Identité & Politique / Policy Information Point (PIP)
FR EN

Identité & Politique

Policy Information Point (PIP)

Fournit au PDP le contexte de décision : attributs, posture, score de risque, sensibilité des données.

Plan
Identité & Politique
Étapes du flux
4
Référentiels
NIST 800-53 · 800-207 · NIST AI 600-1

Technologie

Pourquoi l’utiliser

Rassembler et présenter au PDP les signaux nécessaires à une décision contextuelle, au lieu de décider sur la seule identité.

Pourquoi c’est important pour la sécurité

Une décision ne vaut que par le contexte qui l’alimente ; le PIP rend l’autorisation sensible au risque et à la sensibilité réelle des données.

Implémentations CMDB / CDMEntra risk signalsEDR (posture)SIEM (Splunk, Sentinel)Feature store

Le PDP décide, mais il ne sait que ce que le PIP lui dit : un contexte pauvre produit une décision pauvre.

Recommandations par palier de maturité

Survolez une recommandation pour l’explication · chaque recommandation porte son numéro de contrôle

Foundation

Socle minimal viable
  • Collecte des attributs d’identité de base (rôle, groupe).
    NIST 800-53 AC-16
    Sans attributs fiables, le PDP ne peut faire mieux que du tout-ou-rien.
  • Source d’attributs unique et fiable.
    NIST 800-53 AC-16 · AC-2
    Des attributs divergents entre sources mènent à des décisions incohérentes.
  • Disponibilité des claims au moment de la décision.
    NIST 800-53 AC-16
    Un attribut indisponible force soit un refus, soit un dangereux par-défaut permissif.

Enterprise

Standard d’entreprise
  • Signaux de contexte enrichis : posture, géolocalisation, sensibilité de la ressource.
    NIST 800-53 AC-16 · RA-3
    La même action n’a pas le même risque sur une donnée publique et sur un secret réglementé.
  • Score de risque calculé et exposé au PDP.
    NIST 800-53 RA-3 · SI-4
    Un score agrégé permet des décisions graduées plutôt que binaires.
  • Fraîcheur des attributs garantie (cache contrôlé).
    NIST 800-53 SI-4
    Un attribut périmé (rôle révoqué hier, encore en cache) produit une décision dangereuse.

Advanced

Haute exigence / régulé
  • Flux de risque en temps réel issus du SIEM et de la détection d’abus.
    NIST 800-53 SI-4NIST 800-207 §3.3
    Le contexte de risque suit l’événement, pas le cycle de revue trimestriel.
  • Contexte agentique : provenance, chaîne d’outils, intention.
    NIST 800-53 AC-16OWASP LLM06:2025
    Pour un agent, « d’où vient cette requête et via quels outils » est aussi décisif que « qui ».
  • Contexte ré-interrogé pendant la session (évaluation continue).
    NIST 800-207 §3.3
    Le risque évolue en cours de session ; le contexte doit être rafraîchi, pas figé au login.

Notes d’architecture

  • Intégrez la sensibilité des données dans le contexte.détails ▸
    L’autorisation ne dépend pas que de l’utilisateur.
    Classifier et étiqueter les données permet au PDP de moduler la décision selon ce qui est réellement en jeu.

Références

NIST SP 800-207
§3.1 (le PIP alimente le moteur de politique), §3.3 (diagnostics continus).
NIST SP 800-53 Rev5
AC-16 (Security & Privacy Attributes), RA-3 (Risk Assessment), SI-4 (System Monitoring).
NIST AI 600-1
MP-5.1 — profilage des menaces, qui alimente les signaux de contexte.

Abréviations

PDP
Policy Decision Point · point de décision d’autorisation
PEP
Policy Enforcement Point · point d’application des politiques
PIP
Policy Information Point · point d’information de politique
PAP
Policy Administration Point · point d’administration des politiques
IdP
Identity Provider · fournisseur d’identité
TSS
Token Service · service de jetons
NHI
Non-Human Identity · identité non-humaine
RBAC
Role-Based Access Control · contrôle d’accès basé sur les rôles
ABAC
Attribute-Based Access Control · contrôle d’accès basé sur les attributs
MFA
Multi-Factor Authentication · authentification multifacteur
HITL
Human-in-the-loop · validation humaine dans la boucle
JIT
Just-In-Time · juste-à-temps
CAE
Continuous Access Evaluation · évaluation continue de l’accès
CAEP
Continuous Access Evaluation Profile
DPoP
Demonstrating Proof-of-Possession · preuve de possession du jeton
mTLS
mutual TLS · TLS mutuel
PII
Personally Identifiable Information · données à caractère personnel
KMS
Key Management Service · service de gestion des clés
CI/CD
Continuous Integration / Continuous Delivery
SIEM
Security Information and Event Management
SOAR
Security Orchestration, Automation and Response
SCIM
System for Cross-domain Identity Management
XACML
eXtensible Access Control Markup Language
OPA
Open Policy Agent
OWASP
Open Worldwide Application Security Project
NIST
National Institute of Standards and Technology
ATLAS
Adversarial Threat Landscape for Artificial-Intelligence Systems
LLM
Large Language Model · grand modèle de langage
WAF
Web Application Firewall · pare-feu applicatif web
CDN
Content Delivery Network · réseau de diffusion de contenu
DDoS
Distributed Denial of Service · déni de service distribué
DLP
Data Loss Prevention · prévention des fuites de données
JWT
JSON Web Token
API
Application Programming Interface · interface de programmation
CRS
Core Rule Set (OWASP) · jeu de règles de base
RAG
Retrieval-Augmented Generation · génération augmentée par récupération
MCP
Model Context Protocol · protocole de contexte pour les modèles
PBAC
Permission-Based Access Control · contrôle d’accès par permissions
HSM
Hardware Security Module · module matériel de sécurité
UEBA
User and Entity Behavior Analytics · analyse comportementale
SBOM
Software Bill of Materials · nomenclature logicielle
SLSA
Supply-chain Levels for Software Artifacts
WORM
Write Once, Read Many · écriture unique
SPIFFE
Secure Production Identity Framework For Everyone