Sécurité informatique : le marathon de la sécurité, partie 2
Vous souvenez-vous de notre dernier article intitulé « Le marathon de la sécurité » (voir ici) ? Nous y expliquions pourquoi croire que la sécurité est un sprint, qu'une bidouille rapide est invulnérable, qu'une correction de bugs hâtive est suffisante, qu’ajouter des mesures de sécurité aux structures préexistantes est approprié… était une mauvaise idée.
Et bien sachez que la sécurité est un marathon, pour nous aussi. À maintes reprises, nous nous sommes sentis à l’abri, à l’aise avec la position qu’a adoptée le CERN en matière de sécurité : des moyens de protection dédiés installés sur les machines individuelles, des moyens de sécurité déployés individuellement par les administrateurs de service, l'attention et la vigilance de nos utilisateurs, et la réactivité du management. Cependant, encore et encore, nous découvrons ensuite que ce sentiment est inapproprié, que les protections et les mesures de sécurité sont incomplètes, que la conscience du problème de la sécurité informatique a disparu. Alors, à maintes reprises, malheureusement, nous nous retrouvons à la case départ et devons résoudre, à nouveau, les mêmes problèmes avec les mêmes personnes.
La sécurité est donc bien un marathon, pour nous aussi. Parfois, cela s’apparente même à une course d'obstacles en équilibre sur une poutre : vous devez esquiver des obstacles tout en maintenant votre équilibre. Comme pour tout marathon, la sécurité nécessite beaucoup d'aide et de supports extérieurs. Et elle demande par ailleurs une grande résistance à la frustration, un soupçon d'entêtement et beaucoup de persévérance. Et pardon à tous ceux que nous avons poussés trop loin, la poutre est parfois très fine. Soyez indulgents. Laissez-nous continuer à protéger les systèmes informatiques du CERN et à les maintenir en toute sécurité. Essayez de ne pas répéter les erreurs du passé, il y a suffisamment d'opportunités pour en faire de nouvelles. Si vous maintenez un service informatique ou développez un programme informatique (qui ne le fait pas de nos jours ?), merci de suivre ces quelques règles :
- Ne réinventez pas la roue. Facilitez-vous la tâche et utilisez les services centraux fournis par le département informatique du CERN ;
- Suivez la formation adaptée à votre langage de programmation favori ;
- Programmez soigneusement et suivez en détail un cycle de développement logiciel complet ;
- Utilisez des outils d'analyse statique pour détecter d’éventuelles erreurs de base dans votre code ;
- Suivez nos « Baselines de sécurité » pour mettre en place votre service dans les règles.
Protégez le CERN de tout incident de sécurité informatique ! Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.