d'accès et les organise en niveaux hiérarchiques. Les utilisateurs ne peuvent pas modifier les règles d'accès définies par l'administration^[5]. Le modèle Bell-LaPadula, développé en 1973, est l'une des formalisations historiques du MAC ; il vise à garantir la confidentialité des données en définissant deux propriétés fondamentales : no read up (interdiction de lire des données d'un niveau supérieur de classification) et no write down (interdiction d'écrire vers un niveau inférieur)^[7]. Le modèle Biba, complémentaire, se concentre quant à lui sur l'intégrité des données^[10].

Le modèle RBAC (Role-Based Access Control) attribue des permissions à des rôles fonctionnels plutôt qu'à des utilisateurs individuels. Les utilisateurs se voient attribuer un ou plusieurs rôles correspondant à leurs fonctions au sein de l'organisation^[9]. Ce modèle a été normalisé en 1992 par David Ferraiolo et Rick Kuhn, puis élevé au rang de standard ANSI/INCITS en 2004^[7]. Une étude du NIST a démontré que le RBAC convient à la majorité des besoins des entreprises et organisations^[9].

Le modèle ABAC (Attribute-Based Access Control) est une évolution du RBAC qui prend en compte, en plus des rôles, un ensemble plus large d'attributs : attributs de l'utilisateur (identité, rôle, localisation), de la ressource (type, niveau de sensibilité) et du contexte (heure d'accès, état du réseau)^[2]. La logique booléenne (instructions de type SI... ALORS) permet de définir des politiques d'accès fines et dynamiques^[8]. Ce modèle constitue le socle technique des architectures Zero Trust^[11].

Les ACL (Access Control Lists) définissent, pour chaque ressource, la liste des utilisateurs ou systèmes autorisés ainsi que les actions qu'ils peuvent effectuer. Elles constituent l'implémentation opérationnelle la plus répandue du modèle DAC^[2]. Elles sont couramment utilisées dans les pare-feux réseau pour filtrer le trafic entrant et sortant.

La IAM (Identity and Access Management) désigne l'ensemble des processus et technologies permettant à une organisation de gérer de façon centralisée les identités numériques et les droits d'accès de ses utilisateurs. Elle combine des mécanismes d'authentification multifacteur (MFA), de Single Sign-On (SSO), de gestion du cycle de vie des identités et de contrôle d'accès basé sur les rôles^[12].

Le modèle Zero Trust remet en cause le principe traditionnel de confiance implicite accordée aux utilisateurs internes à un réseau. Dans ce paradigme, chaque demande d'accès doit être vérifiée indépendamment de son origine, en appliquant le principe du moindre privilège (n'accorder que les droits strictement nécessaires à la tâche)^[11]. L'ANSSI a publié en juin 2025 un document de référence sur les fondamentaux du Zero Trust, soulignant la nécessité de contrôles granulaires, dynamiques et régulièrement réévalués^[11].

L'optimisation des systèmes de contrôle d'accès repose de plus en plus sur le concept de coût total de possession (TCO)^[13]. L'évolutivité des infrastructures, par l'adoption de solutions modulaires (logicielles et matérielles), permet d'ajuster les capacités des systèmes sans nécessiter un remplacement complet du parc existant. Cette approche permet de prolonger le cycle de vie des équipements, réduisant ainsi les coûts liés à l'obsolescence matérielle et aux interventions lourdes de maintenance^[14].

Le secteur du contrôle d'accès électronique intègre progressivement des principes d'éco-conception pour limiter son empreinte environnementale. Cette démarche, alignée sur des normes internationales comme l'ISO 14006^[15], se décline autour de trois axes :

• Efficacité énergétique : Généralisation de protocoles de communication basse consommation et intégration de modes de veille profonde pour les lecteurs.
• Durabilité et réparabilité : Conception visant à faciliter le démontage et le remplacement de composants spécifiques plutôt que du système complet, limitant ainsi la production de déchets d'équipements électriques et électroniques (DEEE).
• Sobriété numérique : Optimisation du code des solutions de gestion pour réduire la charge serveur et les besoins en stockage de données.

Le contrôle d'accès est étroitement lié aux exigences réglementaires en matière de sécurité de l'information :

• Le RGPD impose aux organisations stockant des données personnelles de mettre en place un contrôle d'accès efficace^[4].
• La norme ISO/IEC 27001 exige que les organisations vérifient et gèrent les vulnérabilités relatives aux accès à leurs systèmes d'information^[16].
• Les normes PCI DSS et HIPAA (secteur financier et santé) imposent également des contrôles d'accès stricts^[16].
• En France, l'ANSSI a publié en 2020 des recommandations spécifiques portant sur la sécurisation des systèmes de contrôle d'accès physique et de vidéosurveillance^[17].

En France, le marché du contrôle d'accès physique est composé d'acteurs de la sécurité électronique et d'entreprises spécialisées dans la souveraineté numérique. Le secteur est marqué par des exigences élevées en matière de certification. La profession est représentée par des organisations de la sécurité électronique qui assurent la structuration de la filière et la qualification des installateurs^[18].

• Contrôle d'accès logique
• Contrôle d'accès à base de rôles
• Authentification
• Gestion des identités et des accès
• Zero Trust
• Cybersécurité

• ANSSI — Modèle Zero Trust, les fondamentaux (2025)
• ISO — Qu'est-ce que le contrôle d'accès ?
• HAL Science — Contrôler les accès aux données numériques

• Portail de l’informatique
• Portail de la sécurité des systèmes d'information