Nouveaux tests d’intrusion prévus au CERN

View in

26 mars, 2026

|

Par Computer Security Office

À l'issue de l'audit de cybersécurité de 2023, conclu avec succès, une nouvelle série d'évaluations des vulnérabilités, de tests d'intrusion et d'analyses de la cybersécurité seront réalisées en 2026. Certains sont obligatoires et menés régulièrement - par exemple lors de l'acquisition de nouveaux équipements informatiques, de logiciels, ou de matériel comportant un élément informatique, lorsque le CERN lance de nouveaux projets en lien avec les technologies de l'information, ou encore lors de la migration de services informatiques essentiels vers une version améliorée. D'autres, en revanche, sont plus ponctuels et réalisés à l'initiative du Bureau de la sécurité informatique. Voici un bref aperçu de la suite.

Bien que l'audit 2023 sur la cybersécurité ait été officiellement clôturé par les auditeurs du CERN à la fin de l'année dernière, la mise en œuvre de certaines de leurs recommandations n'a pu être programmée que pour 2026, en raison soit de la complexité des préparatifs requis, soit de l'impact significatif que cela aurait sur le fonctionnement des accélérateurs et des expériences ; leur mise en œuvre a donc été reportée au troisième long arrêt (LS3). En 2026 nous verrons également la conclusion technique des points d'audit restants, tels que le passage à des mots de passe de 15 caractères (phrases de passe), le déploiement de l'authentification à deux facteurs pour les machines virtuelles utilisées dans le développement de logiciels d'accélérateurs, le nouveau réseau wifi chiffré (basé sur WPA3), la mise en œuvre technique des règles informatiques du CERN, ainsi que le déploiement de protections par pare-feu dédiées pour le réseau technique du CERN et, en 2027, pour le réseau du campus. Il reste donc encore d'importants efforts à fournir.

Et ce n'est pas fini : fin 2025, le Bureau de la sécurité informatique a mandaté une entreprise externe pour réaliser un test d'intrusion sur le service d'annuaire Active Directory (AD) du CERN. En se comportant comme de véritables pirates, ses experts devaient identifier les éventuelles faiblesses et vulnérabilités d'Active Directory susceptibles de leur permettre la prise de contrôle de l'infrastructure informatique du CERN. Sans surprise, ils ont mis en évidence plusieurs pistes d'amélioration. Ainsi, en 2026, diverses modifications seront apportées à la configuration AD et sa configuration LDAP (Lightweight Directory Access Protocol), notamment la généralisation des protocoles sécurisés tels que LDAPS, l'introduction de la signature SMB, le durcissement des chemins UNC, la suppression de protocoles (de chiffrement ) non sécurisés, ainsi que la modification de certains mots de passe internes. Si nombre de ces changements se feront en coulisse, d'autres pourraient avoir un impact sur le CERN en général. Mais comme d'habitude, toutes les interventions correspondantes seront annoncées à l'avance.

Par ailleurs, afin de mieux comprendre l'hygiène des mots de passe au CERN et d'accompagner la transition en coursdes mots de passe de huit caractères d'une certaine complexité (symboles, chiffres et lettres majuscules/minuscules) vers des mots de passe d'au moins 15 caractères, le Bureau de la sécurité informatique a fait appel à une entreprise spécialisée pour intervenir sur site et tester la qualité des mots de passe des comptes principaux, secondaires et de service du CERN, qui sont gérés de manière centralisée, en garantissant le respect de la confidentialité. Les personnes détenant des comptes avec des mots de passe peu sûrs seront informés et invités à les améliorer.

Un audit complet des vulnérabilités est également prévu dans le but de détecter les failles, les erreurs de configuration et les vulnérabilités. Il portera sur des milliers de sites web publics, accessibles sur internet et hébergés au CERN (et non protégés par le système d'authentification unique du CERN - « Single Sign-On »), ainsi que sur des centaines de serveurs accessibles depuis internet. L'appel d'offres correspondant est en cours, et l'audit devrait être réalisé durant l'été 2026 , et les problèmes identifiés seront corrigés dans la foulée. Les responsables des sites web ou des serveurs nécessitant des améliorations seront contactés directement. D'ores et déjà, un grand merci pour votre réactivité face à d'éventuels problèmes !

Enfin, le Bureau de la sécurité informatique donne rendez-vous le 1er avril au Restaurant n° 2 du CERN à toutes les personnes intéressées à mener une série de tests d'intrusion. N'hésitez pas à nous rejoindre !

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse [email protected].