Nous sommes le CERN. Nous sommes une institution scientifique. Nous explorons, faisons des découvertes, discutons, et publions. C'est notre métier, et ce sont nos valeurs. Partager au maximum les informations, les avancées et les découvertes fait partie de nos gènes et de notre mandat, parce que nous en avons les moyens et parce que c'est notre devoir. Mais au fait, quelles en sont les limites ?
Parce qu'il existe bel et bien des limites. Après tout, les informations, documents et données que le CERN produit ne sont pas tous de nature scientifique ou institutionnelle, ou destinés au public. Nous devons veiller à maintenir autant que possible un bon équilibre en matière de publication, tout en réservant les informations confidentielles aux personnes qui ont légitimement besoin d'y accéder. Si vous lisez régulièrement nos rapports mensuels, vous avez peut-être remarqué que le CERN subit constamment des attaques informatiques. Des personnes mal intentionnées sont à l'affût, prêtes à recueillir toutes données et informations intéressantes. Elles s'infiltrent dans les conférences Indico ou les réunions Zoom (« Les pièges de la visioconférence »), parcourent nos pages web publiques à la recherche de documents qui ne sont pas destinés au public, ou passent au crible nos systèmes de tickets pour le support Service Now (SNOW) ou Jira pour dénicher les demandes contenant des informations confidentielles telles que données à caractère personnel, numéros de cartes de crédit, ou procédures internes. Elles analysent également nos répertoires de logiciels Git à la recherche de mots de passe ou d'identifiants ou, encore, manipulent et envoient des courriels indésirables à nos collègues par le biais de courriels adressés à des listes de diffusion de groupes électroniques non protégées.
La diffusion de données confidentielles présente un risque pour le CERN. En effet, si l'attaque est réussie, un pirate informatique peut faire du chantage au CERN et le menacer de diffuser des documents internes plus largement, d'utiliser les mots de passe et autres identifiants pour s'infiltrer davantage (« Une attaque : plus de sécurité »), ou d'envoyer massivement des courriels indésirables au CERN ou à d'autres adresses électroniques, même externes (« Halte aux courriels indésirables »).
Ainsi, si vous gérez des sites web hébergés par le CERN, des groupes électroniques, des répertoires de logiciels Git ou des projets dans Jira, ou si vous faites partie de l'équipe d'appui de l'un des services proposés par SNOW, ouvrez régulièrement des tickets SNOW ou Jira, ou participez à des réunions Indico ou Zoom, alors veillez à vérifier soigneusement leurs paramètres par défaut. Les données classées « CERN internal », ou mieux encore « CERN restricted », c’est-à-dire limitées aux seules personnes qui ont véritablement besoin d'y accéder, devraient être protégées en priorité. Rendez vos données publiques seulement après vous être assuré qu'elles ne recèlent aucune information compromettante ou qu'elles ne peuvent être utilisées à des fins malveillantes. Le CERN pourra devenir ainsi un véritable lieu d'échanges, ouvert et transparent.
_____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l'adresse Computer.Security@cern.ch.