Le Laboratoire européen de physique des particules élémentaires est l’une des principales institutions scientifiques au monde. Le sécuriser contre les risques informatiques est un défi en constante évolution.
Il existe peu d’institutions de recherche dans le monde ayant la taille et la portée de l’Organisation européenne pour la recherche nucléaire, le CERN. Fondé en 1954 par 12 pays européens, le Laboratoire européen de physique élémentaire des particules est situé dans la ville suisse de Meyrin, dans le canton de Genève, bien que ses installations s’étendent le long de la frontière franco-suisse. Parmi eux se trouve le Grand collisionneur de hadrons (LHC), le plus grand accélérateur de particules au monde. La collaboration internationale est au cœur de son origine : plus de 3 500 personnes composent son effectif permanent. Un petit village qui s’étend jusqu’à 17 000 personnes en ajoutant le personnel scientifique d’environ 950 institutions de plus de 80 pays différents qui collaborent aux projets du centre. Dans cet écosystème local, la gestion des risques informatiques constitue un défi.
«Le principal problème est que nous gérons une organisation énorme», explique Stefan Lüders, RSSI du CERN. « Nous sommes l’un des instituts de recherche en physique des particules les plus importants de la planète. Nous faisons des choses sophistiquées et intéressantes, ce qui fait de nous une cible pour les attaques de différentes communautés. » Il énumère plusieurs de ces menaces potentielles : les pirates informatiques possédant des connaissances de base, qui présentent tous un risque potentiel pour la sécurité ; ransomware ou exfiltration de données ; sabotage des travaux du CERN; actions d’espionnage et groupes criminels tentant de s’infiltrer via des ordinateurs ou d’autres appareils.
« C’est là que les gens entrent en jeu. Parce que nous avons une communauté de recherche très vaste, hétérogène et très fluctuante. De nombreux physiciens rejoignent l’organisation chaque année. Ils viennent et repartent pour faire leur doctorat, faire de la recherche au CERN puis repartent », décrit-il, soulignant le défi de « prendre soin de cette communauté d’utilisateurs. L’autre défi est le monde flexible et en évolution rapide de l’informatique ». Cela inclut la programmation (importation de bibliothèques open source, leur sécurité, etc.) et l’IA. « Plus l’IA devient sophistiquée, plus il est probable que ces outils de sécurité ou d’attaque basés sur l’IA tentent d’infiltrer l’organisation. »
Sécuriser le CERN
Comment garantir une mise en œuvre efficace des initiatives de cybersécurité qui ne perturbent pas le travail scientifique ? «Ce n’est pas possible», affirme Lüders. « La cybersécurité n’est pas pratique. Soyons réalistes. » Lüders assimile cela au verrouillage de votre porte d’entrée ou à l’utilisation de votre code PIN pour retirer de l’argent du distributeur automatique ; ils peuvent être ennuyeux, mais nécessaires. « Nous essayons d’expliquer à notre communauté pourquoi des mesures de sécurité sont nécessaires », dit-il. « Et si nous adaptons nos mesures de sécurité à notre environnement, les gens les adoptent. Oui, cela complique un peu la recherche, mais seulement un peu. »
Lüders insiste sur le facteur travail de recherche. « Nous ne sommes pas une banque. Nous n’avons pas de milliards de dollars. Nous ne sommes pas une base militaire, ce qui signifie que nous n’avons pas à protéger un pays. Nous faisons de la recherche, ce qui signifie adapter le niveau de sécurité et le niveau de liberté académique pour que les deux vont de pair. Et c’est une conversation permanente avec notre communauté d’utilisateurs. » Cela va du personnel scientifique à la gestion des systèmes de contrôle industriels, en passant par l’informatique ou les ressources humaines. « Pour relever ce défi, il est essentiel de parler aux gens. C’est pourquoi, j’insiste, la cybersécurité est un enjeu très sociologique : parler aux gens, leur expliquer pourquoi on fait ça. »
Par exemple, tout le monde n’utilise pas volontiers l’authentification multifacteur car « avouons-le, c’est pénible. Il est beaucoup plus facile de saisir un mot de passe, et qui veut même saisir un mot de passe ? Vous voulez simplement vous connecter. Mais pour les besoins de protection, nous avons aujourd’hui des mots de passe et une authentification multifacteur. Vous expliquez donc aux gens ce que vous protégez. Nous leur expliquons pourquoi il est important de protéger leur travail, ainsi que les résultats de la recherche. Et la grande majorité comprend qu’il faut un certain niveau de sécurité », dit-il. « Mais c’est un défi car il y a tellement de cultures différentes ici, de nationalités différentes, d’opinions et de pensées différentes, et d’horizons différents. C’est à cela que nous essayons constamment de nous adapter. »
L’utilisation de technologies propriétaires peut présenter des risques, selon Tim Bell, responsable de la section Gouvernance informatique, risques et conformité du CERN, responsable de la continuité des activités et de la reprise après sinistre. « Si vous visitez une université, vous souhaiterez apporter votre ordinateur portable et l’utiliser au CERN. Nous ne pouvons pas nous permettre de retirer ces appareils électroniques à votre arrivée sur place. Cela serait incompatible avec la nature de l’organisation. L’implication est que nous devons être en mesure de mettre en œuvre des mesures de sécurité de type BYOD. »
Parce qu’au cœur de tout reste toujours la nature collaborative du CERN. « Les articles universitaires, la science ouverte et la liberté de recherche font partie de nos priorités.. La cybersécurité doit s’adapter à cela », note Lüders. « Nous avons 200 000 appareils sur notre réseau qui sont BYOD. » Comment s’applique alors l’adaptation de la cyberprotection ? « Cela s’appelle la défense en profondeur », explique le RSSI. « Nous ne pouvons rien installer sur ces terminaux car ils ne nous appartiennent pas, (…) mais nous avons une surveillance du réseau. » De cette façon, même si vous n’avez pas d’accès direct à chaque appareil, vous êtes averti lorsque quelque chose est fait à l’encontre des politiques du centre, tant au niveau de la cybersécurité que des utilisations inappropriées, comme l’utilisation de la technologie fournie pour des intérêts particuliers.
Ces mesures s’étendent également aux systèmes obsolètes, que l’organisation est capable d’assimiler car ils disposent d’un réseau suffisamment résilient pour que même si un équipement est compromis, il n’endommagera aucun autre système du CERN. Le problème de la technologie héritée s’étend à l’équipement nécessaire aux expériences de physique réalisées au centre. «Ceux-ci sont protégés par des réseaux dédiés, ce qui permet à la protection du réseau d’intervenir et de les protéger contre tout type d’abus», explique Lüders. Concernant les appareils connectés à l’IoT qui ne sont pas conçus pour la cybersécurité, « un problème pour tous les secteurs », Lüders est direct : « Vous n’obtiendrez jamais de sécurité dans les appareils IoT. » Sa solution consiste à les connecter à des segments de réseau restreints où ils ne sont pas autorisés à communiquer avec quoi que ce soit d’autre, puis à définir des destinations vers lesquelles ils peuvent communiquer.
Cadre général
Cela fait partie d’un défi plus vaste : aligner les côtés IT et OT afin que la continuité de la sécurité soit établie dans toute l’organisation. Un défi qui passe par la centralisation. «Aujourd’hui, la partie OT, c’est-à-dire les systèmes de contrôle du CERN, utilise la virtualisation informatique», explique Lüders. « La stratégie consiste à rassembler les responsables informatiques et de contrôle afin que ceux-ci puissent utiliser les services informatiques à leur avantage. Depuis le département technologique, un système central est doté de différentes fonctionnalités pour les opérations, ainsi que pour d’autres domaines de l’organisation, accessibles via un point d’entrée unique. « C’est le pouvoir de la centralisation. » Ce système comprend également de nouveaux outils tels que les outils d’IA en LLM, où ils ont mis en place un groupe de travail pour trouver la meilleure façon de les utiliser. « Nous sommes face à une grande découverte et, plus tard, nous la centraliserons via un service informatique central. Et c’est ainsi que nous procédons avec toutes les technologies.
Tout comme les sujets sur lesquels ils étudient au CERN, leur cadre de gouvernance informatique évolue également. Cela a suivi les évolutions du secteur, explique Bell, parallèlement à des audits qui lui permettent de fonctionner selon les meilleures pratiques. « La partie gouvernance devient plus formelle. En général, tout était bien organisé ; il s’agissait simplement de le standardiser et de développer des cadres politiques autour de cela. » Malgré l’établissement de ces normes, le résultat est à l’opposé de la rigidité, explique Bell, qui illustre cela avec le cas d’un récent audit de cybersécurité dans lequel le CERN a été évalué par rapport à l’une des normes internationales, ce qui a permis d’améliorer le niveau de maturité. « Nous adoptons une politique de gouvernance informatique assez flexible, tirant les leçons de l’expérience des autres en matière d’adoption des normes de l’industrie. »
