Sécurité informatique : bientôt une politique de protection des données pragmatique pour une Organisation ouverte
Comme toute autre organisation ou employeur, le CERN détient des données confidentielles, par exemple, des dossiers médicaux, des fichiers personnels, des dossiers traitant de cas de harcèlement, des clauses de non divulgation et autres contrats, numéros de carte de crédit, ou résultats scientifiques non publiés. Du fait d’un manque de clarté quant aux responsabilités et obligations, nos procédures actuelles se révèlent parfois inadaptées pour la protection de tels documents.
Certains documents ont ainsi été rendus publics par erreur (cf. la publication prématurée des vidéos relatives à l’annonce du « Higgs » en 2012) ; des informations confidentielles ont accidentellement été divulguées (par exemple, les mots de passe utilisés pour accéder aux systèmes de contrôle des accélérateurs et des expériences en 2011) ; des ordinateurs portables ont été perdus ou même volés (comme l'un des ordinateurs d'une délégation lors d'un voyage officiel), emportant avec eux les données et courriels privés. Fort heureusement, un terme devrait bientôt être mis à de telles pertes de données ainsi qu’au manque de clarté relatif à nos obligations en la matière.
Lors de sa dernière réunion, la proposition d’une politique de protection des données (Data Protection Policy, DPP) globale pour le CERN, adaptée à l’environnement ouvert qu’est l'Organisation, a été présentée au Directoire. Cette politique doit établir des règles pour une classification systématique des données, pour leur conservation et leurs utilisations postérieures, mais établit aussi quand et comment détruire ces données au sein de l'Organisation.
Cette politique sera aussi globaliste que possible et aussi pragmatique que nécessaire, et va aider le CERN à être conforme aux standards internationaux de protection des données, sans pour autant affaiblir son environnement ouvert et académique. Une attention particulière sera portée aux règles concernant la confidentialité et l’utilisation des données personnelles (actuellement partiellement protégées par la Circulaire administrative 10). Les procédures d'utilisation des autres données (par exemple, celles conservées par le département HSE) seront développées en collaboration étroite avec les départements et expériences concernés.
Cette ébauche a été préparée par un petit groupe de travail regroupant des membres des départements GS, HR et IT, ainsi que du Service juridique du CERN et de l'équipe de Sécurité informatique. En parallèle, ce groupe de travail est en contact avec les fournisseurs de services dans IT et GS, afin de commencer à appliquer à leurs services informatiques des recommandations similaires pour l’utilisation des données, pour unifier la classification, le stockage et la protection des données, et pour fournir les systèmes adaptés au stockage de chaque niveau de classification. En outre, ce groupe organisera des formations de sensibilisation à la protection des données pour les personnes clés, suggérera des solutions simples et rapides à mettre en place pour améliorer la protection des données dans l'unité DG ainsi que dans les départements FP et HR, telles que le déploiement d'outils permettant de crypter facilement les disques d’ordinateurs portables (plus d'information à ce sujet ici), d’aider les départements et expériences à examiner et à adapter leurs recommandations internes de gestion des données pour les mettre en conformité avec la nouvelle politique de protection, et les assister dans l’établissement de bonnes pratiques.
Pour plus d'informations, inscrivez-vous à nos cours de programmation sécurisée.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.