En matière de cybersécurité, les mesures de protection doivent être adaptées à votre environnement et à vos besoins. Pour une banque, il est évident qu'il est nécessaire de protéger avant tout l'argent, en espèces ou numérique, et les données confidentielles sur les clients. La sécurité est donc renforcée, bien contrôlée et assortie de nombreuses restrictions, ne laissant aux pirates que peu de possibilités de s'infiltrer. Au CERN, avec son environnement ouvert et sa liberté académique, une approche « style banque » ne fonctionnerait pas du tout. Mais à quoi ressemblerait une banque « style CERN »?

Premièrement, il serait possible d'y entrer de plusieurs manières : par le pare-feu périmétrique externe du CERN ou via GSM, mais également en permettant à quiconque de se connecter au réseau wifi une fois enregistré. Au lieu d'avoir des accès uniques, comme un cluster de serveurs de terminaux Windows ou un cluster LXPLUS, notre banque disposerait des deux, avec, en plus, la possibilité d'utiliser une passerelle comme Windows Gateways ou Sshuttle. Il est tout aussi compliqué d’accéder au réseau technique utilisé pour les systèmes de contrôle-commande de l'accélérateur et l'infrastructure technique : serveurs de terminaux, passerelles Linux, accès réservé à des machines virtuelles sélectionnées et approuvées, proxy web, etc. De plus, une fois que vous l'avez quittée, une vraie banque verrouillerait derrière vous. Ainsi, pas de pages d'actualités, ni de Facebook ou d'Instagram, et ni d'Amazon. L'accès à Internet y est restreint, strictement contrôlé et réservé à des fins professionnelles. La notion d'« utilisation à des fins personnelles » n'existe tout simplement pas.

Deuxièmement, notre banque accepterait le principe « Bring your own device » (BYOD), qui est la norme au CERN et vous permet d’apporter au travail votre propre tablette, ordinateur ou smartphone. Habituellement, une banque bannit strictement tout appareil qui n'est pas géré de manière centralisée. Vous ne pourriez donc pas y faire fonctionner votre ordinateur portable ou votre smartphone personnels, et vous n'auriez aucun droit d'administrateur sur vos appareils professionnels ; le système d'exploitation et les applications vous seraient imposés, et toute utilisation personnelle serait bloquée.  

Troisièmement, notre banque ne connaîtrait pas votre véritable identité, dans le sens d'identité numérique. À la banque style CERN, vous vous connecteriez avec votre compte et un mot de passe, c'est tout. Il n'y a aucun contrôle rigoureux pour vérifier si la personne qui se connecte avec le mot de passe est bien celle qu'elle prétend être. Une vraie banque aurait mis en place un système d'authentification à deux facteurs pour accéder aux comptes, ainsi que des contrôles d'accès rigoureux et une procédure de blocage stricte au cas où vous vous connecteriez à partir d'un « lieu inhabituel ». Aucune exception n'est tolérée. En cas d'oubli de votre deuxième facteur ou de votre smartphone, vous devriez courir les récupérer à la maison.

Quatrièmement, notre banque proposerait des dépliants et des affiches d'autres entreprises. Comme nous ne faisons pas de distinction entre usage personnel et usage professionnel, les adresses électroniques de notre banque pourraient être utilisées à d'autres fins. Par exemple, pour ouvrir un compte sur des réseaux sociaux, vous inscrire auprès de votre épicerie locale, ou acheter des billets de théâtre. De plus, les messages peuvent être automatiquement transférés vers un fournisseur de messagerie électronique tiers si vous estimez que son service de messagerie est meilleur. Tout cela serait impossible dans une vraie banque, dont l'adresse électronique est réservée à des fins professionnelles. Et tous les courriels restent sur leurs serveurs de courrier électronique afin d'en garantir la confidentialité. Il est impossible de lire vos courriels sur votre appareil personnel.

Cinquièmement, les systèmes de notre banque accepteraient des transactions dans toutes les devises. Vous souhaitez importer la dernière bibliothèque Python avec Anaconda ? Télécharger une image de conteneur depuis Docker ? Exécuter le gestionnaire de paquets NPM pour mettre à jour le code local ? Tout cela est possible, sans vérification, ni restriction, ni contrôle. Une vraie banque applique des contrôles et un processus de conception rigoureux qui, s'ils ralentissent le déploiement, réduisent toutefois le risque de voir de faux billets atterrir dans ses coffres.

Feriez-vous donc confiance à notre banque ? Je vous le déconseille. Heureusement, nous ne sommes pas une banque. Et l'équilibre que nous maintenons entre liberté académique, exploitation des accélérateurs et des expériences, et « sécurité » au CERN diffère totalement de celui qui existe entre « finance » et « sécurité ». En fait, un équilibre et un dispositif de sécurité semblables à celui d'une banque, supprimeraient notre liberté académique et entraveraient le fonctionnement du CERN. Mais nous pourrions faire mieux, non ? Nous pourrions :

1. veiller à ce que nos accès, nos portails, soient consolidés et mieux contrôlés. Notre portail internet est bien protégé, mais des discussions sur l'interaction et l'interdépendance entre les services informatiques, les développeurs et le réseau technique viennent d'avoir lieu et ont besoin de votre soutien ;
2. améliorer la protection des tablettes, ordinateurs ou smartphones personnels, apportés au CERN selon le principe « Bring your own device », car c'est le seul moyen pour l'Organisation d'accueillir des milliers de chercheurs qui vont et viennent, se connectant chaque mois localement et à distance. C'est pourquoi des moyens de protection supplémentaires ont été mis à disposition pour les appareils personnels et les appareils appartenant au CERN ;
3. utiliser de façon plus systématique l'authentification à deux facteurs pour protéger nos comptes informatiques et leurs mots de passe contre toute utilisation malveillante ;
4. faire davantage preuve de vigilance et de prudence en ce qui concerne les adresses électroniques du CERN et la navigation sur le web. Avant de prendre des risques trop importants « ARRÊTEZ-VOUS – RÉFLÉCHISSEZ – NE CLIQUEZ PAS ; et
5. mettre en place un meilleur processus de développement de logiciels, en particulier lorsque vous importez des paquets, des bibliothèques, des images virtuelles et des conteneurs à partir de sources extérieures.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.