Notre démarche d'excellence Notre démarche d'excellence

Sécurité : assurer la confiance dans le .fr

Accueil > Association d’excellences > Notre démarche d’excellence > Sécurité : notre engagement fiabilité

Responsables de l’infrastructure matérielle et logicielle derrière les opérations françaises de noms de domaine, nous veillons à la stabilité et à la sécurité de l’internet en France.

L’Afnic met tout en œuvre pour maintenir un haut niveau de qualité, de sécurité et de continuité de service pour les extensions internet dont elle a la charge. 

Pour garantir ce haut niveau d’exigence, notre approche est celle d’une amélioration continue, en constante recherche de l’équilibre entre la conformité à des standards toujours plus élevés, la résilience et l’agilité.

Un SMSI certifié ISO 27001

L’Afnic a toujours fait de la sécurité une de ses priorités majeures. La mise en place du Système de management de la sécurité de l’information (SMSI) a permis de la rendre plus tangible encore. Inscrite dans la convention établie avec l’Etat en 2012, la certification ISO 27001, obtenue en 2016, garantit à nos parties prenantes cet engagement de tous les instants. 

Renouvelée par l’Afnor en 2019, la certification couvre les services essentiels de la gestion du .fr :

  • La résolution de DNS (nom de domaine) et le protocole DNSSEC
  • L’annuaire du .fr (Whois)
  • Le système d’enregistrement partagé (SRS)
  • Le service de séquestre (sauvegarde quotidienne des données du .fr)
  • La base de données du registre

Depuis 2020, le périmètre a été étendu aux registres ultramarins (.pm, .re, .tf, .wt et .yt). Et, avec la refonte de notre système d’information, il sera formellement étendu à toutes les extensions pour lesquelles l’Afnic est opérateur technique de registre (.paris, .bzh…).

117751_afnic_infog_SECURITE_1240px_2

Les services essentiels de la gestion du .fr

Au-delà de la démarche de certification ISO 27001, nous nous appuyons également sur les préconisations et bonnes pratiques édictées pour le compte de l’État par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Au-delà de la conformité : la sécurité by-design

La sécurité n’est pas seulement une question de systèmes d’information : c’est une partie de notre ADN (par notre origine INRIA), inhérente à notre cœur de métier et une composante essentielle de notre organisation.

Le pilotage intégré de nos processus « Sécurité » et « Excellence » fait de la sécurité l’affaire de tous, et une dimension essentielle : 

  • de l’évolution continue de nos systèmes d’information ;
  • et du développement de nos produits et services.

Nous nous appuyons par ailleurs sur une pluralité de constructeurs et d’éditeurs de logiciels : c’est une question d’indépendance, de maîtrise des risques et de maîtrise des coûts. Nous conservons en interne des compétences métier au plus haut niveau, et assurons nous-mêmes certains développements.

… et la protection des données by-design

Registre pionnier dans la protection des données personnelles (anonymisées par défaut dès 2006), l’Afnic a fait évoluer ses systèmes en 2018, non seulement pour mettre en œuvre le RGPD (règlement général sur la protection des données), mais aussi pour intégrer cette problématique dans les couches basses du SI

Plus qu’une simple mise en conformité, nous avons en effet choisi de créer un Système de Management Informatique et Liberté, ainsi qu’un poste de DPO (Data Privacy Officer), pour renforcer les exigences de protection des données dans tous les processus

C’est une question de sécurité, de confidentialité, mais aussi d’engagement : à l’Afnic, nous considérons les données personnelles comme des données essentielles.

Service essentiel, sécurité sans concession

En 2019, l’Afnic a été déclarée opérateur de service essentiel – défini comme « service dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

Cette qualification entraîne des exigences nouvelles en termes de cybersécurité, et l’engagement de se conformer d’ici 2022 aux règles de la directive européenne NIS (Network and Information Services), en lien étroit avec l’ANSSI. 

Fidèles à notre démarche d’excellence, nous avons choisi d’appliquer une logique d’amélioration continue à chacune de ces 23 règles de la directive. Nos ambitions sont d’obtenir un SI aussi résilient que possible, de renforcer notre capacité à traiter les incidents rapidement et en minimisant leurs impacts. 

Homologation de sécurité : notre engagement

L’homologation de sécurité d’un système d’information est un processus d’information et de responsabilisation qui aboutit à une décision formelle prise par l’autorité compétente de l’Afnic (Autorité d’Homologation), qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques qui demeurent (risques résiduels) ont été identifiés et acceptés par l’Autorité d’Homologation.

L’Afnic a engagé cette démarche depuis 2013 pour formellement prononcer l’homologation initiale en 2014. Cette homologation a depuis été renouvelée périodiquement en 2015, 2016, 2018, 2019 pour des durées comprises entre 12 et 18 mois.

L’homologation opère sur le système d’information supportant les services essentiels relatifs aux domaines Internet français de premier niveau gérés par l’Afnic, à savoir, .fr, .pm, .re, .tf, .wf et .yt.

Une démarche d’amélioration continue

Comme tous les processus de l’Afnic, la sécurité fait l’objet d’une démarche d’amélioration continue. Nous opérons dans un domaine où les technologies et les menaces évoluent rapidement. L’évolution constante de notre SI est indispensable pour répondre aux demandes de nos clients (bureaux d’enregistrement et registres). Il s’agit également de faire bénéficier toutes les extensions internet dont nous avons la charge d’un SI toujours plus agile, stable et robuste. 

Les services développés à destination de nos clients, comme .FR Lock ou Abuse Report, contribuent aussi à cette amélioration continue, en enrichissant en permanence notre expérience en matière de sécurité. 

Par ailleurs, conformément à l’engagement pris auprès de l’État, l’Afnic assure chaque année un effort conséquent d’investissement, en consacrant plus de 8 % de son chiffre d’affaires à l’acquisition de matériels et logiciels concourant à la sécurité et la stabilité du .fr