L’Alliance scientifique Zebra a été compromise et mise à mal par un pirate. C’est le branle-bas parmi les experts informatiques et les équipes d’intervention en cas d’urgence informatique de Zebra, qui tentent de comprendre cette attaque. Mais le scénario est obscur, les détails sont confus, et il manque des fichiers journaux, alors que le temps presse et que la pression monte. En effet la police veut des réponses, et les journalistes posent des questions. Mais les apparences sont trompeuses.
Heureusement, l’Alliance scientifique Zebra est fictive, et aucune attaque n’a eu lieu. Il s’agit d’une simple simulation destinée aux administrateurs du système, au personnel informatique et aux experts en sécurité, dans le but de mieux comprendre la complexité de la sphère informatique actuelle, les interconnexions entre les centres de données et les problèmes qui peuvent survenir lors de la résolution d’incidents de cybersécurité à grande échelle. Ainsi cet exercice incite les équipes à se serrer les coudes, afin d’éviter à l’Alliance scientifique Zebra une véritable catastrophe, de protéger sa réputation, de permettre aux travaux de recherche de reprendre rapidement, et de trouver le coupable qui a mis en danger la mission de Zebra.
L’exercice a été conçu afin d’illustrer la complexité des incidents réels de sécurité informatique auxquels ont dû faire face par le passé les équipes chargées des interventions en cas d’incidents de sécurité informatique (CSIRT) du CERN, de la European Grid Initiative (EGI) et de la Grille de calcul mondiale (WLCG). Ces incidents sont généralement de grande ampleur, impliquent de nombreux partenaires différents, plusieurs sites physiquement éloignés, ainsi que des administrateurs responsables de diverses couches de la pile logicielle locale, notamment le système d’exploitation, l’application web et les bases de données. En outre, certains administrateurs pourraient ne pas comprendre ou savoir ce qui est exécuté dans leur centre de données, d’autres, pris par leurs tâches quotidiennes, pourraient être peu disposés à apporter leur aide, et d’autres encore pourraient ne pas parler votre langue. Il se pourrait également que les équipes locales d’intervention en cas d’urgence informatique ne disposent pas des compétences ou des outils nécessaires, ou qu’elles n’existent tout simplement pas. Les journaux d’accès et systèmes sont généralement incomplets et très probablement éparpillés de sorte qu’il faudrait les rassembler pour obtenir un aperçu plus complet de la situation. Les pirates veillent de leur côté à brouiller les pistes dans le but de camoufler leurs traces, de manipuler ou de purger les journaux d’activité et de saboter les investigations des incidents pour ne pas être démasqués. Tandis que la direction insiste pour que l’incident soit résolu rapidement afin que le personnel puisse se concentrer à nouveau sur son travail et que les services informatiques puissent reprendre leurs activités.
En résumé, gérer des incidents de sécurité informatique à grande échelle est un exercice stressant, mais intéressant, qui vous permettra de mieux comprendre les problèmes inhérents à la gestion des incidents, les défis que cela représente, et vous indiquera les perspectives d’amélioration.
Alors, ouvrez l’œil ! Un tel exercice de simulation sera bientôt réalisé au CERN et des personnes ayant quelques connaissances en informatique ou en sécurité seront recrutées à cet effet. Si vous vous intéressez à la gestion des incidents informatiques à grande échelle, inscrivez-vous à l’adresse cert-info@cern.ch (https://e-groups.cern.ch/e-groups/EgroupsSubscription.do?egroupName=cert-security-info).
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.