« Stefan, arrête d'être paranoïaque. Il n'arrive rien de bien grave au CERN dans le domaine de la sécurité informatique. Laisse-nous travailler et arrête de nous mettre des bâtons dans les roues...». J'éprouve presque de la pitié quand j'entends cela, car mon quotidien et celui de mon équipe est bien différent...
La vérité est que le CERN est attaqué. En permanence. En ce moment même. Les serveurs web. Les systèmes de courrier électronique. Nos passerelles interactives. Nos bases de données. Nos systèmes de fichiers. Nos PC et portables. Nos mots de passe et nos comptes. En outre, le CERN possède une grande diversité de services informatiques hétérogènes. Plusieurs centres de calcul. Des dizaines de centres de contrôle. Des centaines de développeurs. Des milliers d'utilisateurs. Des millions de pages web. Des dizaines de millions de lignes de code. Et autant de possibilités d'attaques. Certains éléments sont vulnérables, faiblement protégés ou dénués de toute considération de sécurité. C'est humain. Et c'est normal pour tout système informatique. Mais cela rend le CERN dans son ensemble vulnérable aux attaques. Et la réussite d'une de ces attaques n'est qu'une question de temps. En fait, certaines attaques ont déjà réussi par le passé. Comme dans toute grande entreprise qui possède un important pôle informatique. Et si l'on extrapole, il n'y a aucune raison de croire que nous sommes désormais à l'abri.
Donc peut-être manquons nous tout simplement de transparence. La transparence est très importante, et particulièrement en matière de sécurité, pour éviter de donner l'impression que nous ne faisons que créer du « FUD » (acronyme anglais pour peur, incertitude et doute) pour justifier notre rôle, que nos contre-mesures ne sont qu'un écran de fumée ou que nous espionnons tout parce que nous aimons jouer aux policiers. Au contraire, la transparence permet de créer de la confiance en notre travail, de vous donner une idée de ce que nous faisons, de vous laisser juger de la pertinence de nos décisions et de vous permettre de questionner notre stratégie. Pour nous, la transparence envers les utilisateurs, les clients et la communauté est essentielle.
Les articles réguliers publiés dans le Bulletin du CERN sont un exemple de ce qui nous tient éveillés la nuit. Mais si vous voulez vraiment savoir ce qui se passe au jour le jour, nous publions également un rapport mensuel de sécurité qui reprend l'ensemble des incidents, problèmes de sécurité, vulnérabilités importantes et faiblesses détectées, ainsi que les mésaventures et problèmes rencontrés. Ils sont relativement complets et reflètent bien les problèmes de sécurité du CERN, de ses services et de sa communauté. Nous avons récemment publié notre 125e article dans le Bulletin et nous arriverons très bientôt à notre 100e rapport mensuel ! Donc si vous voulez en savoir plus sur les incidents et problèmes de sécurité informatique au CERN, je vous invite à lire nos rapports (en anglais).
Sur ces bonnes paroles, nous vous souhaitons une année 2017 en toute sécurité !
Pour plus d'informations, des questions ou de l'aide, consulter notre site web ou contactez nous à Computer.Security@cern.ch.