Sécurité informatique : « Hello World! » - bienvenue au CERN
Bienvenue dans l'environnement informatique ouvert, libre et gratuit du CERN. Maintenant que vous êtes affilié au Laboratoire, vous pouvez avoir un compte informatique CERN, ce qui vous permet d'enregistrer vos appareils - ordinateurs de bureau et portables, smartphones, tablettes -, vous donne accès à un large espace de stockage, vous fournit une adresse électronique et vous permet de créer des sites web, des machines virtuelles, des bases de données, etc.
Vous avez désormais accès à pratiquement tous les services informatiques mis à disposition par les départements GS et IT : INDICO pour créer et gérer vos réunions et vos conférences, EDMS pour obtenir l'approbation de vos spécifications techniques, Twiki pour collaborer avec vos collègues, ou encore la grille de calcul WLCG, etc.
« Ouvert, libre et gratuit » ne veut cependant pas dire que vous pouvez faire tout ce que vous voulez. Bien que nous essayions de rendre l’accès aux services informatiques du CERN aussi simple et pratique que possible, il existe quelques règles et limites qu’il convient de respecter, afin de protéger la réputation et les installations informatiques du CERN, y compris votre compte informatique, vos appareils, vos données et vos documents.
De votre compte informatique CERN découlent plusieurs responsabilités. Vous êtes la première personne responsable de la sécurisation et de la protection de votre compte, de vos appareils, de vos données et des services ou systèmes que vous gérez. Vous êtes également tenu de respecter les règles informatiques du CERN, qui, pour vous, sont censées être suffisamment légères pour ne pas gêner votre travail et, pour nous, suffisamment larges pour que nous puissions remplir notre mandat : protéger le fonctionnement et la réputation de l'Organisation.
Souvenez-vous de vos principales responsabilités :
- Protégez vos ordinateurs. Soyez responsable quand vous les utilisez et gardez-les toujours à jour. « Windows Update », « Apple Update », « Yum autoupdate » sont vos amis : activez-les et laissez-les tourner en arrière-plan. Pour Windows ou MacOS, vous pouvez même obtenir gratuitement un antivirus de la part du CERN, pour votre usage professionnel mais aussi chez vous ! Pour plus de détails, cliquez ici.
- Restez prudent sur le web et lorsque vous consultez vos courriels. Réfléchissez avant de cliquer sur n’importe quel lien. Si vous ne connaissez pas son origine ou qu’il ne vous inspire pas confiance, abstenez-vous de cliquer, car votre ordinateur pourrait se faire infecter. Il en va de même pour les programmes, « add-ons » ou « plugins » que vous téléchargez sur internet et installez sur votre système : vous devez avoir confiance en leurs sources - et même ainsi, vous pourriez compromettre votre ordinateur. Aussi, abstenez-vous d'ouvrir les pièces jointes de courriels qui ne vous semblent pas destinés (adressés à quelqu'un d'autre ou provenant d’un contact inconnu), ou qui vous paraissent louches (rédigés dans une autre langue, contenant des erreurs typographiques ou factuelles, ou qui ne proviennent pas du domaine ou de l'adresse habituelle de votre contact, etc.).
- Protégez votre mot de passe. Votre mot de passe est le vôtre et uniquement le vôtre. Ne le communiquez à personne, même s'il s'agit de votre superviseur, du Service Desk ou de l'équipe de la sécurité informatique. Traitez-le avec autant de précaution que le code de votre carte bancaire. Soyez inventif : utilisez un mot de passe complexe qui ne peut pas être deviné facilement. Les mots du dictionnaire ne vous aideront pas, mais, en revanche, les formules mathématiques peuvent vous donner des idées. Vous trouverez tous nos conseils ici.
- Protégez vos fichiers et vos données : le monde entier s’intéresse au CERN. Si vous travaillez sur des données sensibles ou à accès restreint, assurez-vous que seules les personnes ayant besoin de les consulter y ont accès. Si vous tenez à votre vie privée, faites en sorte aussi que vos documents personnels soient protégés correctement. Tous les grands systèmes de stockage du CERN (AFS, Alfresco, CDS, DFS, EDMS, INDICO, Sharepoint) ont des paramètres de contrôle et de restriction d'accès. Certains documents, par exemple dans les espaces de travail AFS, peuvent être publics par défaut ! Lisez la politique de protection des données du CERN pour plus de détails.
- Respectez les droits d’auteur. Les violations de licences et de droits d’auteur sont des délits et sont susceptibles d’entacher la réputation et l’intégrité du CERN. Vérifiez que vous avez le droit d'utiliser tous les logiciels installés sur votre ordinateur. En cas de doute, vérifiez leur provenance. Sachez que la responsabilité financière liée à une violation de droits d’auteur peut vous être entièrement transférée. Le montant que vous pourriez avoir à payer peut facilement atteindre la valeur d'une voiture !
- Suivez les règles informatiques du CERN (consultables ici). Agissez de manière raisonnable : ne soyez pas agressif, violent, raciste, discriminant ou injuste ! Sachez que le CERN tolère l'utilisation de ses infrastructures informatiques pour des activités privées, tant que celles-ci ne sont pas de nature politique ou commerciale, ou illégale. Enfin, abstenez-vous d’aller sur des sites pornographiques. Sans parler de l'impact que cela pourrait avoir sur la réputation de l'Organisation, pensez au malaise que cela provoquerait si quelqu'un vous surprenait, ou si nous devions vous envoyer un courriel vous demandant de justifier vos pratiques.
Enfin, souvenez-vous que ces règles simples vous permettent de travailler en toute sécurité sur votre ordinateur, au CERN, mais aussi chez vous. De même que vous faites attention à votre sécurité dans le monde réel (lorsque vous interagissez avec quelqu’un, en traversant la rue, ou en conduisant une voiture), faites-y aussi attention dans le monde virtuel, lorsque vous échangez des courriels, naviguez sur internet ou utilisez des logiciels.
N'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team