Sécurité informatique : IT ou pas IT, telle est la question
Depuis notre article du Bulletin intitulé « Sécurité informatique : comment réussir le déploiement de logiciel » (voir ici), nous avons été régulièrement confrontés aux problèmes que posent les services informatiques « standard », qui sont répliqués au sein du CERN, et sont même confiés à des entreprises extérieures.
L'expérience nous a démontré que ces systèmes non centralisés sont plus sujets aux failles de sécurité et que, sur le long terme, ils sont moins bien gérés, quand ils ne sont pas tout bonnement orphelins ! S'ils sont hébergés à l'extérieur du CERN, il existe aussi des risques de fuite de données sensibles - des problèmes de sécurité face auxquels le CERN n'aurait pas la possibilité d'intervenir ou de réagir.
Prenons l’exemple de ce diaporama, créé par un consultant externe et aujourd’hui hébergé dans le « cloud »... Même si le « cloud » s’est avéré bien pratique pour le consultant - qui a régulièrement utilisé ce service - son contenu a malheureusement été perdu, une fois le travail du consultant terminé, et que personne au CERN n'a pu en reprendre la responsabilité. Prenons encore cette page web, développée par un étudiant d'été qui a eu recours à une société d'hébergement web externe. Il s'est avéré que le site web était défectueux et qu’il divulguait des données, mais ni l'étudiant ni l'hébergeur n'étaient capables de résoudre ce problème ou prêts à le faire. Ou encore ce questionnaire, contenant des informations personnelles sur certains de nos collègues, et dont les données ont malencontreusement été dévoilées au grand public. Ou le développement d'applications web réalisé par un ancien collègue, qui a plus tard dû être remboursé par DAI.
Le CERN a la chance de compter de nombreux groupes de compétences différents : le Service médical pour notre santé, les pompiers pour notre sécurité, le groupe Radioprotection pour les questions de radiations, le département FP pour ce qui concerne les contrats et achats, le groupe Refroidissement & ventilation, la section Métrologie pour les mesures, des groupes techniques compétents pour la conception de PCB, le Service juridique, le Département des ressources humaines, etc.
Heureusement, il en va de même pour les questions informatiques, et le département IT est là pour vous aider. Bien sûr, les outils de la vie moderne –smartphones, Facebook, Twitter - nous ont rapprochés de l’informatique, mais n’ont pas tous fait de nous des experts en informatique. S'il est aujourd'hui facile d'ouvrir un compte Dropbox, de créer un questionnaire SurveyMonkey ou de mettre en place une page web avec Wordpress ou Joomla, cela ne signifie pas que c'est toujours dans l’intérêt général du CERN.
De même que nous consultons les départements FP ou HR, le Service médical, le Service juridique, ou le groupe Radioprotection pour leurs compétences respectives, ne devrions-nous pas profiter davantage de l'expertise et des connaissances de nos collègues du département IT ?
Ainsi, si vous envisagez de démarrer un projet utilisant des technologies IT (sites web, serveurs autonomes, stockage sur disque, services d’informatique en nuage externes, etc.), ou si vous en êtes déjà au stade du développement, nous vous invitons à nous consulter via Computer.Security@cern.ch ou à prendre contact avec nos collègues du département IT.
Cela vous permettra de vous concentrer sur le cœur de votre projet, tandis que le département IT s’assurera que les technologies utilisées sont entièrement prises en charge et sécurisées, mises à jour et intégralement sauvegardées, et que la politique de protection des données du CERN est respectée.
Sur le long terme, cela ne peut (et ne doit) que vous être bénéfique ! Vous trouverez des exemples ici.
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team
