La mission de l'équipe responsable de la sécurité informatique du CERN est simple : protéger les activités et la réputation de l’Organisation vis-à-vis des cyberrisques. Une tâche facile à décrire, mais qui peut rapidement devenir complexe. De quels risques parle-t-on ? Quels sont les risques contre lesquels il faut agir, et quels sont ceux qui sont acceptables ? Quelles mesures de protection peut-on considérer comme efficaces et raisonnables ? Qu'est-ce qui est approprié, et qu'est-ce qui est abusif ? Dans un environnement institutionnel comme le CERN, où prévalent l'ouverture, avec l'accueil de scientifiques du monde entier, et la liberté intellectuelle en matière de recherche, il importe de trouver un juste équilibre entre d'une part la sécurité, et de l'autre la liberté institutionnelle ainsi que le bon fonctionnement des accélérateurs et des expériences.
Et le dosage de cet équilibre est particulièrement important. Le CERN n'est pas une banque dont il faut protéger l'argent. Le CERN n'est pas non plus un site militaire et il ne fait pas de recherche à des fins militaires. À vouloir trop faire pencher le curseur vers un type de sécurité informatique adapté aux milieux bancaires ou militaires, on risque de mettre un frein à la liberté institutionnelle et à la créativité qui va avec, et de rendre beaucoup plus difficile le fonctionnement des accélérateurs et des expériences. Au CERN, nous pensons « ouverture », « communication », « créativité » et « liberté de pensée ». La mise en place de mesures de sécurité excessives suscite questions et suspicion, et peut conduire à déployer des trésors d'imagination pour contourner ces mesures. Et les règles, si elles ne sont pas appliquées, ne sont pas prises au sérieux. D'un autre côté, faire preuve de légèreté en matière de sécurité informatique signifierait permettre que des personnes malveillantes puissent saboter ou stopper les activités du CERN, ou encore porter atteinte à sa réputation. Il est donc essentiel de trouver un juste équilibre. Cet équilibre consiste à réduire les risques véritables plutôt que les risques ressentis et à ne pas tomber dans une sorte de « simulacre de sécurité ». Trouver le juste équilibre, c'est aussi communiquer de manière transparente à ce sujet et être ouvert à la discussion.
En résumé : le « cyberrisque » dépend des scénarios des dangers, des vulnérabilités et faiblesses inhérentes aux systèmes informatiques, et des conséquences qu'aurait la perte de ces systèmes et des données qui y sont stockées. Comme n'importe quelle autre organisation, institution ou entreprise, le CERN risque en permanence de subir des attaques. Nos pages web sont sondées afin d'en chercher les vulnérabilités, des tentatives sont faites pour pirater nos mots de passe, des utilisateurs sont poussés à cliquer sur des liens malicieux afin que leurs ordinateurs fixes ou portables puissent être infectés. Les pirates ont des profils divers : de jeunes programmateurs voulant tester leurs compétences en s'attaquant à des pages du CERN, des cybercriminels cherchant à obtenir de l'argent ou à faire chanter des individus, des individus cherchant à utiliser à leur avantage nos ressources de calcul ou celles de la Grille de calcul mondiale pour le LHC, par exemple pour le minage de cryptomonnaies, des personnes jalouses tentant de saboter le travail scientifique des autres, et éventuellement même des États (le CERN réunissant des personnes du monde entier, pourquoi ne pas attaquer ces personnes lorsqu'elles se trouvent dans un environnement ouvert plutôt que dans un pays « verrouillé » du point de vue numérique ?). Loin d'être négligeables, les menaces sont réelles (et tous les incidents que nous avons eu jusqu'ici sont compilés dans notre rapport mensuel (en anglais)).
Par ailleurs, le CERN, comme tout autre utilisateur des technologies de l'information, n'est pas à l'abri des vulnérabilités et des faiblesses que peuvent présenter ses piles logicielles et matérielles. Il s'agit d'un problème inhérent à l'informatique. Ce qui est particulier, au CERN, c'est la liberté de choix. Dans le cadre de leur travail, les membres du personnel et les utilisateurs peuvent utiliser, tester, développer et déployer toute application ou technologie qu'ils estiment pertinente – à la condition d'en assumer l'entière responsabilité en matière de sécurité informatique. Le département IT du CERN fournit les plateformes logicielles nécessaires pour les services suivants : ensembles de logiciels gérés de façon centralisée, plateformes de virtualisation (« Openstack »), bases de données sur demande, systèmes d'applications web (« Drupal », « Twiki », « Sharepoint ») ; leur usage demeure cependant entièrement à la discrétion de l'utilisateur final. De même, le réseau administratif peut accueillir tout type d'appareil (éventuellement vulnérable), en vertu du principe selon lequel chacun peut amener son propre appareil. Par conséquent, le nombre d’appareils, d’applications, de pages web et autres potentiellement vulnérables ou présentant des faiblesses est immense.
Et à la fin, les conséquences peuvent être importantes : au niveau de la réputation, du fonctionnement, des coûts ou du droit. Une image suggestive ou scabreuse sur l'une de nos pages d'accueil constituerait une mauvaise publicité ; la destruction de grandes quantités de données de physique ou le cybersabotage d'expériences ou d'accélérateurs pourrait signifier un arrêt forcé de nos programmes de recherche ; le vol d'argent (« fraude au CEO ») ou d'informations confidentielles aurait des conséquences financières ; et l'utilisation de ressources de calcul pour attaquer des organismes tiers pourrait mener à des actions en justice contre l'Organisation.
En bref, le CERN fait face à des attaques. Les matériels et logiciels du CERN sont vulnérables, et les conséquences pour l'Organisation peuvent être immenses. Le risque n'est ni nul ni négligeable. Cette affirmation ne devrait pas vous surprendre si vous lisez régulièrement nos articles dans le Bulletin. L'équipe chargée de la sécurité informatique du CERN s'efforce de maîtriser et de réduire les risques lorsque cela est raisonnable du point de vue technologique et financier et entraîne une amélioration (c'est-à-dire qu'elle évite de tomber dans un « simulacre de sécurité »). Certains risques ont été reconnus par la Direction du CERN et il a été accepté qu'ils ne soient pas réduits (car cela serait trop intrusif par rapport à notre caractère institutionnel, ou que les bénéfices ne justifieraient pas les coûts). Les mesures mises en œuvre sont documentées sur la page d'accueil de l'équipe de la sécurité informatique et dans notre déclaration sur la confidentialité (en anglais). Elles font aussi l'objet de discussions sur le forum des utilisateurs des services IT, lors des réunions CNIC ou dans le Bulletin du CERN. Tout récemment, la position adoptée au CERN en matière de sécurité informatique a fait l'objet d'un audit ; il en est ressorti que cette position est globalement saine, adaptée à l'environnement institutionnel du CERN et bien équilibrée par rapport aux besoins opérationnels. Mais vous pourriez avoir un avis différent, et nous serions intéressés à recevoir un retour de votre part. Où serait-il nécessaire d'avoir davantage de mesures de cybersécurité ? Où allons-nous au contraire trop loin et rendons-nous les choses trop restrictives ? Sur quels aspects avez-vous besoin d’aide ? Écrivez-nous à l'adresse Computer.Security@cern.ch.
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.