Depuis deux ans, de nombreux dispositifs ont été déployés pour améliorer la sécurité informatique au CERN. Beaucoup a déjà été accompli sous l’impulsion de l'audit 2023 sur la cybersécurité ; 2026 devrait voir la mise en œuvre de toutes les tâches restantes. Nous avons déjà abordé, dans les deux éditions précédentes du Bulletin, la question concernant les exigences auxquelles les gestionnaires de services informatiques doivent se conformer et celle sur les modifications qui seront bientôt apportées aux mots de passe et à l'authentification à deux facteurs (2FA). Penchons-nous à présent sur la question du réseau.
En 2026, le niveau de détail du filtrage du réseau technique (TN) sera lui aussi amélioré ; puis ce sera le tour des réseaux du campus et des centres de données, avec le déploiement d’une paire de pare-feu redondants pour chaque réseau. Le filtrage actuel entre le réseau du campus, les centres de données de Meyrin et de Prévessin, et le réseau technique, repose sur des tuples d’adresses IP et, dans de rares cas, sur un service réseau (« numéros de port »). Ce mécanisme « fiable/exposé » date d'avant 2006, époque à laquelle il n’y avait aucun filtrage entre ces réseaux. Aujourd'hui, ce filtrage est jugé trop grossier, car soit il « fait trop confiance » à des appareils répertoriés sur le campus ou dans les centres de données, ce qui les rend visibles à l'ensemble du réseau technique, soit il expose des appareils répertoriés du réseau technique à tous les autres réseaux. Une fois le pare-feu du réseau technique déployé, ce trafic croisé entre le réseau technique, les centres de données et le réseau du campus sera mis en évidence et contrôlé plus finement : quels services informatiques doivent rester visibles pour le réseau technique ? En utilisant quels ports réseau ? Dans quelle direction (trafic entrant ou sortant) ? Avec quel protocole de transport (TCP ? UDP ?) Et qui sont ses clients sur le réseau technique ? Il en va de même pour les appareils connectés au réseau technique : où doivent-ils diffuser leurs données et comment ? Le pare-feu du réseau technique sera déployé avant que ne commence le troisième long arrêt (LS3). Une fois en place, il s’agira essentiellement de répondre aux questions ci-avant et de migrer du mécanisme « fiable/exposé » actuel au pare-feu avec un meilleur filtrage. Un pare-feu identique sera ensuite déployé entre les réseaux du campus et des centres de données.
En parallèle, et à une plus petite échelle, tous les services informatiques hébergés dans les centres de données de Meyrin ou de Prévessin envisageront de déployer des « groupes de sécurité » d'Openstack dès que cette fonctionnalité sera disponible. Les « groupes de sécurité » permettront aux services de séparer leurs serveurs internes back-end des serveurs front-end exposés aux utilisateurs, et de mieux les protéger des autres services des centres de données. Au moment de la rédaction du présent article, toutes les machines virtuelles de la famille « m4 » pouvaient bénéficier de cette fonctionnalité ; d'autres types de machines virtuelles devraient pouvoir l’utiliser en 2026-2027. Cette fonctionnalité a déjà été mise en place dans le centre de données de Prévessin et elle est prête à être utilisée. De même, certains systèmes de contrôle, notamment ceux utilisés pour l’automatisation des bâtiments, jouiront d’une meilleure protection réseau (VLAN), tout comme en bénéficient déjà depuis 2025 les caméras de vidéosurveillance, les systèmes de contrôle d’accès généraux et les imprimantes.
Plus généralement, l’année 2026 devrait voir le lancement du réseau wi-fi chiffré, protégé par la norme de sécurité WPA. Le WPA ne chiffre pas le trafic de bout en bout, il protège toutefois le trafic contre l'espionnage de réseau et bloque les appareils non autorisés qui cherchent à se connecter au réseau du CERN. Le lancement du WPA est prévu pour début 2026, avec une longue période de transition entre l'ancien réseau (CERN SSID) et le nouveau (CERN-Campus) de manière à ce qu’aucun appareil ne soit oublié.
Alors, si vous êtes concerné par les pare-feu du réseau technique et du réseau du campus, ou par les « groupes de sécurité », merci de nous aider à protéger le CERN. Les administrateurs du réseau technique et le Bureau de la sécurité informatique, respectivement, ne manqueront pas de vous contacter. Quant au WPA3 qui sera déployé prochainement : essayez-le, tout simplement. C’est un premier pas vers la garantie d’une meilleure protection de vos communications tout en renforçant celle de l’Organisation.
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.