Gestion des accès : savez-vous vraiment ce qu'est une ACE ?

Dans les environnements informatiques modernes, la sécurité ne repose plus uniquement sur les pare-feu ou les antivirus. Elle dépend surtout de la manière dont les accès aux ressources sont contrôlés. C'est là qu'interviennent trois notions clés : ACE, ACL et NTFS. Bien comprises et correctement configurées, elles permettent d'assurer une gestion des accès fiable, granulaire et conforme aux exigences de sécurité.

Qu’est-ce qu’une ACE ? 

Une ACE (Access Control Entry) est l’unité de base du contrôle d’accès.
Elle correspond à une règle individuelle qui définit :

  • Qui (utilisateur ou groupe)

  • Peut faire quoi (lecture, écriture, modification, suppression)

  • Sur quelle ressource

Chaque ACE représente donc une permission précise. Par exemple : le groupe Finance peut lire et modifier le dossier Budget.

Le rôle des ACL dans la gestion des permissions 

Une ACL (Access Control List) est simplement un ensemble d’ACE.
Autrement dit, c'est la liste complète de toutes les règles de sécurité associées à un objet (fichier, dossier, utilisateur, OU, etc.).

Attachée à chaque objet, l’ACL détermine l’ensemble des accès autorisés ou refusés.
Sans ACL, il serait impossible de centraliser et d’organiser les permissions de manière cohérente.

On distingue généralement deux types d'ACL dans les systèmes Windows :

  • DACL (Discretionary Access Control List) : définit qui a accès et avec quels droits.

  • SACL (System Access Control List) : permet d’auditer les accès (succès ou échecs).

NTFS : le système qui applique les règles 

NTFS (New Technology File System) est le système de fichiers utilisé par Windows pour gérer les fichiers et dossiers. C’est NTFS qui applique concrètement les ACL et les ACE au niveau du stockage.

Lorsque quelqu’un tente d’accéder à un fichier :

  1. NTFS lit l’ACL associée.

  2. Il analyse chaque ACE.

  3. Il autorise ou refuse l’accès selon les règles définies.

NTFS agit donc comme le moteur d’exécution du contrôle d’accès.

La relation entre ACE, ACL et NTFS 

On peut résumer leur relation simplement :

Les ACE sont les règles,

les ACL sont les listes de règles,
NTFS est le système qui fait respecter ces règles.

Sans ACE, il n'y a pas de règles. Sans ACL, il n'y a pas de structure. Sans NTFS, il n'y a pas d'application réelle des permissions. Les trois fonctionnent ensemble pour garantir une sécurité cohérente.

Héritage et permissions spéciales 

Dans Windows et Active Directory, les ACL peuvent être héritées. Cela signifie qu’un dossier parent transmet automatiquement ses ACE aux sous-dossiers et fichiers.

C’est pratique pour maintenir une cohérence, mais aussi risqué :

  • Une mauvaise ACE héritée peut donner trop d’accès.

  • Des utilisateurs peuvent avoir des droits sans le savoir.

Les permissions spéciales permettent, quant à elles, de définir des actions très précises : changer les permissions, prendre possession, supprimer des sous-objets, etc. Elles reposent toujours sur des ACE spécifiques.

Bonnes pratiques pour une gestion des accès sans risque 

Pour éviter les failles de sécurité liées aux ACE, ACL et NTFS :

1. Appliquer le principe du moindre privilège 

Donner uniquement les droits strictement nécessaires.

2. Utiliser des groupes plutôt que des utilisateurs 

Les ACE doivent cibler des groupes, pas des comptes individuels.

3. Auditer régulièrement les ACL 

Identifier les accès inutiles, obsolètes ou dangereux.

4. Surveiller les héritages 

Vérifier les permissions héritées, surtout dans les dossiers sensibles.

5. Documenter chaque modification 

Savoir qui a changé quoi, quand et pourquoi.

Pourquoi c’est critique pour la sécurité 

De nombreuses failles de sécurité proviennent aujourd’hui de mauvaises ACE : droits excessifs, héritages mal maîtrisés, comptes obsolètes. Un attaquant n’a souvent pas besoin de hacker : il lui suffit d’exploiter une ACE trop permissive.

Comprendre la relation entre ACE, ACL et NTFS n’est donc pas un détail technique, mais un pilier fondamental de la cybersécurité.

Conclusion 

ACE, ACL et NTFS forment le socle du contrôle d’accès sous Windows et Active Directory.
Maîtriser leur fonctionnement permet de :

  • Réduire les risques de fuite de données

  • Prévenir les escalades de privilèges

  • Respecter les exigences de conformité (ISO, NIST, GDPR, etc.)

Une bonne gestion des accès ne repose pas sur plus d’outils, mais sur une meilleure compréhension de ces trois concepts clés.