mercredi 1 février 2012

Gestion des incidents de sécurité : l'exemplarité récente de l'AFNIC

Comme il est précisé sur son site, l'AFNIC est "une association à but non lucratif qui gère le registre des noms de domaine .fr (France) et .re (La Réunion) et est l'office d'enregistrement désigné par l'État pour le .fr". L'équipe qui la compose est resserrée mais extrêmement compétente du fait, essentiellement, de la sensibilité technique, juridique et commerciale de la gestion des noms de domaine. On y trouve des personnalités relativement médiatiques comme Stéphane Bortzmeyer.

Cette sensibilité oblige l'AFNIC à être en pointe sur les problématiques de réseaux, de protocoles et de normes, d'équipements et d'évolutions majeures (cas d'IPv6, par exemple). La composante sécurité (de l'information) est évidemment majeure et c'est pourquoi il est rare que l'on apprenne les tentatives d'actes malveillants dont ils peuvent être victimes. Sauf si cela touche à leur "cœur de métier".

C'est donc ce qui s'est produit le 12 janvier 2012, même si les circonvolutions syntaxiques qualifient l'acte "d'incident réseau". Logiquement, le communiqué publié le 16 janvier ne donne aucun détail si ce n'est qu'un "audit de sécurité [...] a révélé un risque potentiel d'exposition de certaines données d'authentification". En conséquence de quoi, une procédure d'escalade a été déclenchée, conduisant au renouvellement des identifiants des bureaux d'enregistrement. Entre la détection du problème, la mise en place de mesures correctives et la résolution de l'incident, 3 heures auront été nécessaires. Exceptionnellement, le support est resté disponible durant toute la nuit. 

Ce que cette histoire nous apprend c'est qu'une structure adaptée (moyens et personnel compétent), disposant des processus de contrôle (de sécurité) réguliers et de systèmes d'alerte performants, adossés à des procédures d'escalades et de résolution d'incidents (et/ou de crises) permettent généralement d'empêcher (ou du moins de contenir) qu'un incident de ce type passe du statut "sérieux" à "grave" ou "majeur". Après cela, qui osera encore penser que la sécurité est un coût avant d'être un investissement ?

Aucun commentaire: