Qu'on le veuille ou non, le cybermonde se développe parallèlement au monde physique. Alors que dans le monde réel les conflits dominent tragiquement la politique mondiale, les cyberattaques se sont intensifiées. Désormais, les entreprises ne sont plus les seules à subir de telles attaques, le secteur de la recherche et de l'éducation est également touché.
Jusqu'à récemment, les universités ne subissaient que de très rares attaques. L'Université du Michigan est l'une des dernières victimes de ce triste palmarès. Mais l'année dernière a également été marquée par d'importantes attaques : certaines ont eu des répercussions sur des accélérateurs, alors que d’autres visaient des télescopes. Ce que nous redoutions par le passé est devenu réalité : tant qu’il y a une valeur opérationnelle, des personnes malveillantes essaieront de soutirer de l’argent. Rançonner l’opérateur, menacer les opérations, stopper la production et causer des dégâts, cela touche à présent aussi le secteur de la recherche et de l'éducation.
Au cours des 12 derniers mois, l’équipe de sécurité informatique du CERN a aidé sans relâche des dizaines d'universités dans le monde à se protéger contre de telles attaques par rançongiciel (voir nos rapports mensuels sur la sécurité), améliorer leur système de défense, assurer des formations, les avertissant d’une attaque imminente lorsque nos services de renseignements sur les cybermenaces donnaient l’alerte et, enfin, à les aider à renforcer leurs capacités de riposte après avoir subi une attaque de plein fouet. Aussi la question qu’il faut se poser n’est pas « si » le CERN subira une attaque, mais « quand ». Les trois principes de base de la défense contre les rançongiciels sont les suivants : faire en sorte de ne pas subir d’attaque, ne pas payer de rançon, et effectuer des sauvegardes complètes et les tester rigoureusement. Le CERN a adopté une position ferme quant au paiement d’une rançon ; d’ailleurs les autorités interdisent de plus en plus le versement des rançons), et le département IT, en collaboration avec plusieurs parties prenantes au sein de l’Organisation, travaille d’arrache-pied sur les sauvegardes. Au final, renforcer son système de défense afin d’éviter une attaque reste le plus difficile. Plusieurs projets sont déjà en cours, et nous n’avons pas terminé :
- En 2024, la protection à deux facteurs se généralisera davantage, en particulier au sein de notre communauté d'utilisateurs et parmi les titulaires de comptes dits « secondaires ». À terme, le service de connexion Linux (LXPLUS) et les serveurs de terminaux Windows du CERN seront également protégés ainsi.
- La « nouvelle » solution anti-programmes malveillants sera finalement déployée sur tous les PC Windows gérés de manière centralisée par le CERN, et nous vérifierons si ce moyen de protection peut également être déployé sur tous les ordinateur portables Windows ou Macbook achetés et détenus par l’Organisation.
- L'analyse de la vulnérabilité et les tests d’intrusion relatifs à la présence du CERN sur Internet font actuellement l'objet d'un appel d'offres et commenceront au début de l'année 2024 (les propriétaires des sites web et des serveurs web vulnérables pourraient être tenus de contribuer aux coûts).
- En collaboration avec le groupe Formation et développement du département des ressources humaines, nous élargirons le catalogue de formations du CERN et proposerons des cours pratiques dédiés à la programmation et au développement de logiciels sécurisés, ainsi qu'aux opérations informatiques.
- Parallèlement, vous pourriez intégrer l'analyse de sécurité de Gitlab à vos pipelines et à votre sélection de machines virtuelles et de conteneurs afin de réduire les risques dans l’ensemble de la chaîne d'approvisionnement logicielle.
- Notre Centre d'opérations de sécurité élargira son champ d'action pour couvrir davantage de sources de données, ce qui nous permettra de surveiller encore plus de segments de réseau, ainsi que nos principaux services reposant sur l'informatique en nuage (tels que Google et Microsoft).
- Enfin, le CERN a récemment achevé un audit externe sur la cybersécurité, dont les conclusions et les recommandations seront traitées dans le courant de l'année 2024 (un prochain article du Bulletin sera consacré à ce sujet).
Quoi qu’il en soit, les attaques se rapprochent. Contrairement à certaines de nos universités partenaires, à certaines expériences d’astronomie et à certains accélérateurs de particules, le CERN a été jusqu’à présent épargné. Jusqu’à présent ! Espérons que cela continue ainsi. La cybersécurité est un marathon permanent : notre travail ne sera jamais terminé. Mais pour cette course, nous apprécions votre aide (et en avons besoin !) afin de sécuriser l'Organisation. En effet, la sécurité du CERN repose aussi sur vous. Nous vous souhaitons une année 2024 (plus) paisible.
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.
Si vous avez manqué la conférence « CERN Computer Security: Abuse, Blunder and Fun » en décembre, sachez qu'elle sera à nouveau donnée le 30 janvier à 11 h dans la Salle du Conseil. Plus d'informations sur Indico : https://indico.cern.ch/event/1365440/. |