Sécurité informatique : la confidentialité est l'affaire de tous

Récemment, un fichier zip contenant des informations confidentielles a été rendu public par erreur sur l'un des sites web du CERN, l'intention étant, à l'origine, de partager ce fichier uniquement avec les membres d’un comité. 

 

Lors de la mise en ligne du document, les droits d’accès à ce fichier n’ont pas bien été évalués, et le fichier a été rendu accessible, non seulement aux membres du comité, mais à toute personne visitant la page web en question ! Ce n’est malheureusement pas la première fois qu’une telle chose se produit... Nous avons déjà trouvé des documents rendus accessibles à une audience bien plus large que celle envisagée initialement.

Le CERN prend très au sérieux la confidentialité des données. Les documents confidentiels ou sensibles (selon la nomenclature définie dans la politique de protection de données du CERN, en anglais) nécessitent un traitement professionnel et la mise en place de droits d'accès clairs et limités aux personnes ayant réellement besoin de les consulter. De ce fait, ils ne doivent pas être diffusés trop largement par courriel sous la forme de pièces jointes et encore moins être stockés sur de quelconques sites web publics dans le but de les partager. Ils doivent être stockés à leur emplacement initial (AFS, Alfresco, CDS, DFS, EDMS, INDICO, Sharepoint) et leurs droits d'accès doivent être adaptés.

Le niveau de protection est clairement mentionné dans EDMS (« Accès public », « Accès restreint », etc.) et INDICO (« Public », « Restreint » ; s’il n’est pas mentionné, vérifiez le niveau d’accès dans l'onglet « Protection »). Pour AFS et DFS, les instructions pour protéger vos fichiers sont consultables ici (pour AFS) et (pour DFS).

La confidentialité est l'affaire de tous ! Réfléchissez-y à deux fois avant de transmettre des documents sensibles. Agissez avec professionnalisme et faites preuve de discernement. Laissez le document à son emplacement d’origine et ne transmettez que son lien ou l’adresse de son emplacement.

Vous pouvez également utiliser CERNbox, qui vous permet de partager des documents, même avec des personnes n'ayant pas de compte au CERN. Cependant, pensez bien à configurer avec soin les droits d'accès de façon aussi restrictive que possible. Rappelez-vous que les membres du personnel sont tenus responsables du maintien de la confidentialité des données qui leur sont confiées. Tout manquement pourrait avoir des conséquences administratives, voire disciplinaires.

N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team