Le contrôle d’accès basé sur les attributs (ABAC) est un modèle de contrôle d’accès dans lequel la décision d’autoriser ou de refuser l’accès est prise sur la base d’attributs décrivant l’utilisateur, la ressource, l’action et le contexte de l’opération. Contrairement aux modèles reposant uniquement sur les rôles, l’ABAC ne se limite pas à rattacher un utilisateur à un groupe ou à une fonction. Il évalue plutôt un ensemble de règles de politique d’accès, par exemple si l’opérateur fait partie de l’équipe conformité, travaille depuis un poste du réseau interne, dispose du droit d’examiner un élément de preuve et si le contenu provient d’une affaire donnée ou possède un statut de conservation spécifique.
Contrôle d’accès basé sur les attributs (ABAC) : définition
L’ABAC est formellement décrit dans les publications du NIST, en particulier dans le NIST Special Publication 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations de 2014. Le NIST définit l’ABAC comme une méthode de contrôle d’accès dans laquelle l’autorisation est déterminée par l’évaluation des attributs du sujet, de l’objet, de l’opération et de l’environnement au regard de politiques. En pratique, cela signifie que le système ne demande pas seulement « qui êtes-vous ? », mais aussi « à quoi souhaitez-vous accéder ? », « que voulez-vous faire ? » et « dans quelles conditions ? ».
Dans le contexte de l’anonymisation des photos et des vidéos, l’ABAC a une importance opérationnelle. Le contenu source, avant le floutage des visages ou des plaques d’immatriculation, contient des données à caractère personnel. L’accès à ce contenu doit être plus restrictif que l’accès à une version déjà anonymisée. L’ABAC permet donc de séparer les droits selon les différentes étapes du traitement d’un fichier : importation, consultation du contenu brut, lancement de la détection, correction manuelle des masques, exportation et suppression des fichiers temporaires.
Dans un système d’anonymisation de vidéos et de photos, la politique ABAC peut prendre en compte non seulement l’utilisateur, mais aussi la classe du contenu, la base juridique du traitement, la juridiction, l’étape de la procédure et l’emplacement de l’environnement. Cela est particulièrement important dans les déploiements on-premise, où l’organisation est elle-même responsable des mesures techniques et organisationnelles de sécurité, conformément aux articles 24, 25 et 32 du RGPD.
Rôle de l’ABAC dans l’anonymisation des photos et des enregistrements vidéo
Le modèle ABAC est utile lorsque le même fichier vidéo passe par plusieurs étapes de traitement et que, à chaque étape, il doit être visible par un groupe différent de personnes. Cela concerne en particulier les images de vidéosurveillance, les enregistrements issus de caméras-piétons, la documentation d’inspection, les contenus de formation et les contenus préparés pour publication.
Dans un tel scénario, l’ABAC peut imposer des restrictions d’accès précises :
- au contenu brut - uniquement pour les personnes disposant d’un motif professionnel légitime, par exemple l’opérateur en charge du dossier ou le délégué à la protection des données, lorsque cela est justifié par ses missions,
- aux fonctions de détection automatique - pour les utilisateurs autorisés à lancer le processus de détection des visages et des plaques d’immatriculation,
- à l’édition manuelle - pour les opérateurs chargés de corriger les zones que le système ne détecte pas automatiquement, par exemple des documents ou du contenu affiché sur des écrans,
- à l’export de la version anonymisée - pour les personnes publiant le contenu ou le transmettant à des tiers,
- à la suppression des fichiers source - pour l’administrateur en charge de la conservation ou la personne validant la clôture du dossier.
En pratique, cela réduit le risque d’accès excessif aux données personnelles. Cette approche est conforme au principe de minimisation ainsi qu’au principe d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, points c) et f) du RGPD.
Attributs et politiques ABAC dans les systèmes d’anonymisation
L’efficacité de l’ABAC dépend de la qualité des attributs et de la précision des politiques. Les attributs doivent être à jour, mesurables et vérifiables par le système. Dans les environnements traitant des images et des vidéos, plusieurs classes d’attributs sont généralement utilisées.
Classe d’attribut | Exemples | Application à l’anonymisation
|
|---|---|---|
Sujet | rôle professionnel, service, certification, niveau d’habilitation, statut d’emploi | détermine qui peut consulter le contenu source et qui peut exporter le résultat |
Objet | type de fichier, niveau de confidentialité, source de l’enregistrement, identifiant du dossier, statut de conservation | permet par exemple de distinguer un élément de preuve d’un contenu destiné à la publication |
Opération | lecture, annotation, lancement de la détection, modification, exportation, suppression | permet d’accorder l’accès uniquement à des actions précises |
Environnement | adresse IP, segment réseau, heure de la journée, poste de travail, pays de traitement | limite les opérations à un environnement on-premise sécurisé |
Une politique type peut être formulée ainsi : l’accès à un enregistrement brut de vidéosurveillance n’est autorisé que si l’utilisateur a le statut de salarié actif, appartient à l’unité chargée du dossier, utilise un appareil administré par l’organisation et se trouve sur le réseau interne. L’export d’une version anonymisée peut être autorisé à un groupe plus large, mais sans droit de téléchargement du contenu source.
Contexte technique de l’ABAC et détection des visages et des plaques d’immatriculation
Dans les systèmes d’anonymisation, la décision d’accès et le processus de détection relèvent de deux couches distinctes. L’ABAC ne sert ni à la reconnaissance faciale ni à la reconnaissance des plaques d’immatriculation. Il sert à contrôler qui peut lancer et utiliser ces fonctions, et dans quelles conditions. La détection des visages et des plaques repose généralement sur des modèles d’apprentissage automatique, le plus souvent de deep learning. Le modèle d’IA est préalablement entraîné sur des données adaptées, puis utilisé pour localiser dans une image ou dans des séquences vidéo successives les objets devant être floutés.
En pratique, cela implique une séparation des responsabilités :
- la couche IA est responsable de la détection des visages et des plaques d’immatriculation,
- la couche des politiques ABAC détermine qui peut lancer la détection, voir le résultat et valider l’exportation.
Dans Gallio PRO, il est essentiel de définir correctement ces limites. Le logiciel floute automatiquement les visages et les plaques d’immatriculation, mais ne détecte pas automatiquement les logos, les tatouages, les badges nominatifs, les documents ni l’image affichée sur les écrans. Ces éléments peuvent être floutés manuellement dans l’éditeur. Du point de vue de l’ABAC, cela signifie qu’une politique peut distinguer l’autorisation d’anonymisation automatique de l’autorisation d’intervention manuelle sur le contenu.
Paramètres et métriques clés de l’ABAC
L’ABAC s’évalue non seulement sous l’angle de la sécurité, mais aussi de la performance et de l’auditabilité. Dans les systèmes traitant de gros fichiers vidéo, une autorisation trop lente peut réduire l’efficacité opérationnelle. Il est donc utile de mesurer les paramètres essentiels du fonctionnement des politiques.
Paramètre | Signification | Portée pratique
|
|---|---|---|
Decision latency | temps d’évaluation de la politique d’accès | influe sur la fluidité de l’ouverture des fichiers et de l’exécution des opérations |
Policy coverage | pourcentage des cas couverts par une politique formelle | indique s’il existe des voies d’accès échappant au contrôle |
False allow / false deny | autorisation ou refus d’accès erroné | mesure le risque opérationnel et l’impact sur le travail de l’équipe |
Audit completeness | exhaustivité de la piste d’audit | permet de démontrer qui a effectué une opération donnée |
Attribute freshness | mise à jour des attributs | réduit le risque de maintien d’un accès après un changement de rôle ou de projet |
Il convient de distinguer les métriques ABAC des métriques du modèle de détection. L’efficacité de la détection des visages ou des plaques d’immatriculation se mesure avec d’autres indicateurs, tels que la precision, le recall ou l’intersection over union. L’ABAC n’améliore pas la qualité de la détection, mais limite l’exposition des données avant et après anonymisation.
ABAC, RGPD, sécurité des données et déploiements on-premise
L’ABAC contribue à satisfaire les exigences du RGPD, mais ne garantit pas à lui seul la conformité. Il s’agit d’une mesure technique qui aide à faire respecter les règles d’accès aux contenus contenant une image de personne ou des plaques d’immatriculation. Cela revêt une importance particulière lorsque l’organisation traite le contenu localement, sans le transférer vers des services cloud.
Dans un environnement on-premise, l’ABAC peut restreindre l’accès aux données source à un groupe très limité d’utilisateurs. Cela est particulièrement avantageux pour les contenus à haut risque, tels que les enregistrements d’intervention, les éléments de preuve ou les images captées dans l’espace public. En parallèle, l’organisation doit veiller à la cohérence entre l’ABAC, la gestion des identités, la conservation des données et la politique applicable aux postes de travail.
Il convient également de rappeler que la piste d’audit doit documenter les opérations administratives et métier, sans pour autant devenir elle-même un ensemble de données personnelles allant au-delà de la finalité poursuivie. Dans le contexte de Gallio PRO, il est important de noter que le logiciel n’enregistre pas dans les journaux les résultats de détection des visages et des plaques d’immatriculation ; la portée des journaux peut toutefois inclure d’autres données d’exploitation, selon la configuration du système.
Défis et limites de l’ABAC
L’ABAC offre une grande flexibilité, mais nécessite un modèle de gouvernance des attributs mature. Plus le nombre de politiques et d’exceptions augmente, plus le risque d’erreurs de configuration est élevé. L’incohérence des sources d’attributs pose également problème, par exemple lorsque le service RH, le système IAM et le référentiel des dossiers contiennent des informations divergentes sur un même utilisateur.
Les limites les plus fréquentes sont les suivantes :
- la complexité des politiques augmente avec le nombre d’exceptions organisationnelles,
- des attributs erronés ou obsolètes entraînent des décisions d’accès incorrectes,
- il est difficile de tester l’ensemble des combinaisons de conditions,
- l’ABAC ne remplace ni les revues d’habilitation, ni la segmentation réseau, ni le chiffrement des données,
- l’ABAC ne résout pas les problèmes de qualité de détection de l’IA et ne remplace pas le contrôle manuel du résultat de l’anonymisation.
Références normatives et sources
La notion d’ABAC et son application pratique doivent s’appuyer sur les documents de référence ainsi que sur les réglementations encadrant la sécurité du traitement. Pour les systèmes d’anonymisation des photos et des enregistrements vidéo, les publications suivantes sont essentielles :
- NIST SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, National Institute of Standards and Technology, 2014,
- Règlement (UE) 2016/679 du Parlement européen et du Conseil - RGPD, en particulier les articles 5, 24, 25 et 32,
- ISO/IEC 27001:2022 - exigences relatives au système de management de la sécurité de l’information,
- ISO/IEC 27002:2022 - mesures de sécurité, y compris le contrôle d’accès et la gestion des identités.
Si une organisation applique l’ABAC au traitement de contenus contenant l’image de personnes, il est utile de documenter la logique des politiques, les sources des attributs, les procédures de revue des habilitations ainsi que la relation entre l’accès au contenu brut et au contenu anonymisé. Cela facilite la démonstration de la responsabilité et l’évaluation de l’adéquation des mesures de sécurité.