IT Glossary
Le RBAC attribue les accès selon le rôle métier de l'utilisateur. Découvrez comment fonctionne le RBAC, RBAC vs ABAC, et pourquoi il simplifie la gouvernance des accès.
July 3, 2026
Le contrôle d'accès basé sur les rôles (RBAC, Role-Based Access Control) est un modèle d'autorisation qui attribue des permissions en fonction du rôle de l'utilisateur dans l'organisation, et non à chaque individu séparément. Les utilisateurs sont associés à des rôles ("commercial", "responsable finance") et chaque rôle porte un ensemble prédéfini de permissions. Cela simplifie l'administration, homogénéise les accès et soutient le principe du moindre privilège.
Le RBAC et l'ABAC diffèrent sur quatre points. Le RBAC fonde ses décisions sur des rôles prédéfinis, reste plus simple et moins granulaire, convient aux rôles stables et bien définis, mais présente un risque d'explosion de rôles. L'ABAC fonde ses décisions sur les attributs et le contexte, est très granulaire et dynamique, convient aux accès conditionnels complexes, mais ajoute de la complexité dans les politiques.
Une entreprise définit un rôle "Chargé de recrutement" donnant accès à l'ATS, une lecture sur le SIRH et les canaux Slack RH. Chaque nouveau recruteur hérite des mêmes accès dès le premier jour, et un changement de poste ajuste le rôle en une opération. Le RBAC passe bien à l'échelle pour les onboardings, mais accumule des exceptions au fil du temps, signe qu'il faut introduire des règles basées sur les attributs (ABAC).
Le RBAC accorde l'accès selon des rôles fixes. L'ABAC accorde l'accès selon des attributs et le contexte, ce qui permet des décisions plus dynamiques et granulaires.
C'est la multiplication incontrôlée de rôles créés pour gérer des exceptions, qui rend le RBAC difficile à administrer. Les règles basées sur les attributs peuvent la réduire.
Oui. En attribuant à chaque rôle uniquement les permissions nécessaires, le RBAC est un moyen concret d'appliquer le principe du moindre privilège à grande échelle.
Corma cartographie les rôles et les accès réels dans votre parc SaaS et signale les dérives. Voir gouvernance des identités ou demandez une démo.