Il y a quelques semaines, j'ai « blogué » sur la manière dont l'ICANN gère ses actifs informatiques et ses services numériques à la lumière des menaces en matière de cybersécurité. J'ai également écrit à l'époque où nous avons engagé un tiers indépendant, mondialement reconnu pour auditer annuellement les contrôles de sécurité de l'ICANN, et je me suis engagé à vous informer occasionnellement sur notre activité.
Beaucoup parmi vous - membres de la communauté - se sont réunis avec moi et mes collègues de l'équipe de l'ICANN à Buenos Aires. Lors de ces réunions, il y a eu un grand nombre de suggestions, mais le thème sous-jacent était clair et cohérent : vous vouliez voir les progrès de l'ICANN pour réduire ses risques de cybercriminalité et pour devenir plus résiliente du point de vue fonctionnel et technique.
Lorsque l'on parle de cybersécurité, il est courant d'évaluer les risques informatiques en s'appuyant sur un cadre. Il existe de nombreux cadres, qui sont en général adoptés volontairement et servent de guide (ce qui ne veut pas dire que ce soit une approche uniforme applicable à tous), et qui sont personnalisés par les organisations pour mieux répondre à leurs besoins, leur situation et leurs risques. Toutefois, une fois que la personnalisation est terminée, les cadres offrent des pratiques et des recommandations pour que les organismes de mise en œuvre puissent atteindre des résultats positifs. Enfin, de nombreux cadres ont permis aux experts d'attribuer une notation de sorte que l'organisation ait une cible numérique à atteindre.
Voici un des sens du cadre. Dans un sens différent, un cadre peut être comparé à une fenêtre avec plusieurs vitres. Ce cadre s'appuie sur les normes, les lignes directrices et les pratiques qui aident les organisations à voir toutes les composantes qui constituent son actif / risque de base en un seul endroit. Étant donné les nombreux vitres, une organisation peut obtenir rapidement une vue multidimensionnelle de ses actifs et, à partir de là, une vue globale du risque informatique de l'organisation. Cela permet également aux organisations de mieux comprendre les différents vitres de la fenêtre, à l'aide d'un ensemble de pilotes se rapportant au contexte et aux besoins de l'organisation. En conséquence, il est typique que les cadres informent aux organisations quelles sont les activités les plus importantes pour assurer les opérations essentielles et la prestation des services. Cela aide les organisations à faire des choix éclairés sur où et comment il est convenable de faire des investissements, en maximisant l'impact de chaque dollar. Et enfin, les cadres aident également les organisations à communiquer l'état de la sécurité informatique et des risques aux parties prenantes internes et externes en « langage clair », un langage que tout le monde puisse comprendre.
Approche de l'ICANN
En 2014, l'ICANN a adopté le Cadre des contrôles de sécurité critiquede l'Institut SANS pour la défense informatique. Après l'adoption de ce cadre, l'ICANN a retenu les services de Leidos, une société réputée en matière d'audits sur la sécurité informatique. Leidos a fourni une évaluation de base de l'état de la sécurité informatique de l'ICANN.
Dans leurs propres mots, comme Leidos a informé l'équipe de direction, lorsque nous avons commencé l'ICANN était au niveau des organisations professionnelles typiques. Nous nous sommes sentis heureux que l'ICANN n'était pas au-dessous de ce niveau, mais nous étions loin d'être satisfaits ! Comme je l'ai dit auparavant, dans un avatar, l'ICANN sert comme « bureau de dépôt de données » ce qui est essentiel pour le fonctionnement de l'Internet. Dans cet avatar, il a fallu jouer au même niveau que le meilleur – comme par exemple des organisations comme des institutions financières bien considérées.
Avec le soutien en temps opportun du Conseil pour les ressources et une priorité appropriée des compromis, les TI ont commencé à aborder rigoureusement différents domaines qui méritaient leur attention. Ainsi, pendant les 12 derniers mois, plusieurs aspects de la défense informatique de l'ICANN ont été examinés sous le microscope et les efforts sur le renforcement ou la rémédiation ont été axés sur les domaines qui méritaient une attention particulière. Nous avons fait des progrès concrets dans un certain nombre de différents domaines tels que les logiciels d'application, la formation, les contrôles d'accès et les tests d'intrusion.
Comme prévu, Leidos a mené son audit annuel de mai-juin de cette année, et nous avons récemment reçu le rapport d'audit que je suis heureux de partager.
Points saillants du rapport d'audit de Leidos 2015
Je suis heureux de dire que, dans environ la moitié des 20 éléments mesurés, l'ICANN se trouve dans la zone VERTE. Tout aussi important, l'ICANN ne se trouve dans la zone ROUGE nulle part. Selon le Leidos, « l'an dernier, l'ICANN a considérablement amélioré ses efforts en matière de cybersécurité, reflétant l'engagement de ses autorités pour répondre aux préoccupations en matière de sécurité informatique et s'imposer comme un leader dans l'espace ». Pour l'avenir, il est anticipé que l'année prochaine lorsque la feuille de route actuelle sera terminée, l'ICANN sera sur un pied d'égalité avec les organisations de renommée mondiale.
Dans le paysage toujours changeant de la cybersécurité, atteindre l'excellence n'est pas une destination, c'est un voyage sans fin. Et nous y sommes engagés. Nous avons avancé dans la bonne direction, nous avons une feuille de route claire, et nous sommes sur la bonne voie.
Comme toujours, n'hésitez pas à me contacter à l'adresse Ashwin.Rangan@icann.org pour discuter de la question.
