Sécurité informatique : SAHARA - la sécurité aussi élevée que raisonnablement possible (Security As High As Reasonably Achievable)

L’expérience montre que nos systèmes et services informatiques ainsi que nos systèmes de contrôle présentent régulièrement des faiblesses sur le plan de la sécurité informatique. Trop souvent, nous sommes amenés à utiliser des moyens détournés pour appliquer des mesures de protection, comme déployer des solutions « bouche-trou », improviser des bricolages ou simplement accepter qu'il soit trop tard pour modifier quoi que ce soit.

 

Une manière de faire en contradiction flagrante avec le professionnalisme dont nous faisons preuve chaque jour. D’autres priorités et le manque de temps nous amènent à ignorer la « sécurité informatique » ou à ne la considérer que trop tard... Nous pouvons mieux faire : prenons donc exemple sur la « sécurité des personnes » au CERN !

Le principe « ALARA » (« As Low As Reasonably Achievable ») ou « niveau aussi bas que raisonnablement possible » en français, est le principe suivi par l’unité HSE au CERN pour l'exposition aux radiations. Adapté à la sécurité informatique au CERN, le principe deviendrait « SAHARA » pour « Security As High As Reasonably Achievable » ou « sécurité aussi élevée que raisonnablement possible » en français. En d’autres termes : toutes les mesures de sécurité informatique doivent être appliquées – dans la mesure du possible et en fonction de leurs coûts. Pour ce faire, la sécurité d'un nouveau logiciel, d’un service informatique ou d’un système de contrôle doit être correctement examinée dès le stade de conception, comme c’est le cas pour d’autres aspects du projet - tels que ses fonctionnalités, sa disponibilité, sa maintenabilité ou sa facilité d'utilisation - qui doivent être définis et approuvés à l'avance.

Je me félicite qu'un certain nombre de nos collègues de différents départements, notamment BE, HR, FP, TE et l'unité HSE, nous aient contactés très tôt dans la mise en œuvre de leurs nouveaux développements informatiques ou processus d'acquisition pour vérifier leur impact sur le plan de la sécurité. Bon travail chers collègues ; j'espère que d’autres suivront vos pas !

Malheureusement, dans certains cas, l'équipe de la Sécurité informatique est impliquée trop tardivement dans le processus. Ce fut le cas, une fois encore, avec certains des étudiants d'été de cette année. Ma crainte de devoir à nouveau décevoir certains de ces étudiants s’est confirmée. En particulier ceux qui ont dû créer une application web. Les étudiants d'été ont tendance à tout construire de zéro. Généralement, à la fin de l'été, ils nous demandent d'ouvrir le pare-feu extérieur du CERN pour leurs applications web. Mais attendez… L'application tourne sur le portable de l'étudiant… Son superviseur ne sait pas comment maintenir son système d'exploitation « Ubuntu »… La technologie web et les programmes utilisés sont dépassés… L’application utilise « Joomla » ou « Wordpress » au lieu de « Drupal »… Elle utilise un identifiant local ou envoie les identifiants et mots de passe en clair sur internet… Et les pages web elles-mêmes sont vulnérables à des attaques basiques comme le « cross-site scripting » et les injections SQL… Un échec impressionnant de niveau cinq qui nous contraints à refuser l’ouverture du pare-feu. Résultat : un étudiant déçu et frustré de n'avoir, au final, rien produit d'utilisable, un superviseur énervé, et des services informatiques désolés d'avoir dû anéantir le résultat d'un beau projet.

Ainsi, si vous êtes amené à superviser un projet de ce type, assurez-vous que votre étudiant nous contacte le plus tôt possible : nous parlerons des bonnes et mauvaises pratiques informatiques, des différents éléments fournis par le département IT du CERN, de la manière de bien concevoir un logiciel… Vous éviterez ainsi de devoir abandonner le projet de votre étudiant parce qu'il n'est absolument pas sécurisé - une situation bien désagréable.

En fait, le principe « SAHARA » devrait être appliqué à tous les services informatiques, systèmes de contrôle, logiciels et applications web au CERN. Préoccupez-vous de la sécurité suffisamment tôt dans votre projet et vous vous épargnerez bien des pertes de temps et des efforts inutiles. Qui plus est, vous contribuerez à faire du CERN un environnent de travail plus sécurisé, pour le bien de son fonctionnement et de sa réputation.


N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team