Avec l’audit sur la cybersécurité 2023 et la nouvelle Politique en matière de cybersécurité, approuvée ultérieurement par le Directoire élargi, qui complète et clarifie les Règles d’utilisation des installations informatiques du CERN (Circulaire opérationnelle n° 5), les bases ont été posées pour mettre à jour, compléter et étoffer les Règles subsidiaires afin de mieux expliquer ce qui est autorisé et ce qui ne l’est pas en ce qui concerne les installations informatiques du CERN et les ressources informatiques auxquelles elles donnent accès. Regardons ces règles de plus près et examinons leur incidence.
Tout d’abord, les Règles informatiques et la Politique en matière de cybersécurité prévoient que toute personne utilisant les installations informatiques du CERN (réseau du CERN, appareils du CERN, services informatiques sur site ou en nuage) contribue activement à la mise en œuvre desdites Règles et de ladite Politique en se conduisant de façon exemplaire, à savoir :
- en agissant conformément aux Règles informatiques, notamment aux Règles subsidiaires ;
- en se renseignant de manière active sur la meilleure façon de limiter les risques ;
- en évitant les situations qui mettent en danger l’équipement et les installations informatiques du CERN ; et
- en assumant les responsabilités qui lui incombent.
Ainsi, hors cas de délégation de responsabilité lors de l’utilisation de services informatiques centraux, tout propriétaire d’appareils informatiques fournis par le CERN ou connectés aux installations informatiques de l’Organisation doit veiller à ce que ses actions et ses appareils soient conformes à ces Règles.
En outre, afin d’aider tous les usagers des installations informatiques du CERN à s’acquitter de leurs responsabilités et à mieux comprendre ce qui est autorisé et ce qui ne l’est pas, les Règles subsidiaires susmentionnées fournissent des conseils techniques et de gestion pour utiliser les installations informatiques du CERN de manière sécurisée. Tout comme les Règles informatiques et la Politique en matière de cybersécurité, les Règles subsidiaires sont contraignantes (voir la Circulaire opérationnelle n° 5 II 8a). Toute dérogation à ces Règles doit être approuvée par écrit par le délégué à la sécurité informatique du CERN et enregistrée auprès du registre des risques informatiques du CERN. Le non-respect d’une de ces Règles peut entraîner des sanctions : fonctionnalités réduites (connexion limitée ou « throttling »), retrait de l’accès aux installations informatiques (« blocking ») ou mesures administratives (voir la Circulaire opérationnelle n° 5 V).
Les Règles subsidiaires, nouvellement élaborées ou en attente de mise à jour, sont discutées et approuvées (ou rejetées) par le nouveau Comité en matière de sécurité informatique, composé de chargés de liaison en matière de sécurité informatique nommés en tant que représentants des secteurs, des départements, des unités et des expériences du CERN. Au cours des prochains mois, le Comité passera en revue toutes les Règles subsidiaires actuelles et en édictera de nouvelles en complément de la mise en œuvre des recommandations formulées par les commissaires aux comptes sur la cybersécurité.
Quant à la révision de la sécurité informatique, elle ne devrait pas, en fin de compte, apporter de surprises. En effet, cela fait plus de 20 ans que l’utilisation des installations informatiques du CERN est soumise aux mêmes règles (la Circulaire opérationnelle n° 5 date de l’année 2000 !). Elles sont à présent simplement plus claires, plus concrètes et plus explicites. Un grand merci à toutes et tous de contribuer à la sécurité du CERN !
_________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.