Identité & Politique / Policy Administration Point (PAP)
FR EN

Identité & Politique

Policy Administration Point (PAP)

Là où les politiques d’autorisation sont écrites, versionnées, revues et gouvernées.

Plan
Identité & Politique
Étapes du flux
4
Référentiels
NIST 800-53 · XACML 3.0 · NIST AI 600-1

Technologie

Pourquoi l’utiliser

Centraliser l’écriture et la gouvernance des politiques, séparées de leur application (PEP) et de leur évaluation (PDP).

Pourquoi c’est important pour la sécurité

Sépare les pouvoirs (écrire / décider / appliquer), rend la politique testable, revue et auditable avant d’atteindre la production.

Implémentations Open Policy Agent + StyraAWS Cedaréditeurs XACML 3.0Git + CI

Une politique non testée n’est pas une politique : c’est une intention.

Recommandations par palier de maturité

Survolez une recommandation pour l’explication · chaque recommandation porte son numéro de contrôle

Foundation

Socle minimal viable
  • Politiques écrites et stockées de façon centralisée.
    NIST 800-53 AC-1
    Des règles éparpillées dans le code applicatif sont invisibles et incontrôlables.
  • Versionnement des politiques.
    NIST 800-53 CM-3
    Savoir qui a changé quoi et quand est le minimum pour enquêter sur une dérive.
  • Séparation des rôles auteur / approbateur.
    NIST 800-53 AC-5 · CM-5
    Personne ne doit pouvoir écrire et approuver seul une règle d’accès.

Enterprise

Standard d’entreprise
  • Politiques en code (XACML 3.0 / Rego / Cedar).
    XACML 3.0NIST 800-53 CM-3
    Le policy-as-code rend les règles diffables, testables et revues comme du logiciel.
  • Revue et approbation obligatoires avant publication.
    NIST 800-53 CM-3 · AC-5
    Le contrôle à quatre yeux empêche qu’une règle trop large parte en production.
  • Politiques alignées sur les niveaux de risque GAI.
    NIST AI 600-1 GV-1.3-001
    Documenter le seuil de risque qui déclenche une obligation (ex. HITL) par cas d’usage.

Advanced

Haute exigence / régulé
  • Pipeline policy-as-code : tests automatisés + CI/CD.
    NIST 800-53 SA-11 · CM-3
    Chaque politique est validée par des jeux de cas attendus avant déploiement.
  • Détection de dérive entre politique déclarée et appliquée.
    NIST 800-53 CM-6 · SI-4
    Ce qui est publié n’est pas toujours ce que chaque PEP applique réellement.
  • Gouvernance continue avec preuves d’audit exportables.
    NIST 800-53 AU-6NIST AI 600-1 GV-4.1-003
    La conformité exige de prouver, pas seulement d’affirmer, que la politique est gouvernée.

Notes d’architecture

  • Reliez chaque politique à une taxonomie de menaces.détails ▸
    Une règle sans menace adressée est du bruit.
    Référencer OWASP LLM ou MITRE ATLAS sur chaque politique justifie son existence et facilite sa revue.

Références

XACML 3.0
Langage et architecture standard pour exprimer les politiques d’autorisation.
NIST SP 800-53 Rev5
AC-1 (Policy & Procedures), AC-5 (Separation of Duties), CM-3/CM-5/CM-6 (change & config), SA-11 (testing).
NIST AI 600-1
GV-1.3 (paliers de risque), GV-4.1 (amélioration continue de la gouvernance).

Abréviations

PDP
Policy Decision Point · point de décision d’autorisation
PEP
Policy Enforcement Point · point d’application des politiques
PIP
Policy Information Point · point d’information de politique
PAP
Policy Administration Point · point d’administration des politiques
IdP
Identity Provider · fournisseur d’identité
TSS
Token Service · service de jetons
NHI
Non-Human Identity · identité non-humaine
RBAC
Role-Based Access Control · contrôle d’accès basé sur les rôles
ABAC
Attribute-Based Access Control · contrôle d’accès basé sur les attributs
MFA
Multi-Factor Authentication · authentification multifacteur
HITL
Human-in-the-loop · validation humaine dans la boucle
JIT
Just-In-Time · juste-à-temps
CAE
Continuous Access Evaluation · évaluation continue de l’accès
CAEP
Continuous Access Evaluation Profile
DPoP
Demonstrating Proof-of-Possession · preuve de possession du jeton
mTLS
mutual TLS · TLS mutuel
PII
Personally Identifiable Information · données à caractère personnel
KMS
Key Management Service · service de gestion des clés
CI/CD
Continuous Integration / Continuous Delivery
SIEM
Security Information and Event Management
SOAR
Security Orchestration, Automation and Response
SCIM
System for Cross-domain Identity Management
XACML
eXtensible Access Control Markup Language
OPA
Open Policy Agent
OWASP
Open Worldwide Application Security Project
NIST
National Institute of Standards and Technology
ATLAS
Adversarial Threat Landscape for Artificial-Intelligence Systems
LLM
Large Language Model · grand modèle de langage
WAF
Web Application Firewall · pare-feu applicatif web
CDN
Content Delivery Network · réseau de diffusion de contenu
DDoS
Distributed Denial of Service · déni de service distribué
DLP
Data Loss Prevention · prévention des fuites de données
JWT
JSON Web Token
API
Application Programming Interface · interface de programmation
CRS
Core Rule Set (OWASP) · jeu de règles de base
RAG
Retrieval-Augmented Generation · génération augmentée par récupération
MCP
Model Context Protocol · protocole de contexte pour les modèles
PBAC
Permission-Based Access Control · contrôle d’accès par permissions
HSM
Hardware Security Module · module matériel de sécurité
UEBA
User and Entity Behavior Analytics · analyse comportementale
SBOM
Software Bill of Materials · nomenclature logicielle
SLSA
Supply-chain Levels for Software Artifacts
WORM
Write Once, Read Many · écriture unique
SPIFFE
Secure Production Identity Framework For Everyone