Téléchargement de fichiers non protégés, requêtes SQL trop « généreuses », champs de saisie sans filtre, mots de passe divulgués, le monde numérique présente de nombreux points faibles et vulnérabilités qui nous exposent à des attaques, telles que les scripts intersites, l’exécution de codes à distance ou l’élévation des privilèges. Ils représentent aussi la première étape pour compromettre un serveur, un service ou le CERN tout entier à partir d’un « patient zéro », pour diffuser des données protégées ou confidentielles, ou encore pour nuire à la réputation de l’Organisation.
Il existe de nombreux moyens de se protéger contre ces dangers. D’une part, l’équipe de sécurité informatique traque les vulnérabilités et les faiblesses informatiques, afin de les détecter précocement et de les désamorcer rapidement. D’autre part, en collaboration avec l’équipe de sécurité informatique, vous, qui excellez dans le développement de logiciels et la programmation, vous avez suivi les formations adéquates pour mettre en place un cycle de vie sûr de développement de logiciels et de code, y compris une architecture de système saine et un choix de composants éclairé, vous suivez les bonnes pratiques pour créer et gérer vos logiciels de façon sécurisée, et vous connaissez (et savez éviter !) les pièges potentiels relatifs à la chaîne d'approvisionnement logicielle.
Le WhiteHat Challenge du CERN
Alors que des étudiants externes continuent de pirater le CERN et de mettre la main sur des failles, nous sommes heureux de vous annoncer que le WhiteHat Challenge est de retour au CERN après deux ans d’interruption. Conçu comme une formation de deux demi-journées sur l’éthique et l’intégrité, il met l’accent sur les tests d’intrusion et la détection de vulnérabilités pour apprendre à détecter efficacement les configurations déficientes et les failles présentes dans les services et les sites web. Maîtriser les tests d’intrusion requiert beaucoup d’entraînement et de pratique, mais la formation que nous proposons devrait au moins vous mettre sur la bonne voie. À l’issue de cette formation, vous connaîtrez les moyens utilisés pour s’infiltrer dans les applications web et les tromper, vous saurez utiliser les outils appropriés, et comme devoir à la maison, pour vous perfectionner, vous aurez à participer à un tournoi de type « Capturez le drapeau » (CTF). Nous espérons que cela vous donnera envie – après de nombreuses autres formations amusantes – de devenir un expert des tests d’intrusion, du piratage et des tournois CTF internationaux ! N’hésitez plus, relevez le défi ! Retrouvez tous les détails sur le premier après-midi et le deuxième après-midi sur Indico ; aucune inscription n’est nécessaire.
L’exercice de résolution d’incident de l’Alliance scientifique Zebra
Si vous souhaitez ressentir la pression qui monte quand la situation se corse, découvrez comment les incidents de sécurité informatique sont gérés dans la réalité. Imaginez que l’Alliance scientifique Zebra a subi à nouveau une attaque (après celles de 2022 et 2023) ! Et une nouvelle fois, vous et vos collègues présents dans la salle êtes chargés de découvrir ce qui s’est passé. Comment le pirate s’est-il introduit ? Quelle technique et quel vecteur d’attaque a-t-il utilisés ? Comment s’appelle-t-il (pour que la police puisse l’arrêter) ? Pour participer à cet exercice, aucune connaissance préalable de la sécurité, de la résolution d’incident ou même des technologies de l’information n’est requise. Tout ce dont vous avez besoin est un ordinateur portable, de la curiosité, ainsi que la soif d’apprendre et de relever le défi. Les places étant toutefois limitées, nous vous prions de vous inscrire sur Indico.
Amusez-vous bien lors de ces deux événements ! Nous espérons vous voir bientôt !
________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.