Aller au contenu Aller au menu principal Aller au menu secondaire Aller au pied de page

Sécurité : assurer la confiance dans le .fr

Accueil > Association d’excellences > Notre démarche d’excellence > Sécurité : notre engagement fiabilité

Responsables de l’infrastructure matérielle et logicielle derrière les opérations françaises de noms de domaine, nous veillons à la stabilité et à la sécurité de l’internet en France.

L’Afnic met tout en œuvre pour maintenir un haut niveau de qualité, de sécurité et de continuité de service pour les extensions internet dont elle a la charge. 

Pour garantir ce haut niveau d’exigence, notre approche est celle d’une amélioration continue, en constante recherche de l’équilibre entre la conformité à des standards toujours plus élevés, la résilience et l’agilité.

Un SMSI certifié ISO 27001

L’Afnic a toujours fait de la sécurité une de ses priorités majeures. La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) a permis de la rendre plus tangible encore. Ce SMSI certifié vis-à-vis de la norme ISO27001:2017 par l’Afnor , garantit à nos parties prenantes cet engagement de tous les instants. 

Le périmètre historique de cette certification couvre les services essentiels relatif à la gestion du .fr :

  • La résolution des noms de domaine (DNS) et la prise en charge du protocole DNSSEC
  • Le service d’annuaire (Whois)
  • Le système d’enregistrement partagé (SRS)
  • Le service de séquestre (sauvegarde quotidienne externalisée des données du registre)
  • La base de données du registre

Depuis 2020, le périmètre a été étendu et porte désormais également sur les mêmes services dans le cadre de la gestion des extensions ultramarines assurée par l’Afnic : .pm, .re, .tf, .wt et .yt.

Les services essentiels de la gestion du .fr

Au-delà de la démarche de certification ISO 27001, nous nous appuyons également sur les préconisations et bonnes pratiques édictées pour le compte de l’État par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Au-delà de la conformité : la sécurité by-design

La sécurité n’est pas seulement une question de systèmes d’information : c’est une partie de notre ADN (par notre origine Inria), inhérente à notre cœur de métier et une composante essentielle de notre organisation.

Le pilotage intégré de nos processus « Sécurité » et « Excellence » fait de la sécurité l’affaire de tous, et une dimension essentielle : 

  • de l’évolution continue de nos systèmes d’information ;
  • et du développement de nos produits et services.

Nous nous appuyons par ailleurs sur une pluralité de constructeurs et d’éditeurs de logiciels : c’est une question d’indépendance, de maîtrise des risques et de maîtrise des coûts. Nous conservons en interne des compétences métier au plus haut niveau, et assurons nous-mêmes certains développements.

… et la protection des données by-design

Registre pionnier dans la protection des données personnelles (anonymisées par défaut dès 2006), l’Afnic a fait évoluer ses systèmes en 2018, non seulement pour mettre en œuvre le RGPD (règlement général sur la protection des données), mais aussi pour intégrer cette problématique dans les couches basses du SI

Plus qu’une simple mise en conformité, nous avons en effet choisi de créer un Système de Management Informatique et Liberté, ainsi qu’un poste de DPO (Data Privacy Officer), pour renforcer les exigences de protection des données dans tous les processus

C’est une question de sécurité, de confidentialité, mais aussi d’engagement : à l’Afnic, nous considérons les données personnelles comme des données essentielles.

Service essentiel, sécurité sans concession

En 2019, l’Afnic a été déclarée opérateur de service essentiel – défini comme « service dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

Cette qualification entraîne des exigences nouvelles en termes de cybersécurité, et l’engagement de se conformer d’ici 2022 aux règles de la directive européenne NIS (Network and Information Services), en lien étroit avec l’ANSSI. 

Fidèles à notre démarche d’excellence, nous avons choisi d’appliquer une logique d’amélioration continue à chacune de ces 23 règles de la directive. Nos ambitions sont d’obtenir un SI aussi résilient que possible, de renforcer notre capacité à traiter les incidents rapidement et en minimisant leurs impacts. 

Homologation de sécurité : notre engagement

L’homologation de sécurité d’un système d’information est un processus d’information et de responsabilisation qui aboutit à une décision formelle prise par l’autorité compétente de l’Afnic (Autorité d’Homologation), qui atteste que les risques pesant sur la sécurité de ce système ont été identifiés et que les mesures nécessaires pour le protéger sont mises en œuvre. Elle atteste également que les éventuels risques qui demeurent (risques résiduels) ont été identifiés et acceptés par l’Autorité d’Homologation.

L’Afnic a engagé cette démarche depuis 2013 pour formellement prononcer l’homologation initiale en 2014. Cette homologation a depuis été renouvelée périodiquement en 2015, 2016, 2018, 2019 pour des durées comprises entre 12 et 18 mois.

L’homologation opère sur le système d’information supportant les services essentiels relatifs aux domaines Internet français de premier niveau gérés par l’Afnic, à savoir, .fr, .pm, .re, .tf, .wf et .yt.