La confidentialité des données est assurée par le contrôle d'accès.

Le contrôle d'accès consiste à mettre en oeuvre les solutions matérielles et logicielles pour interdire les accès non autorisés à un ordinateur, un réseau, une base de données ou d'autres ressources dans le réseau d'une organisation.

La mise en oeuvre d'un contrôle d'accès recouvre trois service de sécurité désignés par les lettres AAA :

• l'authentification ((Authentification),
• l'autorisation (Authorization),
• la journalisation (Accounting).

L'authentification permet de vérifier l'identité d'un utilisateur afin d'empêcher tout accès non autorisé.

Pour cela, un utilisateur doit :

• prouver son identité au moyen d'un nom d'utilisateur ou d'un identifiant unique,
• confirmer leur identité en fournissant l'un ou plusieurs des éléments suivants :
  • Un élément qu'ils connaissent (comme un mot de passe) : facteur de connaissance,
  • Une chose qu'ils possèdent (comme un jeton ou une carte) : facteur de possession,
  • Un élément qui les caractérise (comme une empreinte digitale) : facteur d'inhérence.

Une authentification réussie ne suffit pas pour accéder aux ressources de l'organisation.

Les services d'autorisation consistent :

• à identifier les ressources auxquelles les utilisateurs peuvent accéder,
• définir les opérations que les utilisateurs peuvent effectuer.

Les autorisations (ou privilèges) correspondent en général à une liste de contrôle d'accès ou ACL (Access Control List). Les autorisations d'accès peuvent aussi contrôler les périodes au cours desquelles un utilisateur peut accéder à une ressource spécifique.

La journalisation permet de garder une trace et donc de suivre les actions des utilisateurs :

• les ressources auxquels ils accèdent,
• le temps d'accès aux ressources,
• les modifications effectuées.