Sécurité informatique : Comment réussir le déploiement de logiciel
La période des étudiants d'été a pris fin et nous tenons à féliciter tous ceux qui ont accompli avec succès leur projet ! En particulier, bravo à ceux qui ont réussi à développer et déployer des applications Web sophistiquées en cette saison d'été trop courte. Malheureusement, toutes les applications Web n'ont pas ou aller jusqu'au bout, entrer en production et devenir visibles sur internet. Nous avons dû le refuser... permettez-moi de vous expliquer pourquoi.
La réalisation d'une application Web visible sur internet nécessite une ouverture dans le pare-feu de périmètre extérieur du CERN. Cette demande est habituellement faite par l'interface web WebReq du CERN. Dans la procédure standard, l'équipe de sécurité informatique du CERN examine chaque demande et procède à une évaluation de sécurité. Et c'est là que les choses peuvent se gâter : souvent, les étudiants ont créé des applications web impressionnantes proposant de superbes fonctions nouvelles présentant un bel aspect et une bonne convivialité, correspondant à des besoins précis, qui intègrent des technologies web modernes, des tableaux de bord, des flux intégrés, des actions dynamiques par clic ou pointage de la souris, etc. Mais dans de nombreux cas, une vérification approfondie a révélé des problèmes de sécurité :
- Des applications web donnant accès à des comptes locaux via un bouton de connexion : étant donné que celui-ci est conçu pour les personnes du CERN, pourquoi n'est-il pas intégré avec l'authentification unique du CERN ?
- Des pages de connexion utilisant « HTTP » : il aurait fallu utiliser un protocole crypté (« HTTPS ») afin de protéger les mots de passe sur le réseau.
- Des pages web souffrant des vulnérabilités « habituelles » avec un risque d'extraction d'informations protégées ou d'injection de commandes : aucune validation des entrées, pas de filtrage.
- Des serveurs web exécutant des versions périmées du système d'exploitation ou de l'application web : qui les mettra à jour à l'avenir ? Comment ?
- Des serveurs installés sur du matériel caché sous les bureaux ou sur des ordinateurs portables personnels : qui se chargera des mises à jour futures ?
- Des technologies qui sont semblables à celles fournies par le département IT : il n'est pas nécessaire de réinventer la roue...
Il est dommage que de tels projets, démarrent parfois (apparemment) sans la consultation des experts IT. L'équipe de sécurité informatique du CERN est prête à vous donner ces conseils, faire des tests de pénétration, à évaluer l'empreinte sécuritaire des nouveaux systèmes et à vérifier les déploiements existants. Nous pouvons vous aider à faire le choix approprié des technologies et vous assister pour la conception de systèmes (évidemment, l'essentiel du travail sera pour vous…). Comme nous l'avons écrit dans un précédent article du Bulletin (« Cessez de combattre seul, laissez la synergie gouverner ! »), le département IT peut apporter un appui centralisé pour une longue liste d'applications et de services. Au lieu de gérer et de mettre à jour vos machines vous-même, vous pouvez obtenir un serveur géré de manière centralisée ou une machine virtuelle tenue à jour par le département IT. IT fournit également des serveurs web gérés de manière centralisée, des systèmes de gestion de contenu, des bases de données, des systèmes de stockage de fichiers et des applications d'ingénierie, le tout étant bien géré, correctement sécurisé, et maintenu sur le long terme. En procédant de la sorte, votre responsabilité en matière de sécurité serait déléguée au département IT et vous n’auriez plus à la gérer vous-même (plus ou moins bien). Votre équipe pourra alors se concentrer sur son travail de base, et délivrer un beau projet qui ira en production au profit de votre communauté d'utilisateurs à l'intérieur et à l'extérieur du CERN !
Enfin, la formation dédiée peut également vous aider (« Améliorer les logiciels, mais évitez les gaffes ! »). Le programme de formation du CERN comprend tout un ensemble de formations dédiées aux développeurs de logiciels. Il vous suffit d'inscrire les personnes de votre équipe !
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
