IT Glossary

Contrôle d'accès basé sur les rôles (RBAC)

Le RBAC attribue les accès selon le rôle métier de l'utilisateur. Découvrez comment fonctionne le RBAC, RBAC vs ABAC, et pourquoi il simplifie la gouvernance des accès.

July 3, 2026

Qu'est-ce que le RBAC ?

Le contrôle d'accès basé sur les rôles (RBAC, Role-Based Access Control) est un modèle d'autorisation qui attribue des permissions en fonction du rôle de l'utilisateur dans l'organisation, et non à chaque individu séparément. Les utilisateurs sont associés à des rôles ("commercial", "responsable finance") et chaque rôle porte un ensemble prédéfini de permissions. Cela simplifie l'administration, homogénéise les accès et soutient le principe du moindre privilège.

Comment fonctionne le RBAC

  • Définir les rôles correspondant aux fonctions métier.
  • Associer à chaque rôle un ensemble fixe de permissions.
  • Affecter les utilisateurs à un ou plusieurs rôles au lieu de gérer des droits individuels.
  • En cas de changement de poste, modifier le rôle plutôt que des dizaines de permissions.
  • Réviser les définitions de rôles périodiquement pour éviter la dérive des permissions.

RBAC vs ABAC

Le RBAC et l'ABAC diffèrent sur quatre points. Le RBAC fonde ses décisions sur des rôles prédéfinis, reste plus simple et moins granulaire, convient aux rôles stables et bien définis, mais présente un risque d'explosion de rôles. L'ABAC fonde ses décisions sur les attributs et le contexte, est très granulaire et dynamique, convient aux accès conditionnels complexes, mais ajoute de la complexité dans les politiques.

Exemples et cas d'usage

Une entreprise définit un rôle "Chargé de recrutement" donnant accès à l'ATS, une lecture sur le SIRH et les canaux Slack RH. Chaque nouveau recruteur hérite des mêmes accès dès le premier jour, et un changement de poste ajuste le rôle en une opération. Le RBAC passe bien à l'échelle pour les onboardings, mais accumule des exceptions au fil du temps, signe qu'il faut introduire des règles basées sur les attributs (ABAC).

Concepts associés

FAQ

Quelle est la différence entre RBAC et ABAC ?

Le RBAC accorde l'accès selon des rôles fixes. L'ABAC accorde l'accès selon des attributs et le contexte, ce qui permet des décisions plus dynamiques et granulaires.

Qu'est-ce que l'explosion de rôles ?

C'est la multiplication incontrôlée de rôles créés pour gérer des exceptions, qui rend le RBAC difficile à administrer. Les règles basées sur les attributs peuvent la réduire.

Le RBAC supporte-t-il le moindre privilège ?

Oui. En attribuant à chaque rôle uniquement les permissions nécessaires, le RBAC est un moyen concret d'appliquer le principe du moindre privilège à grande échelle.

Corma cartographie les rôles et les accès réels dans votre parc SaaS et signale les dérives. Voir gouvernance des identités ou demandez une démo.