Poser question

Qu’est-ce qu’une Access Control List (ACL) ?

Table des matières

Access Control List (ACL) - définition

Une Access Control List (ACL), ou liste de contrôle d’accès, est un ensemble structuré de règles permettant d’attribuer et de faire respecter des droits d’accès aux ressources, associé à un objet du système, par exemple un fichier, un répertoire, un enregistrement de base de données ou une ressource réseau. Chaque entrée d’ACL (ACE - Access Control Entry) définit le sujet (utilisateur, groupe ou autre entité de sécurité), l’étendue des actions autorisées ou interdites, ainsi que les éventuelles conditions. L’ACL constitue un mécanisme mettant en œuvre les politiques de contrôle d’accès issues des normes de sécurité de l’information et des bonnes pratiques de gestion des identités et des droits.

Le concept d’ACL apparaît dans de nombreuses spécifications techniques, notamment NFSv4 (RFC 7530), WebDAV ACL (RFC 3744), les systèmes de fichiers de type POSIX (POSIX.1e - projet) ainsi que les mécanismes de contrôle d’accès de Windows (DACL et SACL). Dans la gestion de la sécurité de l’information, les ACL soutiennent les exigences des normes ISO/IEC 27001:2022 et ISO/IEC 27002:2022 relatives au contrôle d’accès, ainsi que la famille de contrôles AC de la norme NIST SP 800-53 Rev. 5.

Rôle des ACL dans l’anonymisation des photos et des vidéos

Dans les processus d’anonymisation d’images et de vidéos, les ACL segmentent l’accès aux artefacts sensibles : fichiers originaux, masques d’anonymisation, versions anonymisées et métadonnées de traitement. Cela concerne aussi bien les phases de préparation des données que le fonctionnement des modèles d’IA pour la détection des visages et des plaques d’immatriculation.

  • Original vs version anonymisée - les ACL limitent l’accès aux images et aux pistes audio non traitées aux seuls rôles opérationnellement autorisés et au responsable du contrôle. Les équipes de contrôle qualité ont généralement besoin uniquement des versions anonymisées.
  • Modèles de détection et leurs artefacts - dans les projets de deep learning, l’accès aux jeux de données d’entraînement, aux poids des modèles et aux configurations d’inférence est régi par des ACL selon le principe du moindre privilège. Cela réduit le risque de fuite des données sources utilisées pour entraîner les détecteurs de visages et de plaques.
  • Export et intégrations - les ACL contrôlent les droits d’exportation, de publication et de partage, ce qui est essentiel pour la conformité à l’article 32 du RGPD concernant la sécurité du traitement.
  • Traçabilité et audit - dans les systèmes enregistrant les événements de sécurité, les ACL peuvent également définir le périmètre de l’audit (par exemple la SACL sous Windows). Dans le contexte de Gallio PRO, les journaux ne contiennent pas d’informations sur les détections de visages et de plaques d’immatriculation, ce qui limite le risque de conservation de données personnelles dans les logs opérationnels.

Technologies et implémentations des ACL

L’ACL est un mécanisme présent aux niveaux système et applicatif. En pratique, il est souvent combiné à des services d’identité ainsi qu’à des modèles de contrôle d’accès basés sur les rôles ou sur les attributs.

  • Systèmes de fichiers et protocoles - POSIX ACL (POSIX.1e - projet), NFSv4 ACL (RFC 7530), DACL/SACL sous Windows, WebDAV ACL (RFC 3744). Ils assurent l’application des droits d’accès aux fichiers contenant des contenus originaux et anonymisés.
  • Modèles d’autorisation - RBAC et ABAC. La norme NIST SP 800-162 décrit l’ABAC, souvent combiné aux ACL lorsque les conditions d’accès dépendent d’attributs contextuels (par exemple le projet, le niveau de sensibilité ou le lieu de traitement on‑premise).
  • Identité et fédération - LDAP/AD, Kerberos, SAML 2.0, OpenID Connect. Les fournisseurs d’identité délivrent les identifiants utilisés dans les ACE.
  • Couche applicative - dans les systèmes de traitement vidéo, les ACL définissent les vues et les opérations : consultation des originaux, édition des masques, validation des lots, exportation. Dans Gallio PRO, l’automatisation couvre uniquement les visages et les plaques d’immatriculation, tandis que les autres objets peuvent être masqués manuellement dans l’éditeur ; les ACL permettent d’attribuer ces tâches aux rôles appropriés.

Paramètres clés et indicateurs du contrôle d’accès

La mesurabilité et la cohérence des politiques d’ACL sont essentielles pour la conformité et l’efficacité opérationnelle. Ci‑dessous figurent une structure type d’entrée d’ACL et des indicateurs d’exploitation.

Champ

Description

 

Subject

Utilisateur, groupe ou service (par exemple le rôle « Anonymization‑Operator »).

Resource

Périmètre de la ressource, par exemple /repo/originals, /repo/redacted, model://faces‑vX.

Permission

Opérations autorisées, par exemple read, write, execute, export, approve.

Effect

allow ou deny, avec une priorité dépendant de l’implémentation.

Condition

Conditions contextuelles, par exemple l’horaire, la zone réseau ou un attribut de projet.

Expiry

Date ou durée de validité de l’entrée, par exemple un accès temporaire aux originaux.

Lors de la conception, il est recommandé de maintenir un ensemble clair d’indicateurs facilitant l’audit et l’amélioration continue.

  • Couverture des politiques - pourcentage de ressources visuelles et de modèles disposant d’ACL explicitement définies.
  • Séparation des tâches - nombre de cas où un même rôle peut à la fois anonymiser et approuver la publication d’un contenu.
  • Délai de mise en œuvre des changements - temps écoulé entre la demande d’attribution ou de retrait d’un droit et son application effective dans le système.
  • Taux de refus justifiés - proportion de refus légitimes par rapport à l’ensemble des refus, indicateur de la qualité des politiques et des erreurs de configuration.

Défis et limites des ACL

Les ACL offrent un contrôle précis, mais exigent une discipline de conception et d’exploitation. Dans les systèmes de traitement d’images et de vidéos, plusieurs difficultés récurrentes apparaissent.

  • Complexité et cohérence - l’augmentation du nombre d’ACE accroît le risque d’effets de bord lorsque les règles se chevauchent partiellement. Des revues régulières des politiques et des modèles RBAC mappés sur les ACL sont utiles.
  • Héritage - un héritage incorrect des droits dans les hiérarchies de répertoires peut exposer des fichiers originaux à des personnes non autorisées. Des tests de régression des politiques sont recommandés.
  • Conditions contextuelles - l’ABAC améliore l’expressivité des politiques, mais complique leur validation. Des tests de type policy‑as‑code sont nécessaires.
  • Audit - lorsque l’organisation journalise les accès, le contenu des logs ne doit pas inclure de données personnelles. Dans Gallio PRO, les journaux de détection des visages et des plaques d’immatriculation ne sont pas collectés par défaut.
  • Conformité - les politiques doivent respecter les principes de minimisation des données et d’intégrité du traitement conformément aux articles 5 et 32 du RGPD.

Exemples d’utilisation des ACL dans le contexte de Gallio PRO

Les scénarios suivants illustrent la mise en correspondance pratique des rôles et des autorisations avec les étapes d’anonymisation des contenus visuels. Gallio PRO fonctionne on‑premise, masque automatiquement les visages et les plaques d’immatriculation, tandis que d’autres objets peuvent être masqués manuellement dans l’éditeur.

  • Contrôle d’accès aux originaux - seuls le délégué à la protection des données et les opérateurs désignés disposent d’un droit de lecture sur le répertoire des contenus sources. Les équipes de contrôle qualité travaillent sur des versions anonymisées.
  • Séparation des rôles - les opérateurs d’anonymisation peuvent appliquer des masques et générer le résultat, mais ne peuvent pas approuver la publication. Cette validation relève des rôles de supervision.
  • Accès aux modèles - l’équipe ML est autorisée à entraîner et à mettre à jour les détecteurs de visages et de plaques. L’inférence en production utilise uniquement des modèles signés et approuvés, en lecture seule.
  • Exportation et partage - seules certaines fonctions peuvent exporter des contenus anonymisés en dehors de l’environnement on‑premise. Les ACL bloquent l’exportation des originaux.
  • Éditeur manuel - les personnes autorisées peuvent ajouter des masques à d’autres objets (par exemple des logos) en mode manuel. Les ACL limitent cette fonctionnalité à des projets spécifiques.

Références normatives et sources

La bibliographie ci‑dessous regroupe les normes et documents de référence utilisés pour la définition et la mise en œuvre des ACL dans la sécurité du traitement des images et des vidéos.

  • ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO, 2022.
  • ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection - Information security controls. ISO, 2022. Contrôles relatifs à l’accès et à la gestion des identités.
  • NIST SP 800‑53 Rev. 5 - Security and Privacy Controls for Information Systems and Organizations. NIST, 2020. Famille AC - Access Control. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
  • NIST SP 800‑162 - Guide to Attribute Based Access Control (ABAC). NIST, 2014. https://csrc.nist.gov/publications/detail/sp/800-162/final
  • RFC 7530 - Network File System (NFS) Version 4 Protocol. IETF, 2015. Définitions des ACL dans NFSv4. https://www.rfc-editor.org/rfc/rfc7530
  • RFC 3744 - WebDAV Access Control Protocol. IETF, 2004. https://www.rfc-editor.org/rfc/rfc3744
  • Microsoft Docs - Access Control Lists. Description des DACL et SACL sous Windows. Microsoft, documentation en cours. https://learn.microsoft.com/windows/win32/secauthz/access-control-lists
  • Règlement (UE) 2016/679 (RGPD) - articles 5 et 32 - principes de minimisation des données et de sécurité du traitement. EUR‑Lex, 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj

Voir aussi

Retour au glossaire