Même si elle n'est pas essentielle pour les données de physique du CERN, la confidentialité des données, est importante lorsqu'il s'agit de protéger des documents et des dossiers contractuels, financiers, personnels, ou relatifs aux rayonnements et à la science. Ce n’est pas parce que le CERN est aussi un lieu d’enseignement que l’on ne se préoccupe pas de la confidentialité des données. Au contraire, nous avons l'obligation commune de protéger ce qui est destiné à n'être lu que par quelques privilégiés. La perte de données pourrait autrement se transformer en cauchemar médiatique pour le CERN, ou constituer un risque opérationnel, avec potentiellement des conséquences au niveau juridique et contractuel, ainsi qu’au niveau de la réputation. C'est la raison pour laquelle un Bureau de la gouvernance des données a été créé. Avez-vous déjà réfléchi à la manière dont vous gérez vos données personnelles et professionnelles ? Les laissez-vous exposées à tout vent ?

Ou bien assurez-vous la confidentialité de vos données privées sur vos appareils portables (ordinateur portable, tablette, smartphone) ? Comment les stockez-vous ? Comment veillez-vous à ce qu’elles soient correctement sauvegardées ? La première étape consiste, bien entendu, à en protéger l'accès, c'est-à-dire s’assurer que personne d'autre que vous (et les personnes en qui vous avez confiance) ne puisse accéder à votre appareil portable. Plusieurs moyens existent : mots de passe ; lecture d’empreinte digitale ; système de reconnaissance faciale. Peu importe le moyen utilisé du moment qu’il est efficace. L'étape suivante, si possible, est le chiffrement local des données. Votre ordinateur Windows est équipé de « BitLocker  » qu’il vous suffit d’activer (ne perdez pas cependant le code de récupération), alors que MacBook est équipé de « FileVault ». Pour Linux, Ubuntu est l’une des solutions de cryptage disponibles lors du paramétrage.

Les choses se compliquent un peu lorsqu'il s'agit de sauvegarder des données sur des supports d’information amovibles, par exemple un lecteur Flash, un disque dur enfichable, ou votre « dispositif de stockage connecté au réseau », chez vous. Dans l’idéal, ces supports sont dotés d’une méthode de cryptage intrinsèque prête à l’emploi (je le répète, ne perdez pas le code de récupération). S'il s'agit simplement d'une sauvegarde, la conserver sous clé dans un coffre-fort chez vous devrait suffire. Mais si l'objectif est de partager des données avec un tiers, il est indispensable de chiffrer toutes les données confidentielles. Notez que les courriels ne sont généralement pas chiffrés et sont donc aussi peu protégés qu'une carte postale manuscrite envoyée par la poste. Au lieu de chiffrer vos données, vous pouvez télécharger vos fichiers sur des plateformes comme Dropbox ou Google Drive, et autoriser leur téléchargement en communiquant, discrètement, l’URL. Cela signifie bien entendu que l’on fasse confiance aux politiques en matière de sécurité de ces plateformes ainsi qu’à leurs déclarations sur la confidentialité des données. CERNBox peut être une alternative valable si utilisé de manière raisonnable.

Pour les données professionnelles, CERNBox, ou tout autre système de stockage géré par le CERN, est bien entendu le meilleur et le SEUL moyen officiel de partager des données avec vos collègues. L'approche la plus simple consiste à télécharger les données et à les partager en accordant l'accès aux comptes informatiques du CERN concernés, en respectant toujours le « principe du moindre privilège ». Seules les personnes concernées devraient pouvoir accéder à ces documents professionnels. Nous reviendrons sur ce point dans un prochain article du Bulletin sur le traitement des données.

Et si vous utilisez un ordinateur appartenant au CERN (c'est-à-dire payé par le biais d'un code budgétaire du CERN*), il est impératif que cet appareil soit équipé d'un système de chiffrement du stockage local. Le Bureau de la sécurité informatique appliquera cette mesure en 2025, à la suite d'une recommandation de l’audit 2023 sur la sécurité informatique du CERN. Une politique subsidiaire exigera prochainement que les périphériques de stockage USB locaux ne soient utilisés que pour des données professionnelles classées comme « publiques ». Enfin, n'oubliez pas qu’envoyer des documents (non chiffrés) par courrier électronique ne protège en aucun cas la confidentialité. Ne le faites pas, tout simplement, à moins d’avoir chiffré vos dossiers au préalable. Vous risquez autrement de voir vos données exposées à tout vent...

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.