Après avoir été gravement compromise en 2022, l'Alliance scientifique Zebra a subi une nouvelle attaque. Les experts informatiques et les équipes chargées des interventions en cas d’incidents de sécurité informatique de Zebra sont aux aguets et tentent de comprendre ces actes malveillants. Le scénario est obscur, les détails sont peu clairs, il manque des fichiers journaux, le temps presse, la pression monte, la police met la pression, les journalistes posent des questions et les apparences sont trompeuses.
Heureusement, l’Alliance scientifique Zebra n'existe pas, et personne n’a véritablement été attaqué. Il s’agit d’un simple exercice de simulation destiné aux administrateurs systèmes, au personnel informatique et aux experts de la sécurité, afin de mieux comprendre la complexité de la sphère informatique actuelle, l’interconnectivité entre les centres de données et les problèmes qui peuvent survenir lors de la résolution d’incidents de cybersécurité à grande échelle. C’est une attaque mystérieuse et grave, contre laquelle les équipes doivent se serrer les coudes afin d’éviter à l’Alliance scientifique Zebra une véritable catastrophe, de protéger sa réputation, de permettre aux travaux de recherche de reprendre rapidement, et de trouver le coupable qui a mis en danger la mission de Zebra.
L’exercice a été conçu afin d’illustrer la complexité des incidents réels de sécurité informatique tels qu’ils ont été gérés par le passé par les équipes chargées des interventions en cas d’incidents de sécurité informatique (CSIRT) du CERN, de la European Grid Initiative (EGI) et de la Grille de calcul mondiale (WLCG). Ces incidents sont généralement de grande ampleur, impliquent de nombreux partenaires différents, plusieurs sites physiquement éloignés et des administrateurs responsables de diverses couches de la pile logicielle, notamment le système d’exploitation, les applications web et les bases de données. Certains administrateurs pourraient ne pas comprendre ou savoir ce qu’il se passe dans leur centre de données, d’autres sont pris par leurs activités quotidiennes et sont peu disposés à apporter leur aide, et il est possible que d’autres encore ne parlent ou ne comprennent même pas votre langue. Il se pourrait également que les équipes chargées des interventions en cas d’incidents de sécurité informatique locales ne disposent pas des compétences ou des outils nécessaires, ou n’existent tout simplement pas. Les journaux d’accès et systèmes sont généralement incomplets et très probablement répartis de sorte qu’il faudrait les rassembler pour obtenir un aperçu plus complet de la situation. Les pirates veillent de leur côté à brouiller les pistes dans le but de camoufler leurs traces, de manipuler ou de purger les journaux d’activité et de saboter les investigations des incidents pour ne pas être démasqués. Par ailleurs, la Direction pousse pour que cet incident soit résolu le plus vite possible de sorte que le personnel puisse se concentrer à nouveau sur son travail et que les services informatiques reprennent leurs activités.
En résumé, la gestion des incidents de sécurité informatique à grande échelle est un exercice stressant, mais intéressant. Vous pourrez le constater par vous-même, en découvrant les problèmes inhérents aux interventions en cas d’incident, les défis que cela représente et les perspectives d’amélioration.
Alors, restez aux aguets ! Un exercice Zebra a eu lieu le mois dernier au CERN, et un nouvel exercice est prévu prochainement, pour lequel on cherchera à recruter des personnes ayant un peu d’expérience dans l’informatique ou la sécurité pour participer à cet exercice de simulation visant à favoriser une meilleure compréhension des interventions à grande échelle en cas d’incident. Vous souhaitez participer ? Inscrivez-vous à l’adresse cert-info@cern.ch (https://e-groups.cern.ch/e-groups/EgroupsSubscription.do?egroupName=cert-security-info).
____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.