Politique de confidentialité de l’équipe de sécurité informatique du CERN

2017/4/27 by CSO

Introduction

L’équipe de sécurité informatique du CERN accorde beaucoup d’importance à la protection des données personnelles collectées par elle ou auxquelles elle a accès. Le présent document décrit dans quelles conditions et à quel moment les informations vous concernant ou concernant votre utilisation des infrastructures informatiques sont recueillies, lues, utilisées ou communiquées par ses soins, ainsi que la façon dont ces informations sont protégées.

Champ d’application

La présente politique de confidentialité s’applique à toutes les personnes ayant accès aux infrastructures informatiques du CERN ou utilisant ces infrastructures, y compris les sites web hébergés au CERN. Elle vient compléter les règles informatiques du CERN, définies dans la Circulaire opérationnelle Nº5 (« l’Utilisation des installations informatiques du CERN »), en particulier son annexe, ainsi que la Circulaire administrative Nº10 (« Le dossier personnel administratif et les autres fichiers de données personnelles »).

Collecte et utilisation des informations

L’équipe de sécurité informatique du CERN enregistre l’historique de votre utilisation des infrastructures informatiques du CERN afin de pouvoir détecter et analyser tout usage abusif de ces infrastructures ainsi que toute autre infraction aux règles informatiques du CERN, en temps réel ou a posteriori.

Les données recueillies sont des informations sur vos accès numériques aux infrastructures informatiques du CERN, y inclus l’accès aux réseaux filaires ou sans fil, les échanges non chiffrés de données avec des services externes sur Internet ainsi que toutes vos activités liées aux clusters de calcul interactifs et aux services web du CERN. Ces données, toujours accompagnées d’un horodatage précis, comportent les éléments suivants :

  • les informations de connexion de vos appareils aux réseaux filaires ou sans fil du CERN (méta-données ARP et DHCP) ;
  • les requêtes de vos appareils aux serveurs de nom de domaine du CERN ;
  • des informations concernant les communications réseaux, recueillies au niveau du pare-feu reliant le CERN à Internet et au niveau de plusieurs frontières entre réseaux internes du CERN. Ces informations sont :
    • les éléments « NetFlow » produits par les routeurs, qui contiennent les métadonnées de connexion : adresse IP et port de la source et de la destination, durée et charge de la connexion ;
    • des données couvrant la totalité des communications web non chiffrées, en particulier l’URL de la page, le référent, le nom du serveur ;
    • la capture complète (sous forme de fichier « pcap ») des communications réseau jugées suspectes par nos systèmes de détection d’intrusion ;
  • les informations relatives aux connexions via le portail d’authentification unique du CERN (« CERN SSO ») ainsi qu’aux connexions et déconnexions SSH ou RDP concernant les clusters de calcul interactifs, y compris les adresses IP et noms de domaine de la source et de la destination ;
  • les données générées par vos activités au cours d’une session utilisateur instanciée sur l’un des clusters de calcul interactifs (par exemple ADM/BATCH/PLUS/SWAN), à savoir :
    • toute commande, paramètres inclus, saisie ou exécutée dans le contexte de votre session utilisateur ;
    • toutes les métadonnées relatives aux activités réseau réalisées au cours de votre session ;
  • les données générées par votre activité lors de l’accès à des pages web hébergées par l’infrastructure informatique du CERN, à savoir l’URL de la page, le référent, le nom du serveur.

De plus, afin de détecter de façon proactive toute tentative malveillante d’utilisation abusive de vos comptes, de vos appareils ou de vos données, tout défaut de configuration ou toute vulnérabilité de ceux-ci, ainsi que toutes infractions aux règles informatiques du CERN l’équipe de sécurité informatique, en collaboration avec les fournisseurs du service en cause, analyse automatiquement :

  • vos courriels et leurs pièces jointes, reçus de l’extérieur du CERN ou envoyés vers l’extérieur du CERN (opération communément appelée « filtrage des SPAM ») ;
  • vos appareils connectés aux réseaux filaires ou sans fil du CERN, afin de déceler les faiblesses ou vulnérabilités (en utilisant par exemple « nmap » ou « OpenVAS ») ;
  • vos appareils sous Microsoft Windows configurés centralement et utilisant le logiciel anti-virus centralisé ;
  • vos fichiers stockés sur un des systèmes de fichier centraux du CERN (en utilisant par exemple le logiciel anti-virus centralisé ou des outils spécifiques de détection des défauts de configuration).

Enfin, dans le cadre de son mandat défini par les règles informatiques du CERN, l’équipe de sécurité informatique est habilitée à demander communication de toute autre donnée collectée, pour faire suite à des incidents de sécurité informatique ou à des infractions aux règles informatiques du CERN.

Sécurité et conservation des informations

Les données d’historique sont stockées au moyen des services et infrastructures fournis par le département IT du CERN. Le CERN fait tout son possible pour protéger ces données contre les tentatives d’accès, de modification, de communication ou de destruction non autorisés (voir aussi le document « CERN's Digital Privacy Statement »). L’expérience a montré qu’une durée de conservation d’un an est suffisante pour l’analyse a posteriori d’incidents de sécurité, mais ce point est réexaminé périodiquement. Les données relatives à des usages abusifs des infrastructures informatiques du CERN ou à toute autre infraction aux règles informatiques du CERN sont conservées indéfiniment.

Accès et communication à des tiers

Conformément aux règles informatiques du CERN, l’accès aux données collectées est limité aux membres de l’équipe de sécurité informatique du CERN, c’est-à-dire à un nombre limité de personnes nommément désignées par le délégué à la sécurité informatique du CERN, et n’est autorisé que dans le cas où des activités suspectes ou des activités constituant potentiellement une infraction des règles informatiques du CERN, liées à votre activité, vos comptes ou vos appareils, a été détectée par l’équipe de sécurité informatique ou signalée à celle-ci. Dans de tels cas, l’équipe de sécurité informatique ne peut conserver ou communiquer cette information que si le CERN le juge nécessaire pour des raisons juridiques, pour sauvegarder la sécurité d’une personne, pour traiter des cas de fraude, des incidents de sécurité ou des incidents techniques, ou pour protéger les droits ou les biens du CERN. En particulier, elle se réserve le droit de communiquer sans délai à des tiers tout ou partie de vos données dans le but d’éviter un dommage supplémentaire qui pourrait être subi par vous ou par vos comptes, appareils ou données.

Révisions

La présente politique de confidentialité peut faire l’objet de révisions périodiques. Les versions précédentes du document sont archivées et accessibles ici:

Toutes les polices de confidentialité standardisées CERN peuvent être trouvées sur le portail « ServiceNow ».