Sécurité informatique : respect de la vie pri...

View in

11 mars, 2026

|

Par Computer Security Office

Dans un environnement académique comme celui du CERN - où des personnes issues du monde universitaire gèrent des installations industrielles, où la liberté académique est nécessaire pour faire progresser la recherche et préserver la liberté de pensée, et où nos collègues circulent en permanence avec leurs nombreux appareils personnels - la recherche de pointe repose sur un écosystème numérique ouvert qui doit être protégé. Le Bureau de la sécurité informatique du CERN, chargé de protéger les activités et la réputation de l'Organisation contre tout type de cybermenace, est conscient du défi que représente la quête du juste équilibre entre liberté académique, appareils personnels et protection de notre infrastructure scientifique mondiale. Le juste équilibre consiste à protéger les activités et la réputation du CERN tout en garantissant le respect de la vie privée de notre personnel et de nos utilisateurs sur leur lieu de travail, ce qui demande de faire constamment des choix, la sécurité informatique étant, par nature, intrusive.

Pour protéger un compte, un appareil, un système ou même une organisation, une connaissance approfondie de leur fonctionnement interne est nécessaire afin de pouvoir différencier le bon du mauvais, le malveillant du bienveillant, une attaque ciblée d'une erreur commise inconsciemment, une utilisation inhabituelle d'un abus grave. C'est d'ailleurs ainsi que fonctionnent les systèmes de protection contre les intrusions basés sur le réseau ou sur l'hôte, le filtrage des courriels indésirables, ainsi que les logiciels antivirus et antimalware. Bien entendu cela entre en conflit direct avec le respect de la vie privée, la discrétion et la tranquilité. Si vous êtes libre, chez vous, de choisir à quel point vous souhaitez protéger votre vie privée, les enjeux d'une organisation comme le CERN sont différents et l'Organisation a l'obligation de se protéger. L'objectif de toute équipe de sécurité informatique, au CERN ou ailleurs, est donc de trouver le juste équilibre entre la vie privée de chacun et la sécurité de tous.

Par conséquent, étant donné que le « respect de la vie privée » occupe, à juste titre, une place importante au CERN⁽¹⁾, le Bureau de la sécurité informatique gère ses outils de prévention, de protection et de contrôle en conformité avec les meilleures normes de sécurité industrielle et en tenant compte de la protection des données et de votre vie privée. Les règles informatiques du CERN (voir la Circulaire opérationnelle n° 5 et ses règles subsidiaires), régissant le travail du Bureau de la sécurité informatique, indiquent dans quelle mesure la « sécurité » peut affecter la « vie privée ». En fait, s'il est vrai que pour assurer la sécurité il n'est pas nécessaire de respecter la vie privée, il ne peut y avoir de vie privée sans veiller à la sécurité ; cela ne signifie pas pour autant que la sécurité est primordiale dans tous les cas. À titre d'exemple, le « respect de la vie privée » est la raison principale pour laquelle le Bureau de la sécurité informatique nous encourage à crypter nos messages, tout en étant conscient que cela empêche toute inspection approfondie des paquets du trafic réseau au niveau du pare-feu périmétrique externe du CERN. Dans ce cas, le « respect de la vie privée » prime sur la « sécurité ».

Il est parfois plus difficile de trouver le juste équilibre. Prenons, par exemple la protection antimalware du CERN. Le département IT du CERN équipe seulement une partie des ordinateurs Windows gérés de manière centralisée (les PC dits « durcis ») de logiciels sophistiqués dotés de fonctions d'analyse à distance. Une version « allégée » est déployée sur tous les autres appareils Windows et MacOS appartenant au CERN (c'est-à-dire achetés avec un code budgétaire du CERN)⁽²⁾. Pour cette version allégée, le logiciel antimalware se limite à signaler la présence de virus à l'équipe gérant les ordinateurs Windows pour qu'elle en assure le suivi, les analyse et gère les incidents. Toutefois, le logiciel ne permet pas à l'équipe (ou au Bureau de la sécurité informatique) d'enquêter à distance. Le logiciel antimalware du CERN peut être installé sur vos appareils personnels gratuitement et sans conditions. Dans ce cas, il y a un juste équilibre entre « sécurité » et « respect de la vie privée ».

Tout comme l'antimalware, l'inspection automatique du trafic réseau non crypté au niveau du pare-feu, l'analyse et le filtrage automatiques de toute résolution de domaine malveillant (au niveau du DNS), le filtrage automatique des courriels indésirables et des logiciels malveillants lié au système de courrier électronique du CERN, ainsi que la collecte et l'analyse automatiques de toutes les interactions entre les utilisateurs et les services informatiques du CERN, comme LXPLUS, touchent à des données sensibles, voire personnelles - y compris de nature strictement privée⁽³⁾. Pour cette raison, mais aussi en raison de l'ampleur de l'infrastructure numérique du CERN, toutes ces données sont traitées de manière entièrement automatique, avec le moins d'interventions possibles de la part des spécialistes. De telles interventions supposent toujours un besoin professionnel pour un triage et une réponse aux incidents, comme le montrent le Registre des opérations de traitement (RoPO), la politique de confidentialité et les RoPO des différents services informatiques. Il est vrai que cela suppose d'avoir un certain degré de confiance envers les gestionnaires de services du département IT et les membres du Bureau de la sécurité informatique (et un fort sens des responsabilités de leur part !). Leurs formulaires MERIT comportent une clause spéciale indiquant que les fonctions des gestionnaires de services, qui permettent d'accéder à des données à caractère personnel ou à d'autres informations confidentielles ou sensibles, supposent le strict respect des règles énoncées dans les Circulaires opérationnelles n° 5 et n° 11, en particulier celles qui régissent la confidentialité. Tout abus de leurs fonctions est considéré comme une violation grave des règles informatiques du CERN (Circulaire opérationnelle n° 5) et fera l'objet de sanctions. Il s'agit d'une politique de tolérance zéro. Il n'y a pas de carton jaune pour faute. Un carton rouge et ils sont renvoyés.

En fin de compte, le débat « respect de la vie privée contre sécurité » se résume à une question de confiance. L'équilibre entre le respect de la vie privée et la sécurité au CERN repose sur des processus transparents, l'automatisation dans la mesure du possible, une surveillance stricte des interventions humaines nécessaires, ainsi que sur la confiance dans le professionnalisme et le respect dont font preuve le Bureau de la sécurité informatique du CERN, les membres du département informatique et tout autre spécialiste de l'Organisation traitant des données à caractère personnel. Au CERN, le « respect de la vie privée » et la « protection des données » jouent un rôle important, mais qu'en est-il en dehors du CERN ? Dans quelle mesure faisons-nous plus, ou moins, confiance à nos collègues plutôt qu'à toutes les personnes qui gèrent les services en nuage tels que ChatGPT, Gmail, Instagram ou TikTok ? Ou à ceux qui nous fournissent des suites logicielles externes ou même l'ensemble du système d'exploitation ? N'est-ce pas ainsi, avec nos données, que nous nous acquittons de leurs services « gratuits » ?