Sécurité informatique : systèmes de contrôle ...

View in

12 novembre, 2025

|

Par Computer Security Office

Nous avons vu dans les deux derniers Bulletins que la cybersécurité des systèmes de contrôle est un point névralgique, et qu'il est difficile de changer de cap dans ce domaine. Pourtant, avec des pertes quotidiennes de 250 000 dollars des États-Unis pour le laboratoire ALMA, il n'est plus possible pour un laboratoire de physique ou une collaboration de ne pas prendre en compte le risque de cyberattaque. Un changement de paradigme, lent mais continu, s'est opéré au cours de la dernière décennie, mais cette évolution reste trop lente face à la rapidité avec laquelle les technologies de l'information évoluent et les cybercriminels s'adaptent.

Le présent article ne prétend pas proposer un guide complet pour la mise en œuvre et le déploiement d'un programme de cybersécurité exhaustif, mais nous pouvons vous recommander déjà de premières mesures :

• Obtenir l'adhésion de la Direction, qui doit prendre acte des risques liés aux cyberattaques et adopter une approche active et volontariste : analyser et hiérarchiser ces risques, soutenir les mesures de contrôle et d'atténuation, et accepter d'éventuels risques résiduels.
• Faire évaluer la cybersécurité par un tiers qualifié, en s'appuyant sur les bonnes pratiques définies par des référentiels tels que la norme internationale ISO 27k, la série de publications spéciales NIST 800, le manuel allemand BSI Grundschutz, le cadre Trusted CI soutenu par la Fondation nationale pour la science (NSF) des États-Unis, ou encore le cadre CISv8, plus pragmatique et détaillé.
• Déployer l'authentification multifacteur comme solution incontournable pour tous les comptes informatiques, en particulier ceux utilisés pour se connecter à distance en ligne et pour accéder aux systèmes de contrôle et de sécurité.
• Segmenter les réseaux en leur attribuant des fonctions dédiées : services de centre de données, systèmes de contrôle, équipements du campus. Contrôler le trafic entre ces zones jusqu'au niveau des adresses IP source et destination, ainsi que des ports et services utilisés.
• Soumettre à des tests d'intrusion tous les systèmes, qu'ils soient achetés à l'extérieur ou développés en interne, afin de détecter les erreurs de configuration, les faiblesses et les vulnérabilités. Idéalement, faire intervenir les tests d'intrusion dès la phase de conception et d'architecture.
• Contrôler les pipelines CI/CD afin que le code non validé soit d'abord vérifié (les outils modernes comme GitLab ou OpenStack intègrent des scanners de vulnérabilité tels que Harbor, Secret Scanning ou SAST). Mettre en place un contrôle systématique des machines virtuelles, conteneurs, paquets et bibliothèques logicielles importés de l'extérieur. Éviter une utilisation à l'aveugle de PyPI et de NPM et instaurer à la place un processus de validation et de sélection des logiciels.
• Conserver des sauvegardes immuables de l'ensemble des données, des fichiers d'installation et de configuration, ainsi que des systèmes d'exploitation et d'exécution associés, afin de pouvoir rétablir l'état initial à partir de zéro (au cas où l'ensemble de l'infrastructure informatique serait compromis). Tester régulièrement ces sauvegardes.
• Former l'ensemble des experts, des développeurs et des opérateurs à la compréhension des risques et des mesures d'atténuation, afin qu'ils adhèrent aux dispositifs de sécurité renforcés et contribuent à améliorer la sécurité de leurs systèmes de contrôle.

En réalité, les équipes informatiques et opérationnelles du CERN, c'est-à-dire ceux qui assurent les systèmes de contrôle et de sécurité des accélérateurs, des expériences et des infrastructures, appliquent déjà les recommandations ci-dessus, en les mettant en œuvre de la manière la plus complète et rigoureuse possible. La raison : éviter à tout prix les incidents « cygnes noirs ».

Nous vivons dans un monde où les systèmes de contrôle et les systèmes informatiques sont en symbiose, avec tous les avantages et inconvénients que cela suppose. De même, les systèmes de contrôle des accélérateurs et des grandes expériences de physique adoptent les technologies informatiques modernes afin d'obtenir des boucles de contrôle plus précises, un traitement et un développement plus rapide, une maintenance facilitée, ainsi que des économies de coûts et de ressources. Cela les rend toutefois vulnérables aux menaces de cybersécurité courantes auxquelles sont exposés les systèmes informatiques classiques, comme l'ont montré différents incidents aux conséquences dévastatrices.

Par conséquent, il est plus que jamais important que les experts et développeurs de systèmes de contrôle, ainsi que les responsables de l'exploitation des systèmes de contrôle des accélérateurs et des expériences, commencent à investir davantage dans la cybersécurité de leurs installations, à adopter les bonnes pratiques et les normes en vigueur, à analyser les risques résiduels, en finançant les mesures d'atténuation correspondantes, ou en décidant d'accepter ces risques. Il s'agit de limiter les dégâts, car la question n'est pas de savoir si les systèmes font faire l'objet d'une cyberattaque ; il est certain que de telles attaques vont se produire à un moment ou à un autre. Il vaut mieux prévenir que guérir.

Cet article est une version abrégée de l'article paru dans les actes de l'édition 2025 de la conférence ICALEPCS.

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse suivante : [email protected].