Offre spéciale : Bénéficiez d’un diagnostic cyber et de 3 mois offerts sur nos offres managées ! Profitez-en maintenant

Blog

Le contrôle d’accès discrétionnaire (DAC) expliqué en détail.

Article

Publié le, 31 décembre 2025 par Charles
Le contrôle d’accès discrétionnaire (DAC) expliqué en détail

Description

Le contrôle d’accès discrétionnaire (DAC) expliqué en détail : fonctionnement, exemples concrets, avantages, limites et bonnes pratiques en cybersécurité.

⏱ Temps de lecture estimé : ~9 minutes

📑 Sommaire

Introduction au contrôle d’accès discrétionnaire (DAC)

Le contrôle d’accès discrétionnaire (DAC) est l’un des modèles de gestion des accès les plus anciens et les plus répandus dans les systèmes informatiques. Présent dans la majorité des systèmes d’exploitation, des environnements bureautiques et des partages de fichiers, il constitue souvent la première ligne de défense contre les accès non autorisés. Pourtant, malgré sa simplicité apparente, le DAC est aussi l’un des modèles les plus mal compris et parfois mal maîtrisés.

Le contrôle d’accès discrétionnaire (DAC) fait partie des principaux modèles de gestion des accès utilisés en cybersécurité. Il s’inscrit dans une approche plus globale qui inclut également les modèles MAC, RBAC, Rule-BAC et ABAC, détaillés dans notre guide complet sur les types de contrôle d’accès en cybersécurité.

Pour les dirigeants de TPE, PME, collectivités et responsables informatiques, comprendre le fonctionnement du contrôle d’accès discrétionnaire est essentiel. Un mauvais paramétrage peut entraîner des fuites de données, des erreurs de droits ou des violations de conformité, notamment au regard du RGPD ou des normes de cybersécurité. À l’inverse, bien utilisé, le DAC permet une gestion souple et efficace des accès dans des environnements peu complexes.

Dans cet article, nous allons explorer en profondeur le modèle DAC, son fonctionnement technique, ses avantages et ses limites, ainsi que ses cas d’usage concrets. Vous découvrirez également pourquoi ce modèle, bien que très répandu, montre aujourd’hui ses limites face aux enjeux modernes de cybersécurité.

Qu’est-ce que le contrôle d’accès discrétionnaire (DAC) ?

Le Discretionary Access Control (DAC) est un modèle de contrôle d’accès dans lequel le propriétaire d’une ressource décide librement qui peut y accéder et avec quels droits. Ces droits peuvent généralement être modifiés, transférés ou révoqués par ce propriétaire, sans intervention d’une autorité centrale.

Dans un modèle DAC, chaque objet (fichier, dossier, base de données, ressource système) possède un propriétaire. Ce dernier a la capacité de définir les permissions d’accès pour d’autres utilisateurs ou groupes d’utilisateurs.

Ce modèle repose sur une logique simple :

Celui qui crée ou possède une ressource en contrôle l’accès.

Principes fondamentaux du modèle DAC

Le contrôle d’accès discrétionnaire repose sur plusieurs principes clés qui le distinguent des autres modèles de contrôle d’accès.

La notion de propriétaire

Chaque objet possède un propriétaire unique. Ce propriétaire est généralement l’utilisateur qui a créé la ressource ou un administrateur système.

Le propriétaire peut :

  • Accorder des droits d’accès

  • Modifier les permissions existantes

  • Retirer des droits

  • Parfois transférer la propriété

Les permissions d’accès

Les permissions définissent ce qu’un utilisateur peut faire sur un objet. Les plus courantes sont :

  • Lecture

  • Écriture

  • Exécution

  • Suppression

Ces permissions peuvent être attribuées individuellement ou via des groupes.

L’absence de gestion centralisée

Contrairement aux modèles non discrétionnaires, le DAC ne repose pas sur une politique de sécurité globale imposée par l’organisation. Chaque propriétaire agit de manière autonome, ce qui rend la gestion plus flexible ... mais aussi plus risquée.

Comment fonctionne le contrôle d’accès DAC techniquement ?

Sur le plan technique, le DAC est généralement implémenté à l’aide de mécanismes bien connus des administrateurs systèmes.

Les listes de contrôle d’accès (ACL)

Les ACL (Access Control Lists) sont le mécanisme le plus courant pour implémenter le DAC. Une ACL est associée à chaque objet et contient une liste d’entrées définissant :

  • Quel utilisateur ou groupe

  • Dispose de quels droits

  • Sur la ressource concernée

Exemples concrets :

  • Permissions NTFS sous Windows

  • Permissions POSIX sous Linux

  • Droits sur des partages réseau

La matrice de contrôle d’accès

D’un point de vue conceptuel, le DAC peut être représenté par une matrice de contrôle d’accès, où :

  • Les lignes représentent les sujets (utilisateurs)

  • Les colonnes représentent les objets

  • Les cellules indiquent les droits accordés

Dans la pratique, cette matrice est rarement implémentée telle quelle, mais elle constitue une base théorique utile.

Exemples concrets de contrôle d’accès discrétionnaire

Le DAC est omniprésent dans les environnements informatiques du quotidien.

Exemple dans un système Windows

Dans un environnement Windows :

  • Un utilisateur crée un dossier

  • Il devient automatiquement propriétaire

  • Il peut décider de partager ce dossier avec d’autres utilisateurs

  • Il choisit les droits : lecture seule, modification, contrôle total

Exemple dans un système Linux

Sous Linux :

  • Les permissions rwx (read, write, execute) sont attribuées

  • Le propriétaire peut modifier ces droits avec des commandes comme chmod ou chown

  • Les groupes facilitent la gestion collective des accès

Exemple en entreprise

Dans une PME :

  • Un collaborateur partage un fichier sensible

  • Il accorde l’accès à plusieurs collègues

  • Une erreur de configuration expose le fichier à des personnes non autorisées

Cet exemple illustre à la fois la flexibilité et le risque du modèle DAC.

Avantages du contrôle d’accès discrétionnaire

Le DAC présente plusieurs avantages qui expliquent sa large adoption.

Simplicité de mise en œuvre

Le modèle DAC est simple à comprendre et à déployer. Il ne nécessite pas de politique complexe ni d’infrastructure lourde.

Flexibilité pour les utilisateurs

Les utilisateurs peuvent gérer eux-mêmes leurs ressources sans dépendre d’un administrateur, ce qui améliore la productivité.

Coût réduit

Le DAC est intégré nativement dans la majorité des systèmes d’exploitation. Il ne nécessite pas d’outils spécifiques ou coûteux.

Adapté aux environnements peu complexes

Pour les petites structures ou les environnements à faible risque, le DAC peut suffire lorsqu’il est bien maîtrisé.

Limites et risques du contrôle d’accès DAC

Malgré ses avantages, le DAC présente des limites importantes, notamment dans un contexte de cybersécurité moderne.

Risque de dérive des droits

Avec le temps, les permissions s’accumulent :

  • Utilisateurs qui changent de poste

  • Projets terminés

  • Accès jamais révoqués

Cela crée des droits excessifs et augmente la surface d’attaque.

Manque de gouvernance globale

L’absence de gestion centralisée rend difficile :

  • Les audits de sécurité

  • La conformité réglementaire : RGPD, NIS2, DORA

  • La traçabilité des accès

Vulnérabilité aux attaques internes

Un utilisateur compromis peut propager des accès non autorisés à d’autres utilisateurs ou ressources.

Inadapté aux environnements complexes

Dans les grandes organisations, le DAC devient rapidement ingérable et source d’erreurs.

DAC et conformité réglementaire

Le contrôle d’accès est un élément clé de nombreuses réglementations.

RGPD et protection des données

Le RGPD impose :

  • La limitation des accès aux données personnelles

  • Le principe du moindre privilège

  • La traçabilité des accès

Un DAC mal maîtrisé peut entraîner des violations de conformité.

Normes de cybersécurité

Les normes comme ISO/IEC 27001 ou les recommandations de l’ANSSI insistent sur :

  • La gestion centralisée des accès

  • Les audits réguliers

  • La limitation des droits

Le DAC seul est souvent insuffisant pour répondre à ces exigences.

Bonnes pratiques pour sécuriser un modèle DAC

Si vous utilisez le DAC, certaines bonnes pratiques sont indispensables.

Appliquer le principe du moindre privilège

Ne donner que les droits strictement nécessaires, pour une durée limitée.

Auditer régulièrement les permissions

Mettre en place des revues périodiques des accès pour détecter les anomalies.

Limiter la capacité de partage

Restreindre les droits des utilisateurs à partager des ressources sensibles.

Sensibiliser les utilisateurs

Former les collaborateurs aux risques liés aux partages excessifs.

DAC vs autres modèles de contrôle d’accès

Contrairement au modèle RBAC ou au contrôle d’accès obligatoire (MAC), le modèle DAC repose sur la discrétion des utilisateurs. Pour une vue d’ensemble des différences entre ces approches, consulte notre article de référence sur les modèles de contrôle d’accès.

DAC vs RBAC

  • DAC : flexible mais peu contrôlé

  • RBAC : structuré et centralisé

DAC vs MAC

  • DAC : orienté utilisateur

  • MAC : orienté sécurité maximale

DAC vs ABAC

  • DAC : statique

  • ABAC : dynamique et contextuel

DAC vs Rule-BAC

  • DAC : basé sur la discrétion du propriétaire des ressources

  • Rule-BAC : basé sur des règles globales identiques pour tous les utilisateurs

Dans de nombreux cas, le DAC est aujourd’hui complété ou remplacé par des modèles plus robustes.

Quand utiliser (ou éviter) le contrôle d’accès DAC ?

Le DAC reste pertinent dans certains contextes précis.

Contextes adaptés

  • Petites structures

  • Environnements internes simples

  • Données à faible sensibilité

Contextes à éviter

  • Données sensibles ou réglementées

  • Environnements cloud complexes

  • Organisations à forte exigence de conformité

Conclusion

Le contrôle d’accès discrétionnaire (DAC) est un modèle historique, simple et largement utilisé, mais qui montre aujourd’hui ses limites face aux enjeux modernes de cybersécurité. S’il peut encore convenir à certains environnements restreints, il doit être encadré par des bonnes pratiques strictes et, dans la majorité des cas, complété par des modèles plus robustes comme le RBAC ou l’ABAC.

Pour les dirigeants et responsables IT, la question n’est plus seulement de savoir comment gérer les accès, mais jusqu’où faire confiance à la discrétion des utilisateurs. Une réflexion stratégique sur la gouvernance des accès est indispensable pour réduire les risques et renforcer la posture de sécurité globale.

Le contrôle d’accès discrétionnaire reste pertinent dans certains contextes, mais il montre rapidement ses limites dès que les exigences de sécurité augmentent. Pour identifier le modèle le plus adapté à votre organisation, nous vous recommandons de consulter notre dossier complet sur les types de contrôle d’accès : MAC, DAC, RBAC, Rule-BAC et ABAC.

Besoin d’un audit de vos droits d’accès ou d’un accompagnement en cybersécurité ? Contactez un expert en cybersécurité pour évaluer votre modèle actuel.

FAQ - Le contrôle d’accès discrétionnaire (DAC) expliqué en détail

Le DAC est un modèle où le propriétaire d’une ressource décide qui peut y accéder et avec quels droits.

Il offre une sécurité basique mais présente des risques importants s’il n’est pas correctement encadré.

Le DAC repose sur les propriétaires, le RBAC sur des rôles gérés de manière centralisée.

Oui, mais uniquement s’il est accompagné de contrôles, d’audits et du principe du moindre privilège.

Oui, de nombreux systèmes utilisent une approche hybride.

Oui, il est présent dans la majorité des systèmes d’exploitation et environnements bureautiques.

Pour les données sensibles, réglementées ou dans des environnements complexes.

Description

Le contrôle d’accès discrétionnaire (DAC) expliqué en détail : fonctionnement, exemples concrets, avantages, limites et bonnes pratiques en cybersécurité.

⏱ Temps de lecture estimé : ~9 minutes

Articles Récents

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique