n°35
Novembre
2016
La sécurité des systèmes d’information, suis­-je concerné ?

L’essentiel de la production scientifique du CNRS (et de l’IN2P3) est dématérialisé, stocké sous forme de fichiers ou de bases de données. Il est indispensable de les protéger et d’en permettre l’accès aux différentes personnes habilitées. Ceci a des implications (personnel, moyens financiers, contraintes...) sur les moyens et sur les méthodes de stockage, d’accès et de partage de ces données.

La sécurité de ces systèmes d’information repose sur trois piliers fondamentaux :

  • Confidentialité : les informations ne doivent être accessibles qu’aux seules personnes autorisées ou habilitées. Vous seuls, créateurs d’information, en connaissez le degré de confidentialité !
  • Intégrité : les données ne doivent être modifiées que par une action légitime et volontaire.
  • Disponibilité : le système doit répondre aux sollicitations des utilisateurs autorisés dans un délai imparti, propre à chaque application et/ou système.

Dans les laboratoires, ce sont les Administrateurs des Systèmes et Réseaux (ASR) qui gèrent les matériels et les systèmes d’exploitation. Ils mettent en place les règles qui tentent d’empêcher des intrus (ou personnes non autorisées) d’accéder à vos données. Ils mettent également en place des moyens de pallier aux pannes matérielles, par exemple par des solutions de sauvegarde, à condition que vous les utilisiez !

Mais nous tous, en tant qu’utilisateurs, devons nous mobiliser pour mettre en œuvre un ensemble de mesures, dont nous listons ci­-dessous les principales.

  • Adopter une politique de mots de passe rigoureuse. Les mots de passe sont utilisés pour donner les droits d’accès à nos machines. Il est ESSENTIEL d’avoir un mot de passe complexe, idéalement différent sur chaque plateforme (empêchant un effet de cascade en cas de compromission). Complexe veut dire au MINIMUM 10 caractères avec un mélange de minuscules, majuscules, chiffres et caractères spéciaux, et en les changeant régulièrement. Il ne faut JAMAIS communiquer ce mot de passe en réponse à quelque sollicitation que ce soit, même de la part de vos collègues ou de vos administrateurs.
  • Identifier qui peut avoir accès à vos fichiers et gérer vos droits d’accès. Vos fichiers sensibles (c.à.d confidentiels) ne doivent pas être accessibles sur vos ordinateurs ou sur des clefs USB sans protection. Ceci implique notamment de chiffrer ces documents et de restreindre leur accès. Sans vouloir fermer dès le lendemain du départ un compte d’un visiteur ou d’un ancien collègue, il est aberrant de laisser des comptes ouverts et sans surveillance sur nos systèmes d’information, et ce souvent pendant des années. Vous devez aider vos ASR en signalant les comptes expirés de vos stagiaires.
  • Sécuriser les postes de travail, les serveurs, le réseau et les accès aux locaux. Il faut être conscient qu’un accès physique sur vos ordinateurs permet de s’en rendre maître. Seul un chiffrement intégral permet de limiter ces accès. Un poste non verrouillé est aussi ouvert à tous ! Un poste non mis à jour est également vulnérable. Ce sont les ASR qui gèrent les serveurs et ordinateurs fixes. Cependant vous êtes nombreux à être « administrateurs » de vos portables. Et rares sont ceux qui ont à l’esprit les conséquences potentiellement désastreuses d’une mauvaise gestion de leur poste. L’utilisation d’un réseau non sûr est également problématique. Dans les laboratoires, les ASR appliquent des règles de filtrage. Mais, en dehors, rien ne garantit que personne ne capte les informations qui transitent, par exemple sur le réseau d’un hôtel. Il faut alors utiliser uniquement des communications chiffrées (SSH, IMAPS, HTTPS...)
  • Se tenir informé des pièges les plus grossiers. Vous recevez de nombreux messages, parfois troublants, indiquant par exemple l’utilisation de votre compte mail depuis l’extérieur et vous enjoignant de le vérifier au moyen du lien fourni... lequel est faux et permet au pirate l’obtention du compte et du mot de passe. Les conséquences peuvent être importantes, car ces comptes piratés servent de relais de publicité et d’hameçonnage [1] [2] (« phishing » en anglais). De nombreuses listes noires repèrent ce comportement. Le risque est de voir apparaître dans ces listes votre adresse mail et celles de votre laboratoire, provoquant l’impossibilité de communiquer par mail avec certaines personnes.
  • Surveiller vos équipements personnels. Jusqu’à présent, on parlait d’équipements du laboratoire. Mais vous êtes nombreux à utiliser d’autres moyens informatiques, souvent personnels. Les téléphones portables en sont un bon exemple. Et là vous êtes seuls ! Pas d’ASR pour installer, mettre à jour, surveiller vos équipements. De plus vous les connectez au réseau informatique, vous lisez et modifiez vos documents, vous envoyez des mails... En cas de vol (ou de perte !), il faut prévenir vos ASR pour prendre toutes les mesures conservatoires visant à limiter les conséquences (changement de mot de passe, révocation des accès...).

Vous avez donc bel et bien un rôle important à jouer dans la sécurité du système d’information. Vous devez en prendre conscience. Il faut également faire remonter toute observation de comportement anormal en discutant avec votre correspondant local (CSSI).

Thierry MOUTHUY (CPPM - Chargé de mission SSI IN2P3)

[1] http://www.hoaxbuster.com/hoaxliste...

[2] http://www.ssi.gouv.fr/entreprise/p...