Un grand bravo à toutes les personnes qui ont participé au Business loto du dernier numéro du Bulletin, en particulier celles qui ont envoyé leur solution et gagné une délicieuse pizza hawaïenne à l’ananas et un Coca. Vu le grand nombre de réponses que nous avons reçues, peut-être que notre loto était trop facile ? Mais c’est bien comme ça que devrait être la sécurité : facile, directe, simple. C’est le paradigme n°1 : KISS (Keep it Simple, Stupid) ou « ne vous compliquez pas la vie ».
Hélas, cette exigence de simplicité est continuellement mise à mal par la complexité de l’environnement informatique du CERN, qui mêle les besoins contradictoires du monde universitaire (secteur de la recherche et de l’informatique), de l’administration (secteur des finances et des ressources humaines) et de l’industrie (secteur des accélérateurs) ; par l’habitude bien ancrée d’utiliser les ressources informatiques du CERN à des fins personnelles tels que l’envoi et la réception de mails privés ou l’hébergement de pages web, et par la possibilité de connecter tous ses appareils personnels au réseau du domaine du CERN ; sans parler de la cacophonie créée par la coexistence de systèmes développés en parallèle pour réaliser des tâches similaires, mais pas identiques (CDS/CERNbox/EDMS/EOS/Google Workspaces/MyFiles/OneDrive/Sharepoint ou Kubernetes/Openstack/Openshift) et des problèmes liés à l’abandon de services anciens et dépassés (comme la migration très lente et complexe d’AFS et DFS vers CERNbox, la suppression de l’ancien SSO au profit du nouveau, ou le passage de l’hébergeur de site web Drupal à WordPress). Bref, on ne peut pas dire que la simplicité soit à l’ordre du jour. Nous devons nous efforcer de faire mieux. Plus simple. Plus homogène. Plus centralisé. Mieux contrôlé. Plus KISS.
Hélas, compte tenu des contraintes qui viennent s’ajouter, à savoir des ressources et des délais limités, c’est le paradigme n°2 qui s’impose : « pas cher, pratique, sécurisé – rayez la mention inutile ». Avec ce paradigme, la sécurité a perdu d’avance, car qui choisirait la sécurité, quand on peut avoir un système pratique et pas cher ? Et vous, quel serait votre choix ? La sécurité est donc reléguée au second plan et n’est prise en compte que quand il reste du temps et des ressources (ou que les responsables du projet sont sensibilisés à la question). Là aussi, nous avons des progrès à faire. L’audit sur la cyber-sécurité réalisé l’an dernier a appelé à accorder plus d’importance à la sécurité et a recommandé que l’Organisation « définisse et mette en œuvre un protocole visant à garantir que le critère de la sécurité est pris en compte dans tous les projets » et « mette en œuvre une procédure de gestion des risques de sécurité » sous les auspices de l’équipe de sécurité informatique (un prochain article du Bulletin sera consacré à ce sujet).
Conformément aux bonnes pratiques, et comme il a été souligné une nouvelle fois lors de cet audit, l’équipe de sécurité informatique s’efforce en permanence d’appliquer un troisième paradigme, celui de la « défense en profondeur ». Grâce à votre coopération (car, ne l’oublions pas, « la sécurité est la responsabilité de chacun », solution C1 du loto), et « l’authentification à deux facteurs est un grand pas en avant pour la protection des comptes » (A2) : nous sommes heureux que plus de 10 000 comptes soient maintenant pourvus de cette protection. À un autre niveau de défense, nous parvenons grâce au pare-feu à écarter les sites, domaines et IP malveillants, mais nous avons du mal à filtrer les courriels malveillants, ce sur quoi nous promettons de nous améliorer en 2024. Quoiqu’il en soit, nous comptons sur vous pour repérer ceux qui réussissent à se frayer un chemin : rappelez-vous que « seul le lien derrière un texte/code QR fait foi » (B3). Pour vous y aider, « les logiciels anti-programmes malveillants du CERN peuvent être téléchargés gratuitement » (E4)*. La défense en profondeur est difficile à mettre en place, mais on peut y parvenir.
Ainsi, les paradigmes « ne vous compliquez pas la vie » et « défense en profondeur » vont de pair lorsque l’on choisit collectivement les deux bonnes options dans le paradigme « pas cher, pratique, sécurisé – rayez la mention inutile ». Nous devons, ensemble, surmonter les difficultés de ces différents paradigmes pour mieux sécuriser l’Organisation, et éviter la catastrophe.
* La cinquième bonne réponse était D5 (« Le cryptage est facile ; la gestion des clés est compliquée ») mais c’est un aspect technique géré par le département IT.
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.