View in

English

Sécurité info: Renforcer la détection des intrusions

Le contrôle automatique et autonome des activités numériques sur le réseau du CERN, les passerelles entre le CERN et Internet et les clusters de calcul du CERN, ainsi que des activités liées aux services web du CERN, est un élément essentiel pour garantir la protection des activités du CERN et sa réputation. Nous assurons ce contrôle afin de détecter les tentatives d'infiltration, réussies ou non (« Une attaque, plus de sécurité »; https://home.cern/fr/cern-people/updates/2017/05/computer-security-attack-more-security), ou d'analyser toute vulnérabilité de nos infrastructures informatiques (« Match amical pour le CERN » ; https://home.cern/fr/cern-people/updates/2017/11/computer-security-cern-under-friendly-poking), et, évidemment, de détecter toute utilisation abusive de nos installations informatiques à des fins malhonnêtes (« Abus virtuel, conséquences réelles » ; https://home.cern/fr/cern-people/updates/2017/10/computer-security-virtual-misconduct-real-consequences). Ainsi, le nouveau Centre d'opérations de sécurité du CERN (SOC) a récemment été mis en place dans le but de gérer les ressources informatiques et réseau qui ne cessent de s'accroître. Il vérifiera automatiquement les activités malveillantes, alertera l'équipe de sécurité informatique et les utilisateurs finaux en cas d'incident, et fournira toutes les informations nécessaires à la réalisation d'analyses d'incidents (actuels ou passés).

Les données de renseignement sur les menaces, autrement dit les informations structurées sur divers incidents de sécurité informatique actuels ou passés, sont au cœur des activités du nouveau Centre d'opérations de sécurité. Ces données comprennent notamment les indicateurs de compromission (Indicators of Compromise, ou IoC), comme les adresses IP ou les domaines malveillants, ou encore les signatures (« empreintes numériques ») de différents échantillons de logiciels malveillants. Les indicateurs de compromission sont établis d'après les résultats d'études menées sur des incidents de sécurité informatique découverts au CERN, mais ils sont aussi reçus d'organisations partenaires. En participant aux travaux de groupes de confiance approuvés, l'équipe de sécurité informatique du CERN échange automatiquement les données de renseignement sur les menaces avec ses organisations partenaires. Cet échange de données est géré par un outil open-source appelé Malware Information Sharing Platform, ou MISP (http://www.misp-project.org/), qui recouvre non seulement les indicateurs de compromission, mais aussi les stratégies, les techniques et les procédures utilisées par les différents auteurs ou groupes d'auteurs de menaces. Le fait qu'une activité informatique au CERN soit liée à de telles données de renseignement sur les menaces indique un éventuel problème : les ressources informatiques du CERN peuvent avoir été piratées, détournées ou rendues vulnérables...

De nombreux systèmes de détection d’intrusions (Intrusion Detection Systems, ou IDS) ont ainsi été mis en place au CERN. Au niveau du réseau, à savoir du pare-feu externe du CERN et des frontières entre les réseaux internes (les « passerelles »), un système de détection d’intrusions basé sur réseau (« Snort » ; https://www.snort.org/) recherche simplement les différentes activités malveillantes présentes dans le flux de données. Un autre système, plus sophistiqué (« BroIDS » ; https://www.bro.org/), extrait les adresses IP et les numéros de ports source et destination, les volumes de données transférées ainsi que certaines métadonnées d'applications de haut niveau. De la même manière, des systèmes de détection d’intrusions basés sur hôte recueillent des informations provenant des clusters de calcul du CERN dans le Centre de données (par ex. « LXPLUS » ou « LXBATCH »), du portail du système d’identification unique du Laboratoire, des services LDAP et Active Directory, des serveurs web gérés de manière centralisée, du serveur de noms de domaine, et de plusieurs autres sources (pour consulter la liste complète des sources, se reporter à notre politique de confidentialité : https://security.web.cern.ch/security/home/fr/privacy_statement.shtml). Toutes ces données de sécurité sont traitées en temps réel et complétées par des informations telles que le nom de l'hôte lié à une adresse IP donnée (dans les cas où la source de données contient uniquement des adresses IP) ou ses informations géographiques (« GeoIP » ; https://www.maxmind.com/fr/home?pkit_lang=fr). Toutes les données sont enregistrées dans deux systèmes différents (« Elastic Search » et « HDFS ») ; l'un permet de retrouver et de visualiser facilement les données via des tableaux de bord en ligne, l'autre, destiné au stockage à plus long terme des données, permet de conserver celles-ci jusqu'à un an maximum.

Le Centre d'opérations de sécurité compare automatiquement, d'un coup de baguette magique, tous types de données de sécurité avec des indicateurs de compromission connus et émet une alerte à chaque fois qu'un de ces indicateurs est détecté. Les méthodes de détection d’intrusions les plus sophistiquées utilisent des règles complexes et établissent des corrélations entre plusieurs sources de données. Par la suite, les alertes émises passent par une étape supplémentaire d'agrégation visant à mettre en corrélation des alertes similaires (par ex. de nombreux appareils du CERN sont victimes des mêmes logiciels malveillants) de manière à identifier les causes profondes communes. L'incorporation d'un contexte supplémentaire sur l'activité détectée nous permet aussi de rejeter facilement les fausses alertes. Une fois qu'un incident de sécurité est détecté et confirmé, une solution se met en place. L'environnement pédagogique propre au CERN et la liberté qui en découle font que la sécurité informatique du Laboratoire a été déléguée à ses utilisateurs. À ce titre, pour la plupart des incidents de sécurité, l'utilisateur final touché recevra une notification automatique l'informant du problème. Le portail de sécurité informatique du CERN (https://security-issues.web.cern.ch/) apporte davantage de conseils sur la résolution de différents types d'incidents de sécurité (avec ou sans l'aide de l'équipe de sécurité informatique). L'équipe de sécurité informatique du CERN dispose d'outils spécifiques pour le traitement des incidents de sécurité à grande échelle (le « FIR » et le « Hive »). Mais, grâce à ce nouveau Centre d'opérations de sécurité, nous espérons que de tels incidents se raréfieront. En assurant la surveillance et la détection des intrusions, nous devrions être en mesure de nous adapter au développement du Centre de données du CERN et à la constante augmentation du trafic des données depuis et vers Internet, afin de garantir la protection des activités du CERN et sa réputation.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement) (https://cern.ch/security/reports/en/monthly_reports.shtml). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site (https://security.web.cern.ch/security/home/fr/index.shtml), ou contactez-nous à l’adresse Computer.Security@cern.ch.