CERN Accélérateur de science

Contrôlez la sécurité informatique maintenant et régulièrement !

Le redémarrage du LHC, prévu pour cet automne, mettra de nouveau le CERN sous le feu des projecteurs. D’où la nécessité d’être encore plus vigilant en matière de sécurité informatique. Le piratage « défacement » en septembre dernier d’une page web de l’une des expériences LHC nous appelle à redoubler de prudence. Les pirates informatiques mettent sans arrêt le CERN à l’épreuve et nous devons faire le maximum pour diminuer les risques à l’avenir.

La sécurité est une responsabilité hiérarchique qui nécessite d’équilibrer l’affectation des ressources requises pour faire fonctionner les systèmes et pour les protéger. Utilisateurs, développeurs, experts systèmes, administrateurs ou chef, chacun d’entre nous doit donc sécuriser ses ressources informatiques (ordinateurs, logiciels, documents, comptes ou mots de passe). Il n’existe pas de recette miracle pour sécuriser des systèmes si ce n’est de rechercher minutieusement toutes les vulnérabilités possibles, puis d’y remédier. Si les groupes IT compétents ainsi que l’équipe responsable de la sécurité informatique peuvent vous conseiller sur des sujets particuliers, voici quelques règles de base que tous les utilisateurs d’ordinateurs au CERN doivent suivre :

• Revoyez les droits d’accès à vos ordinateurs, documents (InDiCo, EDMS, TWiki, etc.), fichiers et répertoires sous AFS, DFS et sur disque local. Ne donnez pas de droit d’accès en écriture si l’accès en lecture suffit et limitez cet accès exclusivement aux personnes qui en ont besoin.

• Protégez vos sites web. Seuls un nombre limité doivent être librement accessibles et, le cas échéant, ils ne doivent pas faire apparaître les détails de l’architecture et de la conception du système, les configurations informatiques ou le code source.

• Assurez-vous que les comptes des personnes qui ont quitté le CERN ont bien été clôturés.

• Réduisez chaque fois que possible le nombre de comptes de service.

• Rendez vos ordinateurs moins vulnérables en enlevant les applications non indispensables, en désactivant les services superflus (web, FTP, etc.), en utilisant les mises à jour et les applications de correctifs (patchs) automatiques ainsi que des logiciels antivirus à jour pour les PC (mais aussi pour les dispositifs intégrés comme les oscilloscopes), en migrant de SLC3 à SLC5, en utilisant des pare-feux locaux afin de bloquer les trafics entrants et sortants qui ne sont pas prévus.

• Protégez les clés SSH privées.

• Pour les réseaux des expériences, passez en revue les ouvertures du pare-feu central et déterminez pour chaque cas si le dispositif doit être considéré comme fiable ou exposé à l’extérieur.

Pour savoir comment améliorer la sécurité informatique, consultez les sites web http://cern.ch/security/ et http://www.ISSEG.eu, qui continent des informations sur l’analyse des risques, la formation, et des recommandations à l’intention des utilisateurs, développeurs et administrateurs systèmes. Outre les nombreuses présentations de sensibilisation aux questions de sécurité, des cours de formation sont également disponibles sur l’écriture de codes et d’applications web sécurisés (voir http://cern.ch/security/training).

L’équipe en charge de la sécurité informatique du CERN mailto:computer.security@cern.ch