View in

English

Sécurité informatique: Abus virtuel, conséquences réelles

On oublie parfois que « liberté » et contexte « académique » ne sont pas synonymes de « permissivité totale » .

L'environnement « académique » du CERN offre une grande liberté pour la recherche et le développement. On oublie parfois que « liberté » et contexte « académique » ne sont pas synonymes de « permissivité totale », et qu'un comportement inapproprié, voire illégal, ne sera pas sans conséquence.

Les règles informatiques du CERN, énoncées dans la Circulaire opérationnelle n° 5, sont dictées par le bon sens et s'appliquent à toute personne utilisant les installations informatiques du CERN : membres du personnel, utilisateurs, étudiants, sous-traitants, visiteurs, etc. Leur contenu est simple. Tout ce que vous ne feriez normalement pas dans un lieu public, tout comportement manifestement illégal, offensant, inapproprié ou immoral n'a pas lieu d'être au CERN. Consulter des sites pornographiques est un exemple parmi d'autres. Que ce soit dans votre bureau ou sur un écran en accès public, il s’agit là tout simplement d’un agissement indécent dans un cadre professionnel, qui a déjà constitué un motif de résiliation de contrat, voire d'interdiction d'accès au domaine pour certaines personnes. (Voir aussi l'article du Bulletin « Du bon usage des ordinateurs publics »).

La diffusion de contenus qui présentent l’Organisation de manière négative (ou, pour reprendre les termes des Statut et Règlement du personnel, qui sont de nature à « porter un préjudice matériel ou moral à l'Organisation ») est tout aussi inappropriée. Par exemple, partager sur les réseaux sociaux un contenu inapproprié lié au CERN ou filmé sur son domaine peut susciter des réactions négatives dans les médias et ainsi porter atteinte à la réputation du Laboratoire. Il est arrivé par exemple qu'une activité de ce genre demande à l'Organisation de mobiliser d'importantes ressources pour faire face aux conséquences médiatiques et mettre en place les procédures de suivi internes qui s'imposaient. Les sanctions disciplinaires ont été prises en collaboration avec les instituts d'origine des personnes concernées.

Les violations du droit d'auteur et de licences ne sont pas non plus prises à la légère. Une étudiante s'est trouvée dans une situation bien délicate après avoir téléchargé un logiciel depuis un portail web douteux, exécuté ce logiciel sans licence valide et envoyé une demande de support en utilisant le compte CERN de son professeur. L'étudiante a été démasquée par l'entreprise qui commercialise le logiciel, qui a envoyé la facture pour atteinte à ses droits de propriété intellectuelle au CERN, lequel l'a transmise à son tour à l'université concernée.

Quand vous utilisez les ressources informatiques du CERN, faites preuve de bon sens. Les installations informatiques du CERN sont destinées uniquement à un usage professionnel. Si une activité privée modérée est tolérée (navigation web privée occasionnelle, hébergement de pages web privées ou activité pour un club du CERN), tout abus sera puni. Vous pensez que miner des bitcoins au CERN pour améliorer votre retraite est une bonne idée ? Réfléchissez bien ! Même si utiliser la Grille de calcul mondiale pour le LHC pour miner des bitcoins peut sembler tentant, des règles très strictes sont en vigueur, et les services de sécurité informatique en assurent en permanence le respect. Toutes les infractions sont systématiquement signalées et font l'objet d'un suivi. Une personne au moins a cherché à exploiter les ressources du CERN pour créer des bitcoins. Elle voulait créer de la monnaie virtuelle gratuitement, et en faire supporter les coûts à la communauté du CERN. Résultat : une enquête officielle.

Mais l'infraction la plus grave, que personne ne peut prétendre trouver acceptable, est le sabotage. Pirater l'ordinateur d'un collègue pour fausser ses analyses ou supprimer des données est tout à fait insensé et condamnable. Introduire des portes dérobées dans les services informatiques du CERN pour pouvoir les utiliser après son départ de l'Organisation l'est tout autant. À chaque fois, les personnes incriminées ont été remerciées par le CERN ou leur nouvel employeur.

Ces exemples ne sont pas destinés à vous faire peur. Nous voulons simplement vous rappeler que, dans le cadre de votre travail au CERN, vous devez respecter certaines règles, en premier lieu les Statut et Règlement du personnel, les circulaires administratives et opérationnelles, ainsi que le Code de conduite du CERN. Ces règles existent pour vous protéger et vous offrir un lieu de travail où règne le respect. L'utilisation des installations informatiques du CERN est régie par la Circulaire opérationnelle n° 5, qui vise à protéger l'Organisation, et donc à vous protéger, ainsi que vos données et votre travail de tout problème portant atteinte au fonctionnement ou à la réputation de l'Organisation. Si vous ne l'avez pas déjà fait, prenez connaissance des règles de sécurité informatique et suivez-les !


Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.