View in

English

Sécurité informatique : un audit encourageant

L’été 2023 a été une saison intense en termes de sécurité informatique. Lors d’un audit spécial sur la cybersécurité, organisé dans le cadre du plan quinquennal d’audit interne, l’équipe de sécurité informatique, le département IT et les groupes associés, le Bureau de la protection des données du CERN et le responsable de la continuité des activités et de la reprise après sinistre ont été invités à plusieurs entretiens afin de répondre aux questions d’une entreprise externe spécialisée en cybersécurité. S’appuyant sur la norme CISv8, cette entreprise a comparé la position adoptée par le CERN en matière de sécurité informatique avec les meilleures pratiques internationales. Résultat : le CERN s’en sort bien.

Sur la base de cette norme rigoureuse, les commissaires aux comptes ont formulé 82 recommandations, dont 73 ont été acceptées par la Directrice générale du CERN : 15 ont été classifiées par les commissaires aux comptes comme « hautement » prioritaires, 34 comme « moyennement » prioritaires et 24 comme « peu » prioritaires, et aucun comme « catastrophique ». À vrai dire, aucune de ces recommandations n’a fait l’effet d’une surprise. Il avait déjà été prévu d’appliquer certaines d’entre elles, et d’autres étaient en bonne voie d’être mises en œuvre, par exemple :

  • mieux protéger les appareils des utilisateurs finaux grâce à la protection des points d’extrémités, le chiffrage des disques durs et la possibilité d’effacer le contenu de ces appareils à distance ;
  • améliorer les processus d’authentification et d’autorisation en renforçant les règles relatives à la complexité et à la longueur des mots de passe, réduire les avantages des comptes privilégiés et déployer l’authentification à deux facteurs pour tous les comptes du CERN sur les principaux chemins d’accès (web, LXPLUS, serveurs de terminaux Windows) ;
  • intégrer les journaux d’activité de Google Workspace et de Microsoft Azure, ainsi que le trafic entre le réseau du centre de données et les réseaux propres à chaque expérience dans le Centre d'opérations de sécurité du CERN, et mieux documenter les sources de données du centre ;
  • appliquer des mesures de protection contre l’usurpation d’identité (SPF, DMARC, DKIM) à tous les courriels entrants ;
  • contrôler la segmentation réseau entre le réseau du centre de données, le réseau technique et le réseau du campus, introduire le protocole WPA3 pour le réseau du campus et utiliser des pare-feu d’application web et des réseaux définis par logiciel (SDN) dans le centre de données ;
  • permettre aux développeurs de logiciels de vérifier les dépôts GitLab du CERN au moyen de tests statiques et dynamiques de sécurité des applications (SAST et DAST) ;
  • vérifier le niveau de sécurité des services OpenStack, OpenShift et MS Azure du CERN.

D’autres recommandations portent sur des aspects que nous avions déjà identifiés comme étant des lacunes à corriger.

  • Il conviendrait de renforcer la gouvernance de la « sécurité informatique », notamment avec l’attribution d’un mandat solide au délégué à la sécurité informatique, une politique en matière de sécurité informatique plus détaillée pour compléter les Règles informatiques du CERN (Circulaire opérationnelle n° 5), et une meilleure intégration dans le registre des risques à l’échelle du CERN ;
  • Le CERN devrait mieux répertorier ses ressources numériques, notamment au moyen d’une nomenclature logicielle (Software Bill of Materials – SBOM), ainsi qu’à l’aide de lignes directrices et de formations sur le développement logiciel sécurisé ;
  • Pour ses données institutionnelles, le CERN gagnerait à mettre en place un consignataire de données, ou un délégué à la gouvernance des données, chargé d’établir un inventaire des espaces de stockage du CERN et une classification des données, ainsi que de gérer les politiques et les durées de conservation ;
  • L’équipe de sécurité informatique, quant à elle, devrait améliorer sa documentation sur les programmes de test de pénétration, la gestion des vulnérabilités et la résolution des incidents.

La période 2024-2025 sera donc à la fois intéressante et exigeante. L'équipe de la sécurité informatique, et le département IT se sont d’ores et déjà mobilisés pour répondre à ces recommandations le plus rapidement possible. Merci de nous aider à protéger le CERN et s’il vous plaît, ne vous comportez pas en adepte du « pas de ça chez moi ».

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, Lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.