Comme n’importe quelle organisation, université, institution ou entreprise, le CERN fait en permanence l’objet d’attaques, de jour comme de nuit. Ces attaques ne tiennent compte ni des weekends, ni des vacances, et peuvent être lancées depuis un lieu plus ou moins lointain. Attaques par déni de service, tests d’intrusion, recherche de vulnérabilité, reconnaissance et collecte de renseignements, tentatives de compromission et d’exploitation, mais aussi cyberattaques plus ciblées et sophistiquées : l’inévitable revers de la médaille, la pollution d’internet. Mais qui sont ces pirates ? Que veulent-ils ? Quelles sont les cybermenaces qui pèsent sur le CERN ? Quels sont les cyberrisques ?
Les cyberrisques peuvent être classés en quatre catégories : risques opérationnels, risques financiers, risques juridiques et risques d’atteinte à la réputation. Les risques opérationnels sont évidents : une cyberattaque réussie paralyserait les accélérateurs, les expériences, les services informatiques ou les services administratifs – par sabotage, manipulation ou compromission des services informatiques centraux ou des systèmes de contrôle, ou usage abusif de comptes informatiques de spécialistes, d’administrateurs ou d’opérateurs. Les deux derniers cas de figure peuvent également avoir des conséquences financières pour l’Organisation ; en effet, l’utilisation abusive des services informatiques réduit leur accessibilité et leur utilité pour le CERN, et les comptes informatiques du CERN donnent accès à des services coûteux, comme les publications scientifiques numériques accessibles via le site de la bibliothèque du CERN ou la puissance de traitement « libre » des grappes informatiques du CERN. Les risques financiers peuvent être des amendes en cas de violation des droits d’auteur de logiciels, de musiques ou de films ou d’utilisation de logiciels piratés au lieu de logiciels dont la gestion est centralisée par le CERN. Il faut également prendre en compte les pertes économiques résultant d’une fraude financière à l’encontre de l’Organisation ou du vol de données. La plupart des risques financiers sont associés à des risques juridiques ; la violation des droits d’auteur et le piratage de logiciels sont en effet illégaux dans de nombreux pays et la divulgation non autorisée de données à caractère personnel est passible de sanctions juridiques. En outre, si le CERN devait faire les gros titres à la suite d’une cyberattaque réussie, cela pourrait nuire à sa réputation. Des pages web du CERN dégradées par des photos pornographiques ou des serveurs du CERN attaquant des sites externes comme ceux de la Maison-Blanche ou du Vatican ne manqueraient pas de faire l’objet d’une couverture médiatique négative.
Qui sont donc ces pirates qui tentent de profiter du CERN ? Les profils sont variés et relativement standard : des hackeurs en herbe voulant tester leurs capacités, des hacktivistes cherchant à obtenir la reconnaissance de leur communauté pour avoir piraté le CERN, des cybercriminels plus ou moins avertis, visant le CERN dans le but d’extorquer des fonds sous quelque forme que ce soit – notamment par la fraude au PDG ou la demande de rançon. Parallèlement à ces groupes, il y a les gentils, les hackeurs éthiques (« white hats »), qui s’introduisent au CERN pour nous aider à identifier nos faiblesses et nos vulnérabilités et qui, en général, nous les signalent – merci à eux ! Mais il y a aussi les menaces persistantes avancées (APT – advanced persitent threats), à savoir des groupes de pirates avertis souvent soutenus par des États ou même dirigés par des États-nations, qui ont leur propre motivation (généralement financière) et contre lesquels il est très difficile de se protéger, car ils sont en général extrêmement bien équipés et financés, très qualifiés, et ont des ressources, du temps et de l’argent (beaucoup).
À ces menaces externes s’ajoutent les menaces internes : les violations de droits d’auteur et de licences sont le plus souvent le fait de personnes qui viennent au CERN avec leurs propres appareils contenant leur collection personnelle de musique et de films ou des logiciels dont la licence a été obtenue par leur université ou leur institut d’origine. Sans oublier le sabotage et l’espionnage, deux autres risques internes.
La Direction générale du CERN a donné pour mandat à l’équipe chargée de la sécurité informatique de protéger les opérations et la réputation de l’Organisation contre toute forme de cyberrisques. Notre mission est régie par la Circulaire opérationnelle n° 5 et ses règles subsidiaires (Règles informatiques du CERN). Afin de mieux gérer les risques décrits précédemment et de se protéger contre ces menaces, le CERN a mis en place une myriade de dispositifs de protection : pare-feu, segmentation réseau, systèmes de détection d’intrusions, solutions EDR (Endpoint Detection and Response), logiciels antivirus, filtrage des courriels indésirables et des programmes malveillants, authentification unique et à deux facteurs, analyse proactive des vulnérabilités, audits, formation, pour ne citer que quelques exemples.
Mais il ne faut pas oublier que la sécurité informatique au CERN repose aussi sur vous ! La liberté académique est très précieuse, mais comme toute liberté, elle implique des responsabilités. Il est donc de notre responsabilité à tous, et pas uniquement celle des spécialistes du département IT, de protéger notre infrastructure informatique et de trouver le juste équilibre entre la sécurité, la liberté académique et le fonctionnement harmonieux de nos installations. Le CERN a besoin de vous pour faire face aux risques et aux menaces.
_______
Consultez nos autres articles publiés dans le Bulletin.
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais seulement). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.