Sécurité informatique : dernière ligne droite...

View in

15 janvier, 2026

|

Par Computer Security Office

Ces deux dernières années, de nombreux dispositifs ont été déployés pour améliorer la sécurité informatique au CERN. Suite à l'audit 2023 sur la cybersécurité, le Bureau de la sécurité informatique, en collaboration avec le département IT, a mis en place l'authentification à deux facteurs (2FA), véritable solution miracle pour le système d'authentification unique (SSO) du CERN, un système de filtrage anti-pourriels plus performant, un système de mise en quarantaine des courriels et une protection contre l'usurpation d'identité. Il a également déployé une protection 2FA pour LXPLUS et les serveurs terminaux Windows du CERN, entre autres. En 2026, la mise en œuvre des recommandations émises par cet audit devrait s'achever ; en effet, il ne reste plus qu'à finaliser les dernières tâches. Enfin, voici une vue d'ensemble de ce qui nous attend en 2026. Nous commencerons par les nouvelles règles destinées à toutes les personnes qui développent ou exploitent des services informatiques. Deux autres articles, qui seront publiés prochainement dans le Bulletin, auront pour objet les changements prévus pour les comptes du CERN, les mots de passe et la protection à deux facteurs (2FA), ainsi que les nouveaux déploiements relatifs au filtrage réseau et au wi-fi du CERN.

Afin de respecter la recommandation R-15.3 de l'audit sur la cybersécurité, le service de formation des ressources humaines, en collaboration avec le Bureau de la sécurité informatique, a mis en place des formations sur la sécurité, juste à temps pour l'exercice MERIT. La plateforme de formation SecureFlag offre de nombreux cours sur la sécurité destinés aux programmeurs (C, C++, Java, Python, etc.), ainsi que pour les gestionnaires de services informatiques et les administrateurs systèmes (Docker, Kubernetes, React, Terraform, etc.). Étant donné que les cours sur la sécurité informatique sont obligatoires, en vertu de la Circulaire opérationnelle n° 5 du CERN (Règles informatiques du CERN), parlez-en dès aujourd'hui à votre supérieur hiérarchique et inscrivez-vous, tout simplement. Et si aucune de ces options ne vous convient, adressez-vous à votre supérieur, à votre délégué départemental à la formation (DTO) ou au Bureau de la sécurité informatique pour trouver autre chose.

En outre, afin de respecter la recommandation R-5.1 de l'audit, le Bureau de la sécurité informatique a publié, avec l'approbation du Comité de sécurité informatique, une série de règles subsidiaires et de principes de sécurité supplémentaires. Ces règles, qui portent sur la confidentialité et protection des données, les terminaux, les identités, l'authentification et l'autorisation, le fonctionnement des services informatiques, l'utilisation du réseau, et le développement et la configuration de logiciels, ainsi que sur les principes de déploiement des conteneurs, la maintenance des systèmes d'exploitation et des serveurs, les applications web et la façon de développer des logiciels, viendraient compléter les règles obligatoires générales énoncées dans la Circulaire opérationnelle n° 5 (« L'utilisateur prend les précautions nécessaires pour protéger son ordinateur personnel ou poste de travail de tout accès non autorisé »), tout en sachant que le libellé de cette circulaire date de l'année 2000. Par conséquent, les présents principes de sécurité et règles subsidiaires, même s'ils n'apportent rien de nouveau, définissent plus en détail des mesures plus pratiques pour mieux comprendre les attentes (les règles) et comment y répondre (les principes). Nous vous invitons à passer en revue vos services informatiques et à faire en sorte qu'ils suivent en 2026 ces règles et principes.

Cette année devrait surtout voir un renforcement des pare-feu applicatifs (WAF) Modsecurity et Falco du CERN, ainsi que le déploiement à un niveau de détail plus fin de protections contre les dénis de service (distribuées). Si vous exploitez un site web hébergé par OpenShift, le renforcement des pare-feu applicatifs pourrait contribuer à mieux filtrer les visiteurs indésirables. Cependant, il sera peut-être nécessaire d'adapter votre page afin d'éviter que le flux de données légitimes ne soient bloqué.

Enfin, certaines expériences LHC et le Bureau de la sécurité informatique souhaiteraient établir une nomenclature logicielle (SBOM - Software Bill of Materials), ce qui représente un véritable défi. Une nomenclature logicielle permettrait d'avoir une meilleure vue d'ensemble des logiciels employés au CERN, de contrôler d'où proviennent les paquets, les bibliothèques, etc. afin d'éviter que des codes malveillants ne soient automatiquement introduits dans la pile logicielle du CERN, et de ne plus devoir se soucier des droits d'auteur ou des contraintes de non-prolifération. Alors que le département BE a déjà réussi à établir un inventaire complet des logiciels, il manque toujours un service SBOM central. Pour l'instant, nous utilisons la liste des dépendances, la détection des secrets et le test statique de sécurité des applications (SAST) pour tout code hébergé dans l'instance GitLab du CERN, et l'évaluation des vulnérabilités dans le registre Harbor du CERN pour les conteneurs et les machines virtuelles. Espérons qu'une nomenclature logicielle SBOM voie le jour en 2026, quel que soit son niveau de complexité.

Nous vous remercions de contribuer à rendre le CERN plus sûr en gardant une longueur d'avance, en suivant les formations adéquates et en veillant à ce que vos services et vos développements soient les plus sûrs possibles. Nous vous invitons à lire les deux prochains articles portant sur les mots de passe et l'authentification à deux facteurs, et le réseau du CERN.

______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse [email protected].