Vous vous souvenez du bon vieux temps où le réseau technique (Technical Network – TN) permettait d’accéder directement et facilement aux systèmes de contrôle des accélérateurs du CERN depuis le réseau interne du campus ? Ces systèmes reposaient malheureusement (et reposent encore aujourd’hui) sur des dispositifs relevant de ce que l’on pourrait appeler l’« internet un peu bête des objets pas très nets ». C’est ce constat qui a conduit, dès 2005, à la mise en place de protections externes : TN v2.0 entrait alors en scène. Cette nouvelle couche de sécurité a tenu bon pendant près de vingt ans. Mais les mondes de l’informatique et des systèmes de contrôle ont changé de braquet : virtualisation, conteneurs, gestion de données massives, apprentissage automatique, intelligence artificielle, grands modèles de langage... Face à ces bouleversements, TN v2.0 ne répond plus aux exigences actuelles en matière de sécurité et il est temps pour le CERN d’amorcer la transition vers v3.0. On vous explique tout ci-après.
TN v1.0 Le réseau technique du siècle dernier était simple. Initialement géré par ce qui est aujourd’hui le secteur Accélérateurs et technologie (ATS), il était entièrement interconnecté au réseau interne du CERN (alors appelé réseau général du CERN, ou GPN) et aux centres de données du CERN. Chaque poste informatique pouvait être utilisé de manière interactive pour se connecter directement aux contrôleurs, équipements frontaux, automates programmables (PLC) et autres dispositifs des accélérateurs. Pratique et facile à utiliser ? Certes. Sécurisé ? Pas vraiment. Un premier test d’intrusion, réalisé en 2005 dans le cadre du projet TOCSSIC (Teststand of Control System Security in CERN), a montré que de nombreux systèmes de contrôle étaient structurellement vulnérables, non mis à jour, et dépourvus de protections élémentaires pourtant nécessaires à leur bon fonctionnement. Nous reviendrons sur l’ « internet un peu bête des objets pas très nets » dans un prochain article du Bulletin. Le maintien en l’état du TN v1.0 représentait un risque trop élevé, notamment vis-à-vis de la propagation possible de virus depuis les PC et dispositifs bureautiques vers les équipements et les serveurs des systèmes de contrôle (les vers informatiques « Blaster » et « Slammer » avaient récemment compromis un grand nombre de machines sous Windows au CERN). C’est dans ce contexte que l’infrastructure informatique et de réseau pour les contrôles (CNIC) a vu le jour. Et avec elle, TN v2.0.
TN v2.0 À partir de 2007, sur la base de la politique CNIC validée conjointement par le département IT et le secteur ATS, et mise en œuvre par l’équipe réseau du CERN, de nouveaux mécanismes de filtrage entre le réseau interne du campus et le réseau technique ont été déployés. Chaque appareil du GPN devant interagir avec le TN devait être explicitement déclaré « APPROUVÉ TN » (TN TRUSTED) avant d’être autorisé à le faire. Inversement, tout appareil du TN ayant besoin de communiquer avec des éléments du GPN devaient être marqués comme « EXPOSÉ TN » (TN EXPOSED). Mais en raison de limitations techniques, ces statuts étaient à sens unique et donnaient un accès global : un appareil « APPROUVÉ » ou « EXPOSÉ » avait accès à l’ensemble du réseau opposé. Bien que non optimale en termes de sécurité, cette approche représentait un progrès considérable pour la protection du réseau technique. En parallèle, tout dispositif du TN ne relevant pas directement des systèmes de contrôle des accélérateurs ou des infrastructures du CERN ont été transférés vers un réseau d’expériences spécifique (ou vers le GPN). Des mesures similaires ont accompagné l’émergence des réseaux d’expériences LHC, puis se sont étendues à d’autres expériences. Ce mécanisme a permis d’assurer la sécurité du TN durant les années 2000, mais, dès la décennie suivante, ses limites sont apparues : il ne permettait pas une montée en charge suffisante et n’était pas adapté à l’évolution rapide des services informatiques classiques, tels que la virtualisation, la conteneurisation, le traitement massif de données ou l’intelligence artificielle, des technologies désormais intégrées aux déploiements des systèmes de contrôle. En matière de réseau et de cybersécurité, cette situation est devenue épouvantable. D’où la nécessité d’évoluer vers : TN v3.0.
TN v3.0 Les systèmes de contrôle modernes s’ouvrant progressivement à de nouvelles pratiques informatiques, le modèle de filtrage « APPROUVÉ/EXPOSÉ » du TN v2.0 n’offre plus une granularité suffisante. Il est ressorti de l’audit sur la cybersécurité mené en 2023 que le CERN devait « mettre en œuvre et appliquer un filtrage réseau strict entre les différents segments de son infrastructure », à savoir le TN, les réseaux des centres de données et le réseau interne du campus. Il a également été demandé de « finaliser le déploiement du système d’authentification multifacteur (MFA) pour tous les utilisateurs et cas d’usage concernés », comme cela a déjà été mentionné dans notre précédent article du Bulletin intitulé « cinq façons de se connecter au CERN à distance ». Dans ce cadre, le filtrage entre le réseau technique et le réseau interne du campus évoluera pendant le troisième long arrêt (LS3), passant d’un filtrage basé sur des listes de contrôle d’accès (ACL) au niveau des routeurs (les règles « APPROUVÉ/EXPOSÉ ») à un filtrage via pare-feu, plus précis et plus granulaire, basé sur les protocoles (TCP et UDP) et les numéros de port. Concrètement, chaque service informatique hébergé dans les centres de données de Meyrin ou de Prévessin devra identifier ses serveurs accessibles aux utilisateurs ou aux clients ainsi que les protocoles réseau utilisés, afin que ces flux soient configurés de manière explicite dans le nouveau pare-feu du TN. De leur côté, les groupes et experts responsables des systèmes de contrôle du secteur ATS devront recenser les clients qui accèdent à ces services pour permettre la mise en place d’un cadre de communication clair entre les clients et les services concernés.
L’objectif est d’instaurer ces nouvelles règles pendant le LS3, afin que le TN v3.0 soit pleinement opérationnel d’ici la fin de la période d’arrêt. Ainsi, la quatrième période d’exploitation pourra démarrer dans des conditions optimales de protection des opérations des accélérateurs. Par ailleurs, le même dispositif de pare-feu sera mis en place durant le LS3 pour améliorer la séparation entre les services des centres de données informatiques et le réseau interne du campus. Restez donc à l’affût pour les prochaines mises à jour. Un grand merci à toutes celles et ceux qui contribuent à renforcer la sécurité du CERN, de ses accélérateurs et de leurs opérations !
________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.