C’est vrai, la sécurité informatique n’est probablement pas le sujet le plus passionnant à aborder au cours d’un dîner. Ce n’est certainement pas non plus le sujet le plus populaire au CERN, depuis le déploiement de l’authentification à deux facteurs et du nouveau filtre antipourriels, qui contribuent à renforcer la sécurité informatique du CERN mais causent des désagréments aux utilisateurs finaux. Une récente campagne de courriels, invitant quelque 4 500 utilisateurs à participer au projet pilote d’authentification à deux facteurs sur LXPLUS, a fait naître une certaine frustration chez les personnes concernées. Qu’il s’agisse de quelques individus virulents clamant leur mécontentement ou de collègues exprimant leurs justes préoccupations, les retours n’ont pas toujours été cordiaux. Mais rassurez-vous, nous prenons en compte vos commentaires !

Gardez à l’esprit que satisfaire tout le monde n’est pas chose facile. Tout d’abord, le CERN compte trois groupes différents : 1) le secteur Recherche et informatique, amateur de l’open source, de Linux et de Mac ; 2) le secteur Finances et ressources humaines, habitué à l’univers standardisé de Microsoft ; 3) le secteur Accélérateurs et technologie, qui navigue entre les deux catégories précédentes pour ses systèmes de contrôle. En outre, l’Organisation accueille 20 000 personnes (19 805, pour être précis) venues du monde entier qui utilisent ses installations informatiques. Au total, on dénombre : 28 712 comptes informatiques principaux (sans parler des 7 183 comptes secondaires et des 6 490 comptes de service) ; 32 214 boîtes de réception qui reçoivent des courriels professionnels et personnels du monde entier et les transfèrent aux quatre coins de la planète ; 81 264 e-groupes proposant des listes de diffusion et des fonctionnalités de contrôle d’accès ; 5 633 sites web faisant la promotion de contenu professionnel, de projets chers à leurs auteurs et de CV, ou servant de page d’accueil personnelle ; 288 032 appareils personnels non contrôlés (« Bring Your Own Device ») et un petit nombre d’appareils gérés par le département IT du CERN, tous connectés au réseau interne ; 15 621 machines virtuelles hébergées sur le nuage OpenStack et 18 366 conteneurs Openshifts pour notre communauté ; 166 520 répertoires de logiciels stockant des projets axés sur le CERN et du code conçu pour fonctionner en dehors du Laboratoire ; 1 125 bases de données disponibles à la demande ; et des milliers de façons différentes d’utiliser LXPLUS comme grappe de serveurs.

Tout cela, nous devons le sécuriser ! Il faut protéger le CERN de toute attaque de grande ampleur, attaques contre lesquelles d’autres n’ont malheureusement pas su se protéger, tout en maintenant l’équilibre entre sécurité, liberté académique et exploitation des accélérateurs et des expériences. Il faut également éviter de gêner le CERN dans la réalisation de son mandat, de ses recherches et de sa collecte de données, mais aussi suivre les bonnes pratiques, les normes internationales (ISO27k, CISv8, la série NIST 800, COWASP) et les recommandations de l’audit sur la cybersécurité 2023, et, enfin, préserver la facilité et le confort d’utilisation pour éviter d’importuner trop de gens.

Dans certains cas, il est possible de concilier facilement sécurité, liberté académique, exploitation scientifique, normes, facilité d’utilisation et satisfaction générale, comme pour le pare-feu périmétrique externe, la nouvelle formation sur le développement de logiciels sécurisés ou le lancement d’un nouvel antivirus – même si ces solutions ont été principalement déployées en coulisses et sur la base du volontariat. Dans d’autres cas, toutefois, les solutions s’accompagnent de désagréments (plus ou moins temporaires selon les avis), comme le déploiement de l’authentification à deux facteurs dans la sphère web du CERN et du nouveau filtre antipourriels et anti-logiciels malveillants, qui applique également des mesures de protection contre l’usurpation d’identité (« SPF », « DKIM », « DMARC »). Dans d’autres cas encore, il peut être nécessaire de modifier considérablement nos habitudes de travail, notamment en utilisant une protection à deux facteurs sur LXPLUS. Nous aimerions bien sûr éviter de porter atteinte à la facilité d’utilisation. C’est pourquoi nous menons des projets pilotes et sollicitons votre avis (et votre patience) afin d’améliorer nos mesures de protection et de rendre la sécurité à la fois simple pour les utilisateurs et efficace pour le CERN. C’est une question d’équilibre.

Nous espérons également trouver un équilibre raisonnable en 2025, avec votre aide et votre compréhension. Ensemble, nous pouvons sécuriser le CERN. Bonnes fêtes de fin d’année, et bonne année !

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.