Quel fouillis ! Où que l’on regarde, c’est un véritable fatras de données ! Aujourd'hui, si on vous demande quel système de stockage vous utilisez pour vos données et documents professionnels au CERN, une multitude de réponses est possible : AFS, CDS, Ceph, CERNBox, DFS, EDMS, eFiles (« Alfresco »), EOS, GitLab, Indico, votre ordinateur personnel, une page web dédiée, un disque dur externe, etc. Inutile de dire combien il est difficile de maîtriser toutes ces données, de les sécuriser et de les protéger correctement contre des accès non autorisés, une utilisation abusive ou le vol, en particulier si vous traitez des données confidentielles qui ne doivent pas être divulguées. 

Alors, laissez-nous vous aider. En se fondant sur la politique de classification des données, le Service juridique, l'équipe chargée de la sécurité informatique et les parties prenantes des départements FAP et IT du CERN ont élaboré une politique de traitement des données qui précise comment doivent être traitées les données professionnelles du CERN. La responsabilité finale du traitement de l’ensemble des données institutionnelles numériques, quel que soit leur type, est partagée entre vous et les services informatiques du CERN. Les services informatiques du CERN (les « sous-traitants » – « data processors ») indiqueront clairement le type de données qu’ils sont habilités à traiter, gérer et stocker. De votre côté, en tant que « responsable du traitement » (« data controller ») qui introduisez des données au CERN, vous pouvez consulter les déclarations des services informatiques, étiqueter vos données selon le système de classification et veiller à n’introduire des données que dans les services informatiques aptes à traiter le niveau de classification correspondant.

Qu’est-ce que cela signifie en pratique ? Il a été demandé à tous les services informatiques du CERN d’évaluer si leurs opérations sont compatibles avec la nouvelle politique de traitement des données : Assurent-ils la protection physique des données ? Ont-ils mis en place des mesures de contrôle d'accès permettant de garantir le principe du moindre privilège ? Les données sont-elles chiffrées quand elles sont au repos et en transit ? Existe-t-il des procédures pour détruire de manière appropriée tous les supports ayant contenu des données (conformément aux règles du CERN relative à la destruction des données) ? Qu'en est-il des autres services sur lesquels ils s’appuient ? Les services informatiques doivent, compte tenu des exigences minimales établies pour chaque niveau de classification, définir et déclarer le niveau de classification des données. En outre, AFS, CDS, Ceph, CERNBox, DFS, EDMS, eFiles (« Alfresco »), EOS, GitLab, Indico et tous les autres systèmes doivent indiquer clairement quels types de données ils peuvent traiter et si le traitement est conforme au niveau de classification le plus strict pris en charge. Plusieurs niveaux ont été définis : « classifié », pour les données sensibles ou les données de nature financière ; « restreint », pour les données ne pouvant être consultées que par les personnes ayant besoin d’y accéder ; « interne au CERN », ou simplement « public ». Ainsi, avant d’introduire des données dans un système, vous devez vous assurer que les déclarations des services correspondent à ce dont vous avez besoin*. Il suffira de consulter la description du service correspondant dans le catalogue des services du CERN (bientôt disponible).

Le groupe Stockage du département IT et l'équipe chargée de la sécurité informatique ont déjà effectué une première évaluation de CERNBox et de son système de stockage basé sur EOS. Les données stockées sur CERNBox/EOS, comme toutes les données traitées par les services informatiques centraux, sont protégées physiquement par les contrôles d’accès imposés pour les locaux du Centre de données du CERN et soumises à de stricts contrôles d’accès. L’accès aux différentes données stockées sur CERNBox/EOS est protégé au moyen des e-groupes et des comptes informatiques du CERN, c’est-à-dire que vous devez saisir votre mot de passe pour accéder aux données. Tout transfert de données entre CERNBox et un client distant est chiffré selon les normes de chiffrement les plus récentes, par exemple selon le protocole TLS par HTTP. Enfin, les supports physiques qui stockent des données CERNBox/EOS, notamment les disques SSD ou les disques durs, sont soumis depuis des années à la politique du CERN relative à la destruction des données ; tous les contenus sont donc entièrement effacés avant que ces supports ne quittent le Centre de données du CERN pour être donnés, mis en vente ou détruits. À la suite de cette évaluation et conformément aux règles définies par la politique de traitement des données, CERNBox a été déclaré apte à stocker tout type de données, y compris des données « classifiées ». De plus, CERNBox dispose de tous les outils nécessaires pour recevoir de façon sécurisée, protégée et confidentielle, des données sensibles communiquées par des personnes externes (voir notre article « Une ‘’boîte de dépôt’’ pour les données confidentielles »).

Même si ce travail d’évaluation des services informatiques est encore en cours, et si l’on peut s’attendre à ce que le catalogue de services présente de plus en plus de déclarations au cours de l’année, vous pouvez d’ores et déjà commencer à mettre de l’ordre. Pensez à l'endroit où vous stockez toutes vos données. Consolidez, si possible, vos données. N'oubliez pas que votre PC et votre ordinateur portable stockent des données ; vous êtes donc vous aussi un « sous-traitant ». S'ils stockent des données « classifiées », ce qui est généralement le cas (pensez à vos mots de passe ou à votre boîte aux lettres électronique !), assurez-vous de vous conformer à la politique de traitement des données :

• ne laissez pas votre ordinateur sans surveillance, à moins qu'il ne se trouve dans un endroit sûr comme votre bureau ou votre domicile, ou qu'il soit correctement verrouillé ;
• chiffrez votre disque dur local (voir ici les instructions pour Windows, MacOS, Linux et, par exemple, Ubuntu ou appelez le ServiceDesk pour obtenir de l’aide) ;
• protégez l'accès à votre ordinateur à l'aide d'un bon mot de passe (vous trouverez des recommandations ici) ;
• pensez aussi à verrouiller l'écran de votre ordinateur lorsque vous le laissez sans surveillance ;
• veillez à détruire vos données locales avant de vous débarrasser de votre ordinateur. Vous trouverez des instructions dans la politique du CERN relative à la destruction des données.  

Nous ferons notre possible pour vous aider, mais nous vous serions reconnaissants de protéger correctement les données professionnelles du CERN.

* Dans les faits, remettre à leur place toutes les données placées dans le « mauvais » service ne sera pas une mince affaire. Nous comptons sur vous pour nous aider à remettre de l’ordre !

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.