Cette année, Noël est arrivé en avance pour l'équipe de la sécurité informatique et le groupe Communication et réseau (IT-CS) : nous avons reçu du matériel pour un nouveau pare-feu périmétrique externe. Ce pare-feu de nouvelle génération est destiné à améliorer les performances et la bande passante, tout en étant un outil sophistiqué pour mieux identifier les cyberattaques et renforcer la protection.
Le pare-feu périmétrique externe du CERN est la première ligne de défense protégeant l'Organisation contre toute connexion malveillante ou indésirable au réseau général du CERN. Il relie à Internet certains services informatiques devant être accessibles depuis l'extérieur du CERN, contrôle le trafic Internet depuis ou vers tous les appareils des utilisateurs et bloque les tentatives d'intrusion sur le réseau. Devant l'aggravation des menaces pesant sur la cybersécurité dans le monde, il est impératif de renforcer les capacités de protection et de détection de notre pare-feu au moyen d'outils de prévention modernes et sophistiqués. Malheureusement, le pare-feu actuellement installé au CERN, du fait de ses paramètres de protection particuliers et de son débit limité, ne répond désormais plus aux besoins de l'Organisation en termes de réseau et de protection.
C’est là qu’intervient notre cadeau de Noël ! Le nouveau pare-feu périmétrique externe du CERN corrigera deux faiblesses – une bande passante limitée et des capacités de protection insuffisantes – et offrira une solution durable pour au moins sept ans.
Côté matériel, il pourra assimiler, filtrer et contrôler jusqu'à 200 Go par seconde en liaison montante (c'est-à-dire à la sortie du CERN) et en liaison descendante (c'est-à-dire à l'entrée du CERN) sans nuire à la performance. Sa configuration est modulable, ce qui signifie que la largeur de bande totale peut être adaptée aux besoins actuels et futurs du CERN et être augmentée lorsque cela est nécessaire. Bien évidemment, la redondance du matériel garantira un haut niveau de disponibilité et évitera au CERN des problèmes de connexion en cas de défaillance de l'un des châssis du matériel ou de leurs connexions réseau. De plus, l'ensemble des fonctionnalités seront intégrées dans le logiciel d'automatisation réseau développé et utilisé par le groupe IT-CS, afin que les configurations soient correctement gérées et puissent être modifiées facilement et de manière cohérente.
Sur le plan de la sécurité informatique, ce nouveau pare-feu repose sur des services de pointe en matière de protection par le renseignement contre les cybermenaces. Plus performants que les services traditionnels, ces services s'appuient sur le travail d'experts en sécurité qui suivent de près les activités de certains groupes constituant une menace (cybercriminels, acteurs étatiques) pour produire des indicateurs détaillés et à jour pour la détection des attaques malveillantes. En combinant ces services aux renseignements sur les menaces dont dispose déjà l'équipe de sécurité informatique du CERN, il sera possible, automatiquement, d'identifier les attaques potentielles complexes et de filtrer les contenus malveillants avant qu'ils ne puissent causer des dommages.
Ces services de pointe constituent également un moyen d'assurer le respect de certaines règles informatiques du CERN (Circulaire opérationnelle n° 5) en bloquant les contenus internet considérés comme inappropriés (comme les contenus pornographiques ou sexuellement explicites, ou les sites qui encouragent l'abus de drogues légales ou illégales) ou offensants (comme les sites encourageant le terrorisme, le racisme, le fascisme ou d'autres positions extrémistes discriminatoires à l'égard de personnes ou de groupes particuliers, selon leur origine ethnique, leur religion ou leur croyance, mais pas les sites débattant d'opinions politiques ou religieuses controversées) ou qui enfreignent les lois applicables (comme les sites qui portent atteinte au droit d'auteur en proposant illégalement de la musique, des films ou d'autres médias à télécharger). Nous devons encore déterminer dans quelle mesure ces contenus seront bloqués, sans pour autant restreindre excessivement notre liberté intellectuelle et notre liberté de communication. Votre avis nous intéresse – écrivez-nous à Computer.Security@cern.ch.
Dans les prochains mois, les spécialistes du groupe IT-CS et l'équipe de sécurité informatique mettront en place notre nouveau pare-feu, ce formidable cadeau de Noël qui renforcera notre première ligne de défense. Dans cet esprit, nous tenons à vous souhaiter à tous et toutes d’excellentes fêtes de fin d'année, en bonne santé. Profitez de vos vacances, prenez soin de vous et de votre famille, et restez prudents !
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l'adresse Computer.Security@cern.ch.