View in

English

Sécurité informatique : mieux filtrer les accès pour mieux se protéger

Le pare-feu périmétrique externe nouvelle génération du CERN a été livré juste avant Noël ; l’équipe réseau du département IT a depuis finalisé son installation et sa mise en service, et les premiers paquets devraient bientôt le traverser. Comme son nom l’indique, ce pare-feu offre des fonctionnalités de protection nouvelles et perfectionnées, dont il est maintenant temps de profiter.

Voici, avant toute chose, quelques éléments de contexte : le pare-feu périmétrique externe du CERN est la première ligne de défense de la sécurité informatique de l’Organisation. Étant donné qu’il s’agit d’un « pare-feu à états », il garde en mémoire l’état complet de chaque connexion réseau, à savoir le service informatique faisant l’objet de la connexion, le protocole réseau employé (par ex. ICMP, TCP ou UDP), le numéro de port (par ex. « ports 20000-25000/tcp »), le protocole de la couche application (par ex. « HTTPS ») ainsi que le type de trafic – qu’il provienne du CERN (« trafic sortant ») ou qu’il soit destiné à être distribué par le CERN (« trafic entrant »).

Le pare-feu analyse, de manière automatique et minutieuse, tout trafic entrant ou sortant et détermine en toute autonomie s’il faut autoriser ou bloquer son cheminement vers ou depuis le CERN. La décision d’autoriser ou non le trafic s’appuie sur les normes de protocole réseau, les demandes d’ouverture de pare-feu (faites par les responsables de services informatiques du CERN), les données spécifiques relatives aux menaces (fournies par les experts en sécurité pare-feu) et les décisions du délégué à la sécurité informatique du CERN (mandaté pour assurer la protection de l’Organisation contre tous types de cybermenaces).

Conformément aux normes de protocole de réseau, tout trafic sortant provenant de ports de numéro compris entre 0 et 1023* ou utilisant des adresses IP dites « privées » ou « non routables » sera bloqué.

Tout trafic entrant est bloqué par défaut, sauf dans le cas d’une demande exprès d’ouverture de trafic vers un service informatique particulier. En effet, les administrateurs de certains services informatiques peuvent soumettre des demandes d’ouverture de pare-feu, qui sont approuvées ou rejetées après avoir été évaluées par l’équipe de sécurité informatique.

En général, et comme c’était déjà le cas par le passé, les services en phase de production dûment sécurisés sont autorisés et ouverts. Les demandes concernant des applications ne respectant pas les normes de sécurité de base sont rejetées, et les systèmes correspondants sont tenus d’améliorer leurs paramètres de sécurité avant de pouvoir être réévalués.

En complément du système de détection d’intrusions du CERN (voir notre article du Bulletin : « Renforcer la détection des intrusions »), le nouveau pare-feu est doté de fonctionnalités perfectionnées de protection par le renseignement contre les cybermenaces et les personnes malintentionnées, permettant ainsi à l’équipe chargée de la sécurité informatique de bloquer tout trafic entrant ou sortant malveillant ou anormal.

En outre, le pare-feu bloquera le trafic sortant vers un certain nombre de destinations extérieures considérées comme présentant des risques pour la sécurité du CERN (et de vos appareils), notamment les sites web :

  • fournissant des logiciels malveillants ou utilisés de manière abusive pour obtenir ou contrôler des logiciels malveillants
  • hébergeant des sites d’hameçonnage
  • proposant des téléchargements de « grayware » (applications ou fichiers indésirables qui ne sont pas classés comme des logiciels malveillants mais qui peuvent dégrader les performances des ordinateurs et entraîner des risques au niveau de la sécurité)

mais aussi les domaines enregistrés depuis peu et les adresses IP privées, donc non routables.

Par ailleurs, le pare-feu bloquera les sites réputés comporter des contenus dont l’accès constitue une violation des règles informatiques du CERN (Circulaire opérationnelle No 5), tels que :

  • les sites dont la vocation est de mettre illégalement à disposition des vidéos, des films ou d’autres médias à télécharger
  • les sites qui violent les droits d’auteur (la communication poste à poste – P2P – ne sera pas affectée car, de nos jours, elle est également utilisée à de nombreuses fins légitimes).

Concernant ces catégories de sites auxquels l’accès est bloqué, des mesures ont été mises en place pour comprendre les dommages collatéraux relatifs aux « faux positifs », à savoir des sites web inoffensifs, bloqués à tort. Ainsi, si vous croyez fermement avoir identifié un site web qui a été bloqué à tort, contactez-nous à l’adresse suivante Computer.Security@cern.ch.

D’autres catégories de sites web peuvent être, ou ne pas être, bloquées par le pare-feu, en fonction des paramètres définis par le CERN. Il va toutefois sans dire que le fait qu’un site web ne soit pas bloqué ne signifie en aucun cas que son accès est nécessairement autorisé par les règles informatiques du CERN. L’accès à un contenu inapproprié, offensant ou qui enfreint les lois applicables constitue une violation desdites règles et sera examiné par l’équipe de sécurité informatique, conformément à la procédure habituelle et indépendamment du statut dudit contenu dans les filtres du pare-feu.

Tout autre trafic sortant, comme la navigation sur l’internet, n’est soumis à aucune restriction, et l’internet est librement consultable depuis vos appareils, ordinateurs et téléphones portables. Les sites web dont le contenu est « inoffensif », qu’ils soient utilisés à des fins professionnelles ou personnelles, demeureront accessibles depuis le réseau administratif du CERN (exemples de domaines et d’utilisations : économie et affaires, établissements d’enseignement, services financiers, administration, santé et médecine, communications et téléphonie par internet, portails internet, recherche d’emploi, juridique, actualités, stockage et sauvegarde en ligne, sites et blogs personnels, recherche d’informations et de références, moteurs de recherche, achats, réseaux sociaux, formation et ressources, traduction, voyages, messagerie électronique via le web, etc.).

Veuillez noter que, même si le CERN fournit un accès illimité à l’internet, la navigation destinée à un usage personnel doit être conforme aux « règles d’utilisation à des fins personnelles » définies dans les règles informatiques du CERN.

D’une manière générale, cette nouvelle configuration est considérée comme sûre et raisonnable. Elle s’appuie sur les bonnes pratiques eu égard aux fonctionnalités et aux procédures de blocage actuelles, et protège notre environnement académique ouvert tout en tenant compte de notre besoin de protection efficace en matière de cybersécurité.

_______

* L'accès aux tunnels VPN et IPsec restera autorisé.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.