Stratégie

Comment le CERN gère ses risques IT

Comment le CERN gère ses risques IT
Le Globe de la science et de l'innovation, un centre d'accueil conçu pour informer les visiteurs sur les recherches menées au CERN. (Photo : CERN)

Le laboratoire européen de physique des particules est l'une des plus grandes institutions scientifiques au monde. Ce qui en fait une cible de choix. Pour se protéger tout en tenant compte des attentes de ses utilisateurs, le CERN mise sur les principes de la défense en profondeur.

PublicitéPeu d'institutions de recherche au monde ont l'envergure du CERN. Fondé en 1954 par douze pays européens, le laboratoire européen pour la physique des particules est situé à Meyrin, dans le canton de Genève, en Suisse, bien que ses installations s'étendent le long de la frontière franco-suisse. Parmi elles figure le Grand collisionneur de hadrons (LHC), le plus grand accélérateur de particules au monde. La collaboration internationale est au coeur de son activité : plus de 3 500 personnes y travaillent en permanence. Cette petite ville compte jusqu'à 17 000 habitants si l'on inclut le personnel scientifique d'environ 950 institutions issues de plus de 80 pays, qui collaborent aux projets du centre ou y ont collaboré en 2024. Dans cet écosystème unique, la gestion des risques informatiques représente un défi à la hauteur de l'importance de l'institution.

« Le principal problème, c'est que nous gérons une organisation immense, explique Stefan Lüders, le RSSI du CERN. Nous sommes l'un des plus importants instituts de recherche en physique des particules au monde. Nous menons des recherches pointues et passionnantes, ce qui fait de nous une cible pour les attaques de différentes communautés ». Et d'énumérer plusieurs de ces menaces potentielles : les pirates informatiques amateurs ou les hackers aux connaissances rudimentaires, qui représentent néanmoins un risque potentiel pour la sécurité ; les rançongiciels ou l'exfiltration de données ; le sabotage des travaux du CERN ; l'espionnage ; et les attaques de groupes criminels cherchant à s'infiltrer via des ordinateurs ou divers appareils.

Vaste surface d'attaque

« C'est là que le facteur humain entre en jeu. Car nous avons une communauté de chercheurs très vaste, hétérogène et en constante évolution. De nombreux physiciens rejoignent l'organisation chaque année. Ils viennent faire leur doctorat, mènent des recherches au CERN, puis partent », explique-t-il, soulignant la difficulté de « prendre soin de cette communauté d'utilisateurs. L'autre défi est le monde flexible et en constante évolution des technologies de l'information. » À cela s'ajoutent la programmation - l'importance des bibliothèques open source, leur sécurité, etc. - et l'intelligence artificielle. Plus l'IA se perfectionne, plus la probabilité de rencontrer des attaques pilotées par l'IA est élevée.

Partant de ce constat, comment garantir la mise en oeuvre efficace des initiatives de cybersécurité sans perturber le travail scientifique ? « C'est impossible, tranche le RSSI. La cybersécurité est contraignante. Il faut bien l'admettre. » Stefan Lüders compare cela au fait de verrouiller sa porte d'entrée ou d'utiliser un code PIN pour retirer de l'argent à un distributeur automatique : c'est peut-être agaçant, mais nécessaire. « Nous essayons d'expliquer à notre communauté pourquoi des mesures de sécurité sont nécessaires, explique-t-il. Et si nous ajustons nos mesures de sécurité à notre environnement, elles sont adoptées. Certes, cela complexifie légèrement la recherche, mais de façon marginale. »

Publicité« Un enjeu éminemment sociologique »

Stefan Lüders souligne le caractère central du travail de recherche. « Nous ne sommes pas une banque. Nous ne gérons pas des milliards de dollars. Nous ne sommes pas une base militaire, ce qui signifie que nous ne sommes pas responsables de la protection d'un pays. Nous menons des recherches, ce qui implique d'adapter le niveau de sécurité à la liberté académique afin qu'ils soient compatibles. Et c'est un sujet de discussion permanent avec notre communauté d'utilisateurs. » Cela inclut tant le personnel scientifique que les responsables des systèmes de contrôle industriels, le service informatique ou encore les ressources humaines. « Pour relever ce défi, il est essentiel de dialoguer avec les gens. C'est pourquoi j'insiste sur le fait que la cybersécurité est un enjeu éminemment sociologique : il faut parler aux gens, leur expliquer nos motivations. »


Stefan Lüders, RSSI du CERN, et Tim Bell, responsable de la gouvernance, des risques et de la conformité informatique de l'organisation. (Photo : D.R.)

Par exemple, tout le monde n'utilise pas facilement les systèmes d'authentification multifacteurs car, « soyons honnêtes, c'est contraignant, reconnaît le RSSI. C'est beaucoup plus simple de saisir un mot de passe, et puis même, qui a envie de saisir un mot de passe ? On veut juste se connecter. Mais pour répondre aux exigences de sécurité, nous avons aujourd'hui recours aux mots de passe et à l'authentification multifacteurs. On explique donc aux utilisateurs ce que l'on protège. On leur explique pourquoi il est important de protéger leur travail, ainsi que les résultats de leurs recherches. Et la grande majorité comprend qu'un certain niveau de sécurité est nécessaire », dit-il. « Mais c'est un défi car nous avons ici une grande diversité de cultures, de nationalités, d'opinions et d'origines. C'est à cela que nous essayons constamment de nous adapter. »

S'adapter au BYOD

Tim Bell, responsable de la gouvernance, des risques et de la conformité informatique au CERN, en charge de la continuité des activités et de la reprise après sinistre, aborde la question de l'utilisation des technologies propriétaires : « si vous êtes un visiteur universitaire, vous voudrez apporter votre ordinateur portable et l'utiliser au CERN. Nous ne pouvons pas nous permettre de confisquer ces appareils électroniques à votre arrivée. Ce serait incompatible avec la nature même de l'organisation. Cela signifie que nous devons pouvoir mettre en oeuvre des mesures de sécurité adaptée au BYOD. »

Car, au coeur de tout, reste la nature collaborative du CERN. « Le travail académique, la science ouverte et la liberté de recherche font partie intégrante de notre mission. La cybersécurité doit s'adapter à cela, observe Stefan Lüders. Nous avons 200 000 appareils BYOD sur notre réseau. » Comment cette adaptation de la cybersécurité est-elle pensée ? « On appelle cela la défense en profondeur, reprend le RSSI. Nous ne pouvons rien installer sur ces appareils car ils ne nous appartiennent pas, (...) mais nous assurons la surveillance du réseau. » Ainsi, même sans accès direct à chaque appareil, il est possible de détecter les infractions aux politiques du centre, qu'il s'agisse de cybersécurité ou d'utilisations inappropriées, comme le détournement de la technologie à des fins personnelles.

Ces mesures s'appliquent également aux systèmes obsolètes, que le CERN peut intégrer grâce à un réseau suffisamment robuste pour que la compromission d'un seul équipement n'affecte pas les autres systèmes. Le problème des technologies Legacy concerne aussi les équipements nécessaires aux expériences de physique menées au centre. « Ces équipements sont protégés par des réseaux dédiés, afin de les préserver de toute utilisation abusive », détaille Stefan Lüders. Concernant les objets connectés non conçus dans une optique de cybersécurité, « un problème qui touche tous les secteurs », le RSSI est catégorique : « la sécurité absolue des objets connectés est impossible. » La solution consiste à les connecter à des segments de réseau restreints où ils ne sont pas autorisés à communiquer avec quoi que ce soit d'autre, puis à définir quelques destinations avec lesquelles ils sont habilités à communiquer.

Expérimenter puis centraliser

Ces mesures s'inscrivent dans le cadre d'un défi plus vaste : aligner les technologies de l'information (IT) et les technologies opérationnelles (OT) afin de garantir la continuité de la sécurité dans toute l'organisation. Ce défi repose sur la centralisation. « Actuellement, les systèmes de contrôle du CERN, relevant des OT, utilisent la virtualisation de l'IT, souligne Stefan Lüders. La stratégie consiste à réunir le personnel IT et celui en charge de l'OT afin que ce dernier puisse tirer pleinement parti des services informatiques. »

Le département des technologies fournit un système central doté de diverses fonctionnalités pour les opérations, ainsi que pour d'autres domaines de l'organisation, accessible via un point d'accès unique. « C'est là toute la force de la centralisation », dit le RSSI. Ce système intègre également de nouveaux outils, tels que les outils d'IA, dans le cadre du programme LLM, où un groupe de travail étudie les meilleures façons de les mettre en oeuvre. « Nous sommes face à une avancée majeure, que nous centraliserons ultérieurement via un service IT central. C'est ainsi que nous abordons toutes les technologies. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis