Imaginez un bâtiment où tout le monde posséderait la même clé : du stagiaire au directeur, chacun pourrait ouvrir les mêmes portes. Gestion simple… mais surface de risque immense.
À l’inverse, imaginez un bâtiment où chaque porte, chaque tiroir, chaque armoire nécessiterait une clé spécifique : sécurité maximale, mais complexité ingérable.
Entre ces deux extrêmes se situe la réalité du contrôle d’accès moderne. Les organisations doivent ajuster finement la granularité de leurs autorisations, ni trop large, ni trop pointilliste afin de garantir sécurité, flexibilité et conformité.
Cet article présente les trois grands niveaux de granularité : coarse-grained, medium-grained et fine-grained authorization, et explique comment ils s’articulent dans les systèmes d’accès contemporains.
Comprendre ces niveaux est essentiel pour concevoir des architectures de sécurité robustes, adaptées à la conformité, à la résilience et aux exigences modernes de gouvernance des accès.
Les fondements du contrôle d’accès
Avant d’entrer dans la granularité, rappelons les deux piliers du contrôle d’accès :
- Authentification : prouver qui est l’utilisateur.
- Autorisation : déterminer ce qu’il peut voir, faire ou modifier.
Ces mécanismes reposent sur différents modèles :
- DAC (Discretionary Access Control) : droits attribués à la discrétion du propriétaire d’une ressource. Simple, mais risqué.
- MAC (Mandatory Access Control) : décisions centralisées basées sur des niveaux de classification. Très sûr, très rigide.
- RBAC (Role-Based Access Control) : droits attribués par rôle, scalable et intuitif.
Les évolutions modernes incluent ABAC, PBAC et ReBAC, intégrant des décisions dynamiques basées sur des attributs, des politiques ou des relations.
La granularité se superpose à tous ces modèles pour définir le niveau de détail des autorisations.
L’autorisation à granularité grossière (Coarse-Grained Authorization)
Le coarse-grained repose sur un critère unique ou très large : rôle, service, groupe, réseau, etc.
Tous les utilisateurs partageant ce critère reçoivent le même niveau d’accès, sans variation contextuelle.
On met les utilisateurs dans de grands “paniers” : Employés, Managers, RH, IT… et chaque panier reçoit ou perd un bloc d’autorisations.
Exemples
- « Utilisateur dans le département Ventes → accès CRM autorisé. »
- « Adresse IP interne → accès au portail interne. »
Avantages
- Très simple et rapide à administrer.
- Performant et peu coûteux.
- Lisible pour l’audit de haut niveau.
Limites
- Manque de finesse : contrevient au principe du moindre privilège.
- Rigidité : peu adapté aux cas particuliers.
- Explosion du nombre de règles avec la croissance de l’organisation.
- Risque élevé en cas de compromission d’un rôle large.
L’autorisation à granularité moyenne (Medium-Grained)
Le medium-grained se situe entre les accès globaux et les contrôles hyper précis.
Il s’applique généralement au niveau des API, services ou modules.
Il répond à des questions comme :
« Cet utilisateur peut-il exécuter GET/POST/DELETE sur ce point d’entrée précis ? »
Les décisions reposent sur :
- rôle,
- méthode HTTP,
- scopes / claims du jeton,
- métadonnées d’API.
Modèles associés
- RBAC enrichi (rôles + actions par endpoint)
- ABAC simplifié (quelques attributs simples)
Avantages
- Parfait pour les architectures microservices.
- Contrôle précis des opérations (GET vs DELETE).
- Lisible, auditable, scalable depuis un RBAC existant.
Limites
- Ne protège pas encore les données internes (ligne, champ…).
- Multiplication rapide des règles si non centralisées.
- Peu ou pas de contexte dynamique.
L’autorisation à granularité fine (Fine-Grained Authorization)
La FGA permet des décisions d’accès contextuelles, dynamiques, conditionnelles, souvent au niveau :
- de l’enregistrement,
- du champ,
- de l’attribut,
- de la relation organisationnelle.
Elle s’appuie sur ABAC, PBAC ou ReBAC.
Critères évalués
- Attributs utilisateur (rôle, service, habilitation)
- Sensibilité et propriétaire de la ressource
- Contexte (heure, appareil, localisation, risque)
- Type d’action demandée
Avantages
- Précision maximale
- Mise en œuvre du moindre privilège
- Aligné avec les stratégies Zero Trust et les exigences réglementaires
Limites
- Très complexe à modéliser
- Dépend fortement de la qualité des attributs
- Impact potentiel sur la performance
Vers une approche multi-niveau
Les organisations modernes combinent les trois :
- Coarse-grained pour déterminer l’accès global à l’application (SSO / IAM).
- Medium-grained pour contrôler les actions dans l’application.
- Fine-grained pour sécuriser les données sensibles selon le contexte.
Cette approche en couches permet un contrôle d’accès :
global, opérationnel, contextuel.
La granularité n’est pas un détail technique : c’est un indicateur de maturité en gouvernance des accès.
- Le coarse-grained fixe le périmètre général.
- Le medium-grained régule les actions.
- Le fine-grained apporte la précision contextuelle indispensable.
Avec la montée des architectures distribuées et des exigences de conformité, combiner intelligemment ces trois niveaux devient un impératif stratégique. Les approches policy-as-code permettent désormais d’automatiser ces règles, de les centraliser et de renforcer la lisibilité globale du contrôle d’accès.