Sécurité informatique : une surveillance transparente pour votre protection
La sécurité informatique peut être assurée de deux manières : dans le plus grand secret, derrière des rideaux noirs et avec la plus grande discrétion, ou alors de manière ouverte, à travers des examens approfondis et transparents. Nous estimons que seule la seconde option est compatible avec le CERN. C'est ainsi que nous procédons depuis toujours. Voici donc un rappel sur les moyens de surveillance dont nous disposons pour garantir une réponse rapide aux incidents de sécurité informatique.
Nous surveillons tout le trafic réseau du CERN, qu’il soit entrant ou sortant. Des outils automatiques recherchent des comportements suspects, par exemple la connexion à des adresses IP, pages web ou domaines connus pour être malveillants. Ces automatismes vérifient aussi qu’aucun fichier malveillant n’est téléchargé. Enfin, ils analysent statistiquement l'ensemble des connexions pour identifier les comportements inhabituels. À cela s'ajoute l'analyse automatique de l'historique issu des serveurs de noms de domaines, permettant une redondance de l'analyse.
Nous scannons en permanence le réseau utilisateur du CERN et tenons à jour un inventaire des services détectés sur chaque machine : serveurs web, serveurs SSH… L'antivirus, installé sur les ordinateurs Windows gérés centralement, envoie à nos experts en virus informatiques des alertes pour toute activité malveillante ou suspecte. De même, tous les courriels qui entrant et sortant du CERN sont automatiquement analysés par les filtres anti-pourriels de Microsoft. Des outils statistiques identifient les comptes mail qui envoient des pourriels : il est assez rare que des utilisateurs arrivent à envoyer plus de 3 000 mails légitimes en un jour...
Nous surveillons vos connexions au CERN par SSH ou par le portail d'authentification unique du CERN (login.cern.ch). Si l'origine de ces connexions nous paraît inhabituelle (soyez indulgents si elles ne l’étaient finalement pas), nous vous avertissons automatiquement en vous demandant de vérifier l'activité concernée. Nous inspectons aussi l'activité sur nos clusters de calculs centraux : commandes lancées (avec leurs paramètres), activités et connexions réseaux, manipulations du noyau (« kernel ») ou des logiciels installés… Enfin, nous surveillons des flux d'informations externes qui, selon leur nature, nous donnent des informations sur des sites web compromis ou vulnérables, ou qui publient directement des listes de mots de passe volés, etc. Le service « Alertes » fourni par Google nous aide, lui aussi.
La plupart de ces sources d'informations sont regroupées dans un seul et même système d'analyse. Celui-ci doit être en mesure d'analyser en temps réel environ un téraoctet de données chaque jour. Dans le cas où votre compte/site/machine apparaîtrait comme compromis ou infecté, vous recevriez une notification automatique. Espérons ensemble que cela ne vous arrivera jamais ! Toutes ces données sont conservées pendant un an en cas de nécessité (par exemple dans le cadre d’une enquête sur un incident informatique) avant d'être définitivement supprimées. Leur accès est limité exclusivement aux membres de l'équipe de la Sécurité informatique du CERN.
Cependant, soyez assurés que l'équipe de la Sécurité informatique n'a en aucun cas le droit de fouiller dans vos données pour s'amuser. Tous nos accès sont soumis aux règles informatiques du CERN (OC5). Les accès directs à votre courrier électronique ou à n'importe lequel de vos fichiers personnels enregistrés sur les systèmes de fichiers du CERN sont strictement réglementés par la politique de protection des données du CERN (en cours de rédaction) et ses politiques subsidiaires (par exemple ici). Ils nécessitent l'autorisation officielle du directeur général. Toute violation de ces règles est considérée comme une faute professionnelle et impliquerait le licenciement du membre fautif de l'équipe.
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.
par Stefan Lueders, Computer Security Team
