View in

English

Sécurité informatique : la sécurité et les adeptes du « pas de ça chez moi »

|

La sécurité, ce n’est pas très marrant, on est bien d’accord. C’est un facteur de coût, un gouffre à ressources, qui n’offre aucun avantage immédiat, mais crée au contraire des obstacles, des désagréments et des complications. On pourrait dire la même chose du permis de conduire, du code de la route, des assurances et de tout autre type de réglementation. Respecter la sécurité n’est pas marrant, pas plus qu’avoir une centrale nucléaire dans son champ de vision, de vivre près d’une autoroute ou d’éoliennes bruyantes ou de se faire vacciner. On est tous d’accord, du moins je l’espère, pour dire que le permis de conduire, le code de la route, les autoroutes, les assurances, les centrales nucléaires, les éoliennes, la vaccination et même la « sécurité » informatique, ont une véritable raison d’être, mais on préfère ne pas en subir les inconvénients. C’est ce qu’on appelle être adepte du « pas de ça chez moi » (Not In My Back Yard).

À en juger par les innombrables discussions que nous avons eues depuis le déploiement du nouveau pare-feu périmétrique externe, du dispositif de mise en quarantaine des courriels indésirables , mais également depuis le lancement de nouvelles mesures contre l’usurpation d’identité (spoofing), ou encore la récente activation de l’authentification à deux facteurs, il est évident que la communauté du CERN comporte des adeptes du « pas de ça chez moi » : « Bloquer des domaines malveillants de premier niveau ? ─ Très bien, mais ne bloquez pas la page web de mon prof de yoga » ; « protéger contre l’usurpation d’identité ? ─ Parfait, mais ne touchez pas aux courriels personnels envoyés sur mon adresse CERN » ; « l’authentification à deux facteurs ? ─ Excellente idée, mais épargnez mon département encore un peu ». Nous avons bien d’autres exemples de cette réticence, qui va parfois jusqu’à insinuer que nous bridons volontairement certaines fonctionnalités du CERN, que nous éprouvons de l’animosité envers certains utilisateurs ou certaines communautés, et que nous ne méritons aucune promotion cette année.

Cependant, si nous voulons protéger le CERN et atteindre un niveau de sécurité satisfaisant, nous ne pouvons faire l’impasse sur un certain nombre de mesures de sécurité informatique : défense en profondeur, segmentation réseau, pare-feu, prévention des intrusions, filtrage des pourriels et des logiciels malveillants, protection EDR (Endpoint Detection and Response), mots de passe forts et authentification à deux facteurs, développement de logiciels sécurisés, planification de la continuité des activités et de la reprise après sinistre. Toutes ces mesures occasionnent des désagréments, réduisent la flexibilité et la spontanéité, créent des points de passage forcés (pare-feu, filtre à courriel, analyses logicielles) où ont lieu des contrôles de sécurité visant à séparer le bon grain de l’ivraie. C’est aussi vrai des fusibles, des filtres à eau, des feux de signalisation, des caisses automatiques et des contrôles aux frontières. Et il serait absurde et injuste d’affirmer, comme dans La Ferme des animaux, le fameux roman de George Orwell, que certains animaux sont plus égaux que d’autres et d’accorder des passe-droits, des dérogations ou tout autre type d’exception. Halte aux adeptes du « pas de ça chez moi » !

Tout cela vaut aussi pour la sécurité informatique. Appliquer les paradigmes de sécurité implique de respecter une simple liste de priorités : viennent en premier les secteurs à haut risque, les fonctions critiques, les services web et les activités professionnelles. Tout le reste est secondaire et doit donc se plier aux règles établies pour protéger les domaines prioritaires, de préférence sans exception, de manière que des mesures de sécurité ne soient pas contournées et des faiblesses ou des vulnérabilités créées. Un audit spécial sur la cybersécurité a confirmé le bien-fondé de notre stratégie et demandé que nous l’appliquions plus complètement (j’y reviendrai dans un prochain article du Bulletin). Patience, donc, si vous connecter prend un peu plus de temps, alors qu’une partie de vos collègues « bénéficient » encore de l’authentification à un seul facteur. Patience, si vos courriels personnels sont mis en quarantaine car ils enfreignent les normes de sécurité et vous arrivent donc plus tard. Patience, si votre logiciel reçoit trop de messages d’erreur quand il compile et qu’il faut corriger cela avant de pouvoir l’utiliser. Nous sommes désolés pour les adeptes du « pas de ça chez moi ».

La sécurité, ce n’est pas très marrant, c’est sûr. Mais c’est toujours mieux que de devoir réinstaller votre ordinateur, de voir publier tous vos courriels, de perdre tous vos documents, de saboter votre système, votre service ou votre expérience, de transmettre des rançongiciels à l’Organisation, d’empêcher le fonctionnement du CERN, et ce pour un long moment. Conclusion : tant pis pour les adeptes du « pas de ça chez moi » !

______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.