Ne me tentez pas !
Vous est-il déjà arrivé, durant votre carrière au CERN, de changer d’activités, de fonctions ou de responsabilités tout en gardant l'accès à vos « vieux » systèmes de contrôle ou services informatiques ? Accéder à ces systèmes - pour lesquels vous n’avez plus de responsabilités - pour aider quelqu’un sur la base de vos travaux et expériences antérieurs peut paraître innocent mais... Examinons de plus près les (mauvaises) conséquences que cela peut avoir.
_image.jpg?subformat=icon)
Dans une ancienne vie, je travaillais pour un développeur de logiciels et expert systèmes pour le système de sécurité du détecteur (Detector Safety System), un système de commandes utilisé dans les expériences du LHC. Après le déploiement de ce système, de nouvelles responsabilités m’ont été assignées, qui m’ont finalement amené à rejoindre l’équipe de la Sécurité informatique du CERN. Ce système a depuis été pris en main par une nouvelle équipe de personnes compétentes. Cependant, mon expérience sur le « Detector Safety System » n’ayant pas disparu, j’ai été maintenu sur la liste d’experts, avec toutes les autorisations d’accès nécessaires. J’ai été honoré, me sentant estimé et indispensable. Mais, avec le temps, le fait que j'ai toujours l’accès a été oublié. Au fil du temps, le système a changé, le logiciel ayant été adapté, et des exigences et commandes ayant été rajoutées. Or, que ce serait-il passé si, en cas de problème, j’avais été sollicité et que j’avais tout bouleversé ?... Au final, je me suis donc arrangé pour que tous mes droits d’accès soient révoqués.
Mais n’est-ce pas de la tentation ? Plus il y a d'accès, mieux c'est ?! J’aurais pu utiliser mon autorisation pour copier le code et le réutiliser dans un autre projet. J’aurais pu avoir accès aux PC pour réaliser quelques tests ne pouvant être exécutés que sur des systèmes opérationnels. J’aurais pu être malveillant et empêcher les expériences du LHC de fonctionner… En conclusion, plus il y a d'accès, pire c'est* ! Si j’avais fait mauvais usage de mon accès sur ces systèmes et logiciels, et si j’avais tout ruiné, je suis certain que l’on aurait pu considérer ceci comme une faute professionnelle.
Alors, ne me tentez pas, ni moi ni personne ! Si vous gérez un service, un système ou un logiciel, et que vous ne voulez pas prendre de risques, instaurez des procédures sur la façon de gérer les droits d’accès des personnes quittant votre équipe, et appliquez-les ! Car au final, c’est vous qui assumerez les conséquences dans le cas où l’indésirable se produit. Cela pourrait devenir votre faute professionnelle !
Votre point de vue nous intéresse ! Envoyez un courriel à Computer.Security@cern.ch.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel.
Pour plus d'informations, contactez l'équipe de sécurité informatique ou consultez notre site web.
*Notez que ceci est également la raison pour laquelle vous devez traiter votre mot de passe comme votre brosse à dents. Vous ne devez pas le partager ! Sinon, vous pourriez en tenter d’autres…
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team
