Sensibilisation de Cyber Sécurité Liberté académique vs. Operations vs. Sécurité CERN Computer...

Sensibilisation deCyber Sécurité

Liberté académique vs. Operations vs. Sécurité

CERN Computer Security Team (2010)S. Lopienski, S. Lüders, R. Mollon, R. Wartel

“Protecting Office Computing, Computing Services, GRID & Controls”

Dr. Stefan Lüders (CERN IT/CO) ― DESY ― 20. Februar [email protected] — “Sensibilisation de Cyber Sécurité” — transp. 2

ABC de la sécurité informatique

Un système est aussi sûr que son lien le plus faible:► L’attaquant choisit l’heure, le lieu et la méthode

► Le défenseur doit se protéger de toutes les attaquespossibles (celles connues, et celles qui serontdécouvertes ensuite)

La sécurité est une propriété (pas une fonctionalité)

La sécurité est un process permanent (pas un produit)

La sécurité ne peut pas être prouvée

La sécurité parfaite n’existe pas, il faut se contenter de 100%-ε.► Au CERN, VOUS définissez ε !!!

Note: En anglais «security» n’est pasun synonyme de «safety».

VOUS êtes responsables de sécuriser vos services &

systèmes:

►En tant qu’utilisateur, développeur, expert système ou administrateur

►En tant que chef de projet ou d’équipe

►En tant que membre du CERN et sa hiérarchie


Le CERN est attaqué en permanence… même à cet instant.Services disponibles depuis internet constamment examinés

par:►… des attaquant essayant de trouver des mots de passes par force brute;►… des attaquant essayant de pénétrer dans des applications Web;►… des attaquant essayant de prendre le contrôle de serveurs

Utilisateurs ne prennent pas les précautions suffisante contre:►… des attaquant essayant de collecter des mots de passe►… des attaquant essayant de voler des mots de passes par hameçonnage

Des incidents se produisent:►Sites et services web, interface de bases

de données, nœuds de calcul, comptes email…►Le réseau des bureaux du CERN est assez libre:

connections en libre service et beaucoup de visiteurs.Il y a donc toujours des machines infectées ou compromises

Sous attaques permanentes

VOUS êtes responsables d’empêcher incidents de sécurité

d’arriver

►En tant qu’utilisateur, développeur, expert système ou administrateur

►En tant que chef de projet ou d’équipe

►En tant que membre du CERN et sa hiérarchie


Restez vigilant !!!

Adresses emailpeuvent être falsifiée !

Arrêtez le «hameçonnage»:

Aucune raison légitime pour qu’on vous demandevotre mot de passe !

Ne faites pas confiance

à votre navigateur web


Utilisez la «règle du moindre privilège»►Protégez comptes/fichiers/services/systèmes contre les accès non autorisés►Les mots de passe ne doivent pas être partagés ou devinable facilement►Protégez l’accès aux équipements non surveillés

Les utilisateurs du services d’emails ne doivent pas :►Envoyer de mail bombs, SPAM, chaines or de faux e-mails ou articles

Les utilisateurs de PC doivent :►Utiliser un logiciel anti-virus et

appliquez les mises à jour de sécurité régulièrement►Agir immédiatement pour limiter les conséquences d’un incident de sécurité

Les utilisateurs du réseau du CERN doivent:►Collaborer pour résoudre les problèmes pouvant nuire au réseau du CERN►Ne faire aucune modification non autorisée au réseau du CERN

Circulaire opérationnelle #5

http://cern.ch/ComputingRules


L’utilisation personnelle des ressources est tolérée si:►La fréquence et durée d’utilisation sont limitées et les ressources utilisées

négligeables►L’utilisation n’est pas: illégale, politique, commerciale, inappropriée,

choquante, ou faite au détriment du travail►L’utilisation ne viole pas les lois applicables dans les pays hôtes du CERN►INTERDIT: Consultation de contenu pornographique ou illicite

(ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale)

Utilisation professionnelle sous conditions:►Applications pouvant poser certains problèmes réseau ou de sécurité►ex: Skype, IRC, ToR, P2P (eDonkey, BitTorrent, …)

http://cern.ch/security/software-restrictions

Respect de la confidentialité et des copyrights►Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits

Circulaire opérationnelle #5

http://cern.ch/ComputingRules


La sécurité est un procès permanent etne peut être efficace qu’a 100%-

ε.

VOUS êtes responsables de sécuriser vos services (i.e. ε):► En tant qu’utilisateur, développeur, expert système ou administrateur► En tant que chef de projet ou d’équipe

Donc:► Soyez vigilant !► Eliminez les vulnérabilités: empêchez les incidents d’arriver► Vérifiez les droits d’accès et respectez la «Règle du moindre privilège»► Rendez la sécurité une propriété du système:

vérifier configuration et méthodes de programmation► Accordez des ressources et financements à la sécurité

L’équipe de sécurité du CERN peut vous aider.

Résume


Formation sécurité informatique


http://cern.ch/security [email protected]

Pierre Charrue (BE),Peter Jurcso (DSU), Brice Copy (EN), Flavio Costa (FP),

Timo Hakulinen (GS), Catharina Hoch (HR), Stefan Lüders (IT), Joel Closier (PH), Gustavo Segura (SC), Vittorio Remondino (TE)

Peter Chochula (ALICE),Giuseppe Mornacchi (ATLAS), Eric Cano (CMS),

Gerhart Mallot (COMPASS), Niko Neufeld (LHCb),Alberto Gianoli (NA62), Francesco Cafagna (TOTEM),

Technical-Network Administrator (TN) .

Plus d’informations...

CERN Computing Rules OC#5, conditions générales d'utilisation & infos sur la sécurité:Signalez d’éventuels incidents:

Contacts de sécurité (départements):

Contacts de sécurité (Expériences):

Sensibilisation de Cyber Sécurité Liberté académique vs. Operations vs. Sécurité CERN Computer...

Documents

Transcript of Sensibilisation de Cyber Sécurité Liberté académique vs. Operations vs. Sécurité CERN Computer...