La séparation des privilèges consiste à répartir les rôles, les accès et les composants d'un système entre plusieurs entités distinctes, pour qu'aucune ne concentre tous les pouvoirs. L'idée tient en une phrase : si un élément est compromis, les dégâts restent contenus à sa zone, au lieu de se propager à tout le système. Cette page vous explique en quoi consiste ce principe, comment l'appliquer concrètement (comptes séparés, double validation, cloisonnement du réseau) et pourquoi il limite l'ampleur d'une attaque. Elle s'adresse aux personnes qui débutent en sécurité, sans prérequis particulier.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »Le vocabulaire de la sécurité peut sembler abstrait, alors partons du concret. En lisant cette page, vous saurez :
- Définir la séparation des privilèges avec des mots simples et une image du quotidien.
- Distinguer ce principe du moindre privilège, avec lequel on le confond souvent.
- Appliquer trois pratiques accessibles : comptes distincts, double validation et cloisonnement réseau.
- Comprendre pourquoi cloisonner limite les dégâts d'une compromission, à travers un scénario concret.
- Relier ce concept aux idées voisines du site : le moindre privilège, la défense en profondeur et le modèle de menaces SOCLE.
Qu'est-ce que la séparation des privilèges
Section intitulée « Qu'est-ce que la séparation des privilèges »Un privilège, en informatique, c'est un droit d'agir : lire un fichier, modifier une base de données, éteindre un serveur, déployer une application. La séparation des privilèges est le principe qui consiste à ne pas concentrer ces droits sur une seule personne, un seul compte ou un seul composant. On les répartit entre des entités indépendantes, de sorte qu'aucune ne puisse, à elle seule, tout faire.
L'image la plus parlante est celle des compartiments étanches d'un navire. Une coque n'est pas un grand espace unique : elle est découpée en sections isolées par des cloisons. Si une brèche s'ouvre dans un compartiment, l'eau reste piégée dans cette section, et le navire flotte. Sans cloisons, la moindre voie d'eau envahirait toute la coque et coulerait le bateau. Un système informatique cloisonné fonctionne pareil : une intrusion dans une zone ne noie pas le reste.
Une seconde image aide à comprendre la répartition des droits : les clés séparées d'un coffre. Un coffre bien conçu ne s'ouvre pas avec une seule clé détenue par une seule personne. Il faut par exemple la clé du responsable et un code confié à quelqu'un d'autre. Aucun individu, seul, ne peut ouvrir le coffre : il faut la coopération de plusieurs. Voler une clé ne suffit pas.
Attention à ne pas confondre ce principe avec le moindre privilège, qui est proche mais différent. Le moindre privilège répond à la question combien de droits : donner à chaque entité le strict minimum dont elle a besoin, rien de plus. La séparation des privilèges répond à une autre question : ne pas tout concentrer au même endroit. On peut donner peu de droits à quelqu'un (moindre privilège) tout en les concentrant tous sur ce même compte (mauvaise séparation). Les deux principes sont complémentaires et se renforcent.
Comment l'appliquer
Section intitulée « Comment l'appliquer »La séparation des privilèges n'est pas une théorie réservée aux experts. Elle se traduit par des pratiques concrètes et accessibles. En voici trois, les plus utiles au quotidien.
Des comptes distincts par service et par personne
Section intitulée « Des comptes distincts par service et par personne »Un compte est une identité numérique à laquelle sont rattachés des droits. La première règle de séparation est de ne pas partager un même compte entre plusieurs usages. Chaque service et chaque personne a son propre compte, avec ses propres droits.
Concrètement, cela veut dire : un compte pour l'application qui affiche le site, un autre pour celle qui accède aux données sensibles, un autre encore pour les sauvegardes. Si l'un de ces comptes est compromis (un mot de passe volé, une faille exploitée), l'attaquant hérite uniquement des droits de ce compte, pas de tous les autres. Le partage d'un compte unique casse cette protection : la moindre fuite donne accès à tout.
La séparation des tâches et la double validation
Section intitulée « La séparation des tâches et la double validation »La séparation des tâches (en anglais separation of duties) découpe une action sensible en plusieurs étapes confiées à des personnes différentes. Personne ne réalise une opération critique de bout en bout tout seul.
L'exemple le plus courant est la double validation : une personne prépare une action (mettre du code en production, virer une somme d'argent, supprimer des données), une autre personne la vérifie et l'approuve avant qu'elle s'exécute. Ce contrôle croisé sert deux buts : il bloque une erreur avant qu'elle cause des dégâts, et il empêche un acteur unique (compromis ou malveillant) d'agir seul. C'est exactement le principe des deux clés du coffre, appliqué aux gestes du quotidien.
Le cloisonnement du réseau
Section intitulée « Le cloisonnement du réseau »Le cloisonnement réseau consiste à découper le réseau en zones isolées qui ne peuvent pas se parler librement. Chaque zone ne communique qu'avec les zones strictement nécessaires, et rien d'autre.
Par exemple, on place la partie publique d'un service (celle exposée à internet) dans une zone, et la base de données dans une zone séparée à laquelle internet n'a aucun accès direct. Un attaquant qui prend la main sur la partie publique se retrouve bloqué par la frontière réseau : il ne peut pas sauter directement vers la base de données. Ce sont les cloisons du navire, transposées au réseau. Sans elles, entrer par la porte d'entrée donnerait accès à toutes les pièces.
Pourquoi ça limite les dégâts
Section intitulée « Pourquoi ça limite les dégâts »Un système sans séparation ressemble à une maison sans cloisons intérieures : franchir la porte donne accès à tout. Un système cloisonné oblige un attaquant à franchir plusieurs barrières successives, chacune protégée différemment. Chaque frontière ralentit sa progression et réduit ce qu'il peut atteindre.
Le bénéfice se mesure en impact contenu. Sans séparation, une seule compromission peut valoir compromission totale : un compte volé, et tout tombe. Avec séparation, la même compromission reste limitée à une zone. L'attaquant obtient un morceau du système, pas l'ensemble. Il faut qu'il enchaîne plusieurs attaques indépendantes pour aller plus loin, ce qui multiplie ses chances d'échouer et d'être repéré.
La séparation apporte aussi de la traçabilité. Quand chaque personne et chaque service a son propre compte, on sait qui a fait quoi. Avec un compte unique partagé, impossible de savoir qui est à l'origine d'une action : tout le monde se cache derrière la même identité. Savoir remonter à la source d'un geste est essentiel pour comprendre un incident et y répondre.
Un scénario concret
Section intitulée « Un scénario concret »Prenons une boutique en ligne. La partie publique affiche les produits et prend les commandes. Une base de données stocke les informations des clients : noms, adresses, historiques d'achat. Comparons deux façons de la concevoir.
Sans séparation des privilèges. La partie publique tourne avec un compte qui a tous les droits sur la base de données, et rien ne cloisonne le réseau. Un attaquant découvre une faille dans la page de connexion. En l'exploitant, il obtient l'accès de ce compte tout-puissant. Il lit toutes les données clients, les modifie, les efface. Une seule faille, et c'est la fuite totale.
Avec séparation des privilèges. La partie publique utilise un compte limité et cloisonné. La base de données vit dans une zone réseau séparée, injoignable directement depuis internet. Les modifications sensibles (effacer des données en masse, par exemple) exigent une validation par une seconde personne. L'attaquant exploite la même faille, mais il se heurte aux frontières : son compte ne peut pas tout lire, la base est hors de portée directe, et l'action destructrice est bloquée faute d'approbation. La brèche existe, mais elle reste contenue à un compartiment.
C'est toute la différence : dans les deux cas, une faille est présente. Ce qui change, c'est l'ampleur des dégâts qu'elle permet.
Pièges courants
Section intitulée « Pièges courants »Bien intentionné, on peut vider ce principe de son sens sans s'en rendre compte. Voici les erreurs les plus fréquentes.
Le piège numéro un est le compte administrateur unique pour tout. Par commodité, on crée un seul compte tout-puissant que tout le monde utilise pour tout : administrer les serveurs, déployer, accéder aux données. C'est exactement l'inverse de la séparation. Ce compte devient un point unique de défaillance : le compromettre, c'est compromettre l'ensemble. Et comme il est partagé, plus personne ne sait qui a fait quoi.
La séparation de façade est plus insidieuse. On crée bien des rôles distincts sur le papier, mais on accorde à une personne tous les rôles à la fois « pour simplifier ». La séparation n'existe plus que dans les schémas : en pratique, un seul acteur détient tout. Vérifier que les rôles sont vraiment répartis compte autant que les définir.
Le gardien unique est un cousin du précédent. On met plusieurs contrôles en place, mais ils sont tous sous le contrôle de la même entité. Si cette entité tombe, tous les contrôles tombent avec elle. Pour que la double validation protège, il faut que les deux valideurs soient réellement indépendants.
Dernier piège, la complexité excessive. Empiler tellement de validations et de barrières que plus personne ne comprend le processus, et qu'il finit par être contourné en douce. La séparation doit rester proportionnée au risque : on protège fort ce qui est critique, et on n'alourdit pas ce qui ne l'est pas.
À retenir
Section intitulée « À retenir »-
La séparation des privilèges répartit rôles, accès et composants entre plusieurs entités, pour qu'aucune ne concentre tous les pouvoirs.
-
L'image du navire résume tout : des cloisons étanches limitent une voie d'eau à un compartiment au lieu de couler tout le bateau.
-
Séparation n'est pas moindre privilège : le moindre privilège dit combien de droits, la séparation dit de ne pas les concentrer. Les deux se complètent.
-
Trois pratiques accessibles : des comptes distincts par service et par personne, la double validation des actions sensibles, le cloisonnement du réseau en zones isolées.
-
Le bénéfice est l'impact contenu : une compromission reste limitée à sa zone au lieu de se propager à tout le système.
-
Le piège majeur est le compte administrateur unique : un seul point de défaillance et aucune traçabilité de qui fait quoi.
-
Ce principe fait partie d'une défense d'ensemble : il éclaire le modèle de menaces SOCLE, qui décrit contre quels vecteurs d'attaque cloisonner protège concrètement.