Cessez de combattre seul, laissez la synergie gouverner !

Il semblerait que le CERN ait encore beaucoup de main-d'œuvre en trop, est-ce vrai ?... Nous pensions pourtant que, pendant le LS1, les ressources étaient rares, et que tout le monde était vraiment très occupé. Mais non. Plus que jamais, nous recevons des demandes pour des ouvertures de pare-feu pour des serveurs web autonomes ayant des bases de données locales et des applications web personnalisées.

Nous parlons ici d’applications logicielles « nouvellement » déployées ayant des fonctions similaires à des applications préexistantes. Nous rencontrons du matériel informatique et des équipements de réseau gérés de multiples façons par plusieurs personnes. Et des logiciels commerciaux ou des services « cloud » qui ressemblent étrangement à des services informatiques existants au CERN sont achetés ou loués, comme SurveyMonkey vs Sharepoint ou tinyurl.com vs cern.ch/go. Pourquoi, par exemple, le CERN gère-t-il deux magasins de documents - CDS et EDMS - qui fournissent des fonctionnalités et des flux de travail similaires ? Un seul ne serait-il pas suffisant ? Et quatre (ou plus !) systèmes de tickets JIRA ? Pourquoi y a-t-il de nombreuses instances locales de Git, des dizaines de serveurs fournissant la gestion de contenu web Drupal, et plusieurs Twikis ?  Pourquoi réinventons-nous la roue, encore et encore ? Pourquoi consacrons-nous des ressources à la duplication d'activités sur des services similaires ?

La pulsion naturelle pour le nouveau, pour jouer, pour apprendre, pour lutter pour quelque chose de mieux peut en partie l’expliquer. C'est en effet beaucoup plus amusant de construire quelque-chose soi-même plutôt que de « seulement » utiliser des solutions existantes. Et comme les solutions existantes ne correspondent jamais exactement à vos besoins, c’est un bon prétexte pour repartir de zéro.

Cela dit, nous avons plus d’une fois refusé d'ouvrir le pare-feu de périmètre extérieur du CERN pour un service indépendant résidant sous le bureau d'un physicien. Non pas parce que ces services sont « mauvais » - au contraire, ils fournissent habituellement beaucoup de nouvelles fonctionnalités et une interface agréable - mais parce que, dans les coulisses, la configuration n'est pas toujours optimale, la maintenance à long terme n'est pas garantie, et les mesures de sécurité manquent. D’où le refus d’ouvrir les pare-feu correspondants, et la nécessité pour le développeur correspondant de repartir de zéro.

Au final, est-ce vraiment dans l'intérêt de l'Organisation de recommencer à zéro encore et encore ? Ne devrions-nous pas mieux gérer nos ressources ? Est-il vraiment beaucoup plus amusant de prendre de nouvelles routes plutôt que d'améliorer celles qui existent déjà ?   Configurer un serveur web Drupal, un Twiki, une instance JIRA, ou une base de données n'est pas sorcier ; les maintenir viables et sécurisés sur le long terme est plus difficile. Or, la viabilité à long terme et un fonctionnement stable sont essentiels pour un bon service. Mais tout cela nécessite un travail supplémentaire, un travail dur, qui n'est pas forcément aussi amusant que la mise en place initiale de la machine.

De plus, pour nous, la gestion de la sécurité d'un service central, fourni, maintenu et sécurisé par des professionnels formés et engagés est beaucoup plus facile que celle d'une cacophonie d'instances siégeant dans des endroits aléatoires. Alors, pourquoi ne pas simplement utiliser les services centraux fournis sans frais par le département IT ? Idéalement, cela vous fait gagner du temps pour quelque chose de plus important - si vous acceptez que la solution d'IT ait des limites (éventuellement acceptables) et puisse ne pas toujours correspondre à vos besoins à 100%. Mais allons plus loin ! Nous devons abandonner l’idée qu’IT n'est pas en mesure de fournir ceci ou cela à 100%. Au lieu de gaspiller des ressources avec des solutions autonomes individuelles, nous devrions faire équipe et permettre au département IT de fournir les solutions idéales ! Nous devrions arrêter de nous battre seul, mais conjuguer nos efforts avec le département IT pour fournir des services informatiques durables pour tous ! Laissez la synergie gouverner, et du temps libre pour les vrais défis !  

Votre point de vue nous intéresse ! Envoyez-nous un courriel à Computer.Security@cern.ch.

Envie de participer à fournir un meilleur service ? Prenez part à nos sessions de formation spécifiques sur la programmation sécurisée prévues pour septembre 2013 :

Secure coding in C/C++ (1 jour)
Secure coding in Perl (1 jour)
Secure coding in Python (1 jour)
Securing Java Applications (1 jour)
Securing Java and Web Applications (1 jour)
Securing PHP Web Applications (1 jour)
Developing secure software (4 heures)

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel.

Pour plus d'informations, contactez l'équipe de sécurité informatique ou consultez notre site web.

Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team

Le Bulletin
du CERN