Sécurité informatique : quand une personne part, les droits d'accès restent

Nous avons récemment été contactés par un chef de projet embarrassé, car il venait tout juste de se rendre compte qu'un étudiant, parti fin 2013, avait encore, en février 2014, accès en lecture à tous les projets : « Comment est-ce possible ?! Dans n'importe quelle autre entreprise, les droits d'accès seraient révoqués à l'instant même où le contrat de travail prend fin. » Mais il n’en est pas ainsi au CERN.

 

Depuis toujours, le CERN est un site ouvert, avec une communauté ouverte. Les contrôles d'accès physiques sont réduits, et vous avez simplement besoin de votre carte d'accès CERN à portée de main. Des restrictions supplémentaires ont uniquement été mises en place quand la sécurité des biens et des personnes l'exigeait, et le CERN ne vous oblige pas à porter ostensiblement votre carte d'accès. Il en est de même pour le monde numérique. Une fois enregistré au CERN, par contrat, via l’expérience à laquelle vous appartenez, ou via le Bureau des utilisateurs, vous possédez un compte informatique qui vous garantit un accès à une large variété de services informatiques. Par exemple l'année dernière, 9730 étudiants/techniciens/ingénieurs/chercheurs/membres du personnel ont rejoint le CERN. Et autant l’ont quitté, leur contrat avec l’Organisation ou leur université ayant pris fin. Cependant, une partie de ces personnes reviendront au CERN, avec un nouveau contrat avec l’Organisation ou avec une autre université. Il n'est en effet pas rare que des étudiants ayant obtenu un diplôme de master dans une université poursuivent leur carrière par un doctorat sur leur sujet de recherche dans une autre université.

Si nous avions fait le choix strict des entreprises « normales », nous aurions immédiatement fermé leur compte, supprimé toutes leurs données, etc., pour nous rendre compte quelques semaines plus tard qu'ils sont de retour. Quel gâchis ! Par conséquent, le CERN a décidé d'accorder un délai de deux mois après la fin d'un contrat, deux mois pendant lesquels les comptes informatiques CERN sont gardés actifs. Si une personne revient, rien n'aura changé dans sa sphère numérique CERN. Après ce délai, le compte sera automatiquement bloqué et toutes les données (courriels, dossiers, etc.) seront supprimées après quatre mois supplémentaires. Le chef de projet mentionné précédemment l'a appris à ses dépens. Il était préoccupé, puisque son projet portait sur des données sensibles qui devaient être correctement protégées et accessibles aux seules personnes concernées.

Personne ne devrait ne serait-ce qu'être tenté d'abuser d'accès trop ouverts (voir notre article du Bulletin « Ne me tentez pas »), sans parler des potentielles fuites de données ou des utilisations abusives... Ainsi, si vous voulez être prudent et protéger correctement vos données, services et dossiers, relisez notre article du Bulletin « Sécurité informatique : ‘privé’, c'est privé à quel point ? ». En général, les gens ne sont pas malveillants et, s’ils l'étaient, ils auraient déjà eu le temps d'agir. Cependant, si nécessaire, vous pouvez nous demander en écrivant à Computer.Security@cern.ch de bloquer un compte prématurément en nous fournissant une justification écrite de la part du superviseur correspondant, de sa hiérarchie ou de son chef d'équipe.


Vous trouverez ici plus d’informations sur notre politique actuelle
concernant les comptes informatiques.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team