AAA sécurité (ou authentification, autorisation, et accounting en anglais) est un modèle

fondamental en cybersécurité, surtout dans les réseaux, les VPN, ou les services cloud. Voici
ce que cela signifie :

Qu’est-ce que l’authentification, l’autorisation et la

comptabilité (AAA) ?
L’authentification, l’autorisation et la comptabilité (AAA) est un cadre de sécurité qui
contrôle l’accès aux ressources informatiques, applique des politiques et audite l’utilisation.
L’AAA et ses processus combinés jouent un rôle majeur dans la gestion et la cybersécurité
du réseau en sélectionnant les utilisateurs et en assurant le suivi de leur activité pendant
qu’ils sont connectés.

Authentification

L’authentification implique qu’un utilisateur fournit des informations sur qui il est. Les
utilisateurs présentent des identifiants de connexion qui affirment qu’ils sont bien ceux
qu’ils prétendent. En tant qu’outil de gestion des identités et des accès (IAM), un
serveur AAA compare les informations d’identification d’un utilisateur à sa base de données
d’informations d’identification stockées en vérifiant si le nom d’utilisateur, le mot de passe et
d’autres outils d’authentification s’alignent sur cet utilisateur spécifique.

Les trois types d’authentification comprennent quelque chose que vous savez, comme un
mot de passe, quelque chose que vous avez, comme une clé USB (Universal Serial Bus) et
quelque chose que vous êtes, comme votre empreinte digitale ou d’autres données
biométriques.

Autorisation

L’autorisation suit l’authentification. Pendant l’autorisation, un utilisateur peut se voir

accorder des privilèges pour accéder à certaines zones d’un réseau ou d’un système. Les
zones et les ensembles d’autorisations accordés à un utilisateur sont stockés dans une
base de données avec l’identité de l’utilisateur. Les privilèges de l’utilisateur peuvent être
modifiés par un administrateur. L’autorisation est différente de l’authentification dans la
mesure où l’authentification ne vérifie que l’identité d’un utilisateur, tandis que l’autorisation
dicte ce que l’utilisateur est autorisé à faire.

Par exemple, un membre de l’équipe informatique peut ne pas avoir les privilèges
nécessaires pour modifier les mots de passe d’accès pour un réseau privé virtuel (RPV) à
l’échelle de l’entreprise. Cependant, l’administrateur réseau peut choisir d’accorder des
privilèges d’accès aux membres, ce qui lui permet de modifier les mots de passe VPN des
utilisateurs individuels. De cette manière, le membre de l’équipe sera autorisé à accéder à
une zone dont il avait été précédemment interdit.

Traçabilité

La comptabilité suit l’activité des utilisateurs pendant qu’ils sont connectés à un réseau en
suivant des informations telles que la durée de leur connexion, les données qu’ils ont
envoyées ou reçues, leur adresse IP (Internet Protocol), l’identifiant uniforme des
ressources (URI) qu’ils ont utilisé et les différents services auxquels ils ont accédé.

La comptabilité peut être utilisée pour analyser les tendances des utilisateurs, auditer
l’activité des utilisateurs et fournir une facturation plus précise. Cela peut être fait en tirant
parti des données collectées pendant l’accès de l’utilisateur. Par exemple, si le système
facture les utilisateurs à l’heure, les journaux de temps générés par le système de
comptabilité peuvent indiquer combien de temps l’utilisateur a été connecté au routeur et à
l’intérieur du système, puis les facturer en conséquence.

Pourquoi le framework AAA est-il important dans la sécurité réseau ?

L’AAA est un élément crucial de la sécurité réseau, car elle limite les personnes ayant
accès à un système et assure le suivi de leur activité. De cette manière, les acteurs
malveillants peuvent être tenus à l’écart, et un acteur vraisemblablement bon qui abuse de
ses privilèges peut faire l’objet d’un suivi de son activité, ce qui donne aux administrateurs
des informations précieuses sur leurs activités.

Il existe deux principaux types d’AAA pour la mise en réseau : l’accès au réseau et
l’administration des appareils.

Accès au réseau

L’accès au réseau implique le blocage, l’octroi ou la limitation de l’accès en fonction des

informations d’identification d’un utilisateur. AAA vérifie l’identité d’un appareil ou d’un
utilisateur en comparant les informations présentées ou saisies à une base de données
d’identifiants approuvés. Si les informations correspondent, l’accès au réseau est accordé.

Administration des dispositif

L’administration des appareils implique le contrôle de l’accès aux sessions, aux consoles
des appareils réseau, à la couche de sécurité (SSH), etc. Ce type d’accès est différent de
l’accès au réseau, car il ne limite pas qui est autorisé à accéder au réseau, mais plutôt les
appareils auxquels il peut avoir accès.
Types de protocoles AAA
Il existe plusieurs protocoles qui intègrent les éléments de l’AAA pour assurer la sécurité de
l’identité.

service utilisateur dauthentification à distance (RADIUS)

RADIUS est un protocole réseau qui exécute des fonctions AAA pour les utilisateurs sur un
réseau distant à l’aide d’un modèle client/serveur. RADIUS fournit
simultanément l’authentification et l’autorisation aux utilisateurs qui tentent d’accéder au
réseau. RADIUS prend également tous les paquets de données AAA et les chiffre, offrant
un niveau de sécurité supplémentaire.

RADIUS fonctionne en trois phases : l’utilisateur envoie une demande à un serveur d’accès
réseau (NAS), le NAS envoie ensuite une demande d’accès au serveur RADIUS, qui
répond à la demande en l’acceptant, en la rejetant ou en la remettant en question en
demandant plus d’informations.

Diamètre

Le protocole Diameter est un protocole AAA qui fonctionne avec les réseaux d’évolution à
long terme (LTE) et multimédia. Le diamètre est une évolution de RADIUS, qui a longtemps
été utilisé pour les télécommunications. Cependant, Diameter est conçu sur mesure pour
optimiser les connexions LTE et d’autres types de réseaux mobiles.

Système de contrôle d’accès au contrôleur d’accès au terminal plus

(TACACS+)

Tout comme RADIUS, TACACS+ utilise le modèle client/serveur pour connecter les
utilisateurs. Cependant, TACACS+ permet de mieux contrôler les manières dont les
commandes sont autorisées. TACACS+ fonctionne en fournissant une clé secrète connue
du client et du système TACACS+. Lorsqu’une clé valide est présentée, la connexion est
autorisée à continuer.

TACACS+ sépare les processus d’authentification et d’autorisation, ce qui le différencie de

RADIUS, qui les combine. De plus, TACACS+, comme RADIUS, chiffre ses paquets AAA.
🔐 AAA sur Fortinet / FortiGate

Fortinet intègre parfaitement le modèle AAA dans ses pare-feux FortiGate et autres produits via
différents services :

1. Authentification sur FortiGate

FortiGate peut authentifier les utilisateurs de plusieurs façons :

 Locaux (stockés directement sur FortiGate)

 LDAP (ex : Active Directory)
 RADIUS (souvent utilisé pour les VPN ou le Wi-Fi d’entreprise)
 TACACS+ (surtout pour l’administration des équipements)
 Certificats (X.509)
 SSO (Single Sign-On) avec Fortinet ou des systèmes externes

Exemple : Un utilisateur se connecte à un VPN SSL → FortiGate demande un identifiant/mot de

passe → vérifie via un serveur RADIUS → accès accordé.

2. Autorisation

Une fois authentifié, FortiGate peut :

 Attribuer des profils de sécurité (Web Filtering, Application Control, etc.)

 Limiter l'accès à certains segments réseau
 Appliquer des règles de pare-feu personnalisées

Exemple : les utilisateurs du groupe "RH" ne peuvent accéder qu’à certaines ressources internes,
mais pas aux bases de données financières.

3. Accounting (comptabilisation)

FortiGate peut enregistrer toutes les activités utilisateur :

 Tentatives de connexion
 Activité réseau (sessions, bande passante)
 Journaux de sécurité (logs)
 Peut envoyer ces logs à :
o FortiAnalyzer (outil Fortinet pour les logs/analyse)
o Syslog externe
 o SIEM tiers (Splunk, QRadar, etc.)

Bonus : interface pratique

FortiGate permet de gérer tout ça via GUI (interface web) ou CLI, et tu peux lier les
utilisateurs à des politiques basées sur les rôles ("identity-based policies").

Tu veux que je te montre comment configurer un exemple (genre VPN + RADIUS) ? Ou

comment connecter FortiGate à un Active Directory ?

Étapes de configuration : FortiGate + Active Directory

✅ Prérequis :

 Un contrôleur de domaine AD fonctionnel (Windows Server)

 Un compte utilisateur AD pour faire la requête LDAP (souvent nommé fortigate-bind ou
similaire)
 Le port LDAP ouvert entre FortiGate et l’AD (par défaut : TCP/389, ou 636 pour LDAPS)

🧭 Étape 1 : Créer un serveur LDAP dans FortiGate

1. Accède à l’interface web de FortiGate.

2. Va dans User & Authentication > LDAP Servers
3. Clique sur "Create New"

Paramètres à remplir :

Paramètre Valeur

Name Ex: AD-LDAP

Server IP L'adresse IP du contrôleur de domaine AD

Common Name Identifier sAMAccountName (le login habituel des users)

Distinguished Name Base DN, ex: DC=entreprise,DC=local

 Paramètre Valeur

Bind Type Simple

Username CN=fortigate-bind,OU=Users,DC=entreprise,DC=local

Password Mot de passe du compte bind

Server Port 389 ou 636 si tu actives LDAPS

4. Clique sur Test Connectivity → Ça doit être vert ✅

🧭 Étape 2 : Créer un groupe utilisateur lié à AD

1. Va dans User & Authentication > User Groups

2. Clique sur "Create New"
3. Donne un nom au groupe (ex: AD_Users)
4. Type : Firewall
5. Clique sur Add dans "Remote Groups" → Choisis ton serveur LDAP + sélectionne un groupe AD
existant (ou laisse tous les users)

🧭 Étape 3 : Utiliser dans une politique

Maintenant que tu as le groupe AD, tu peux :

 L’utiliser dans une politique firewall (ex : accès internet pour les utilisateurs du domaine)
 L’utiliser pour un VPN SSL
 L’appliquer sur un portail captif

💡 Astuces :

 Utilise LDAPS (port 636) si tu veux sécuriser les échanges LDAP (sinon c’est en clair)
 Tu peux vérifier les logs dans Log & Report > Event Log > User
 Pour tester en ligne de commande :

bash
CopyEdit
diagnose test authserver ldap <nom_du_serveur> <user> <password>

Si tu veux, je peux te filer un script CLI ou un schéma visuel pour mieux comprendre l'architecture. Tu
préfères qu’on regarde un cas d’usage précis comme VPN ou portail captif ?
https://www.fortinet.com/fr/resources/cyberglossary/aaa-security