Sécurité : assurer la confiance dans le .fr

L’Afnic met tout en œuvre pour maintenir un haut niveau de qualité, de sécurité et de continuité de service pour les extensions internet dont elle a la charge. 

Pour garantir ce haut niveau d’exigence, notre approche est celle d’une amélioration continue, en constante recherche de l’équilibre entre la conformité à des standards toujours plus élevés, la résilience et l’agilité.

Un SMSI certifié ISO 27001

L’Afnic a toujours fait de la sécurité une de ses priorités majeures. La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) a permis de la rendre plus tangible encore. Ce SMSI certifié vis-à-vis de la norme ISO27001:2017 par l’Afnor , garantit à nos parties prenantes cet engagement de tous les instants. 

Le périmètre historique de cette certification couvre les services essentiels relatif à la gestion du .fr :

• La résolution des noms de domaine (DNS) et la prise en charge du protocole DNSSEC
• Le service d’annuaire (Whois)
• Le système d’enregistrement partagé (SRS)
• Le service de séquestre (sauvegarde quotidienne externalisée des données du registre)
• La base de données du registre

Depuis 2020, le périmètre a été étendu et porte désormais également sur les mêmes services dans le cadre de la gestion des extensions ultramarines assurée par l’Afnic : .pm, .re, .tf, .wt et .yt.

Au-delà de la démarche de certification ISO 27001, nous nous appuyons également sur les préconisations et bonnes pratiques édictées pour le compte de l’État par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

• Voir le certificat obtenu par l’Afnic

Au-delà de la conformité : la sécurité by-design

La sécurité n’est pas seulement une question de systèmes d’information : c’est une partie de notre ADN (par notre origine Inria), inhérente à notre cœur de métier et une composante essentielle de notre organisation.

Le pilotage intégré de nos processus « Sécurité » et « Excellence » fait de la sécurité l’affaire de tous, et une dimension essentielle : 

• de l’évolution continue de nos systèmes d’information ;
• et du développement de nos produits et services.

Nous nous appuyons par ailleurs sur une pluralité de constructeurs et d’éditeurs de logiciels : c’est une question d’indépendance, de maîtrise des risques et de maîtrise des coûts. Nous conservons en interne des compétences métier au plus haut niveau, et assurons nous-mêmes certains développements.

… et la protection des données by-design

Registre pionnier dans la protection des données personnelles (anonymisées par défaut dès 2006), l’Afnic a fait évoluer ses systèmes en 2018, non seulement pour mettre en œuvre le RGPD (règlement général sur la protection des données), mais aussi pour intégrer cette problématique dans les couches basses du SI. 

Plus qu’une simple mise en conformité, nous avons en effet choisi de créer un Système de Management Informatique et Liberté, ainsi qu’un poste de DPO (Data Privacy Officer), pour renforcer les exigences de protection des données dans tous les processus. 

C’est une question de sécurité, de confidentialité, mais aussi d’engagement : à l’Afnic, nous considérons les données personnelles comme des données essentielles.

Service essentiel, sécurité sans concession

En 2019, l’Afnic a été désignée Opérateur de Service Essentiel (OSE). Un OSE est un opérateur fournissant un service tributaire des réseaux et des systèmes d’information et essentiel au maintien d’activités sociétales ou économiques critiques

Cette désignation a entraîné de nouvelles exigences en termes de cybersécurité, et notamment l’obligation de se conformer aux 23 règles de sécurité contenues dans la transposition en droit français de la directive européenne NIS (Network and Information Services), en lien étroit avec l’ANSSI.

Fidèles à notre démarche d’excellence, nous avons choisi d’appliquer une logique d’amélioration continue à chacune de ces 23 règles. Nos ambitions sont d’obtenir un SI aussi résilient que possible, de renforcer notre capacité à traiter les incidents rapidement et en minimisant leurs impacts.

Homologation de sécurité : notre engagement

L’homologation de sécurité d’un système d’information est un processus d’information et de responsabilisation qui aboutit à une décision formelle prise par l’autorité compétente de l’Afnic (Autorité d’Homologation), qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques qui demeurent (risques résiduels) ont été identifiés et acceptés par l’Autorité d’Homologation.

L’Afnic a engagé cette démarche depuis 2013 pour formellement prononcer l’homologation initiale en 2014. Cette homologation a depuis été renouvelée périodiquement en 2015, 2016, 2018, 2019, et 2022, pour des durées comprises entre 12 et 36 mois

L’homologation opère sur le système d’information supportant les services essentiels relatifs aux domaines Internet français de premier niveau gérés par l’Afnic, à savoir, .fr, .pm, .re, .tf, .wf et .yt.

Une démarche d’amélioration continue

Comme tous les processus de l’Afnic, la sécurité fait l’objet d’une démarche d’amélioration continue. Nous opérons dans un domaine où les technologies et les menaces évoluent rapidement. L’évolution constante de notre SI est indispensable pour répondre aux demandes de nos clients (bureaux d’enregistrement et registres). Il s’agit également de faire bénéficier toutes les extensions internet dont nous avons la charge d’un SI toujours plus agile, stable et robuste.

Les services développés à destination de nos clients, comme .FR Lock ou Abuse Report, contribuent aussi à cette amélioration continue, en enrichissant en permanence notre expérience en matière de sécurité.

Par ailleurs, conformément à l’engagement pris auprès de l’État, l’Afnic assure chaque année un effort conséquent d’investissement, en consacrant plus de 8 % de son chiffre d’affaires à l’acquisition de matériels et logiciels concourant à la sécurité et la stabilité du .fr.