Pendant l'ICANN 52, beaucoup de membres de la communauté ont posé des questions sur l'état des services numériques de l'ICANN. De plus, en réponse à l'une de mes publications sur le blog, certains d'entre vous ont rencontré Christopher Gift, Vice-président en charge des services numériques et moi-même pour obtenir une meilleure compréhension de la situation et des projets. Et dans une annonce récente, l'ICANN a déclaré que nous pourrions partager plus de choses à propos de nos efforts pluriannuels « de renforcement des services numériques ». Je rédige ce blog pour commencer ce processus visant à vous (notre communauté) tenir informé et engagé face à nos nombreuses activités en cours et prévues.
Les cinq types de services rendus possible par l'informatique
Pour aider à constituer une base solide, je répète une partie d'un message issu d'un précédent blog/vlog. En général, l'ICANN offre cinq types de services utilisant des ressources informatiques, sous la forme de « services numériques ».
- des services Internet destinés à la communauté
- des services pour les parties contractantes
- des services techniques pour la communauté
- des services IANA
- des services opérationnels auxquels fait face le personnel
Comme vous pouvez l'imaginer, nous les traitons très différemment les uns des autres, en particulier du point de vue de la sécurité informatique. Au total, nous avons plus de 80 services numériques dont bénéficient la communauté, le Conseil d'administration et le personnel de l'ICANN. J'ai parlé et écrit à propos des données que ces services collectent, comparent et conservent caractérisant ces informations comme des objets de valeur que l'ICANN sauvegarde. Pour utiliser et même étendre une métaphore bancaire, l'ICANN dans son ensemble est le « bureau de dépôt des données » et nous, en informatique, sommes les gardiens physiques de ces données. C'est une histoire de confiance du public que nous prenons très au sérieux.
Audits annuels réalisés par une tierce partie
Pour s'assurer que nous conservons bien ces objets de valeur, en juin-juillet 2014 nous avons invité une tierce partie leader et mondialement reconnue pour vérifier de façon détaillée tous nos actifs informatiques. La méthodologie que nous avons choisi d'adopter et d'utiliser pour évaluer notre système est le cadre 20 Contrôles de Sécurité Essentiels (anciennement le SANS Institute). Nous allons adhérer à ce cadre pour les prochaines années, l'ICANN peut donc faire une révision de ces actifs informatiques et voir de quelle manière nos efforts sont en train de modifier son « image » après un certain temps. Je suis également heureux de vous dire que cette même tierce partie a été choisie pour des audits annuels réguliers, et est actuellement en train d'analyser nos progrès sur les 12 derniers mois, et nous aurons bientôt connaissance de ces résultats.
Les résultats de cette évaluation en 2014 ont montré des points positifs dans certains domaines et d'autres pouvant être améliorés. La liste claire des domaines spécifiques sur lesquels nous pouvions immédiatement nous concentrer et réaliser rapidement quelques améliorations a été encore plus précieuse que cette évaluation générale.
Nous avons donc pris les recommandations individuelles et les avons triées. Nous les avons classées selon leur importance / l'urgence ; nous avons réalisé un marquage selon chaque recommandation selon un niveau d'effort (LoE) ; et avec une anticipation des coûts. Nous avons ensuite établi un ordre de priorité de traitement.
Il en a résulté une feuille de route de 16 projets pour l'exercice fiscal 2015 et une partie de l'exercice fiscal 2016. Nous abordons ces questions avec une grande priorité, et neuf projets essentiels ont déjà été réalisés, dont, entre autres : détection avancée d'intrusions sur les serveurs Windows, solutions de détection des intrusions (IDS) pleinement mises en œuvre, une solution IDS globale, une supervision centralisée pour la gestion des correctifs, une gestion de logiciels de serveur régulièrement programmée et surveillée, et une surveillance des comptes privilégiés. Ces projets sont importants et ont commencé à répondre de manière satisfaisante à certains des besoins urgents de l'ICANN. Beaucoup d'autres projets sont encore en cours.
Mise en œuvre de Salesforce.com
Sur un sujet distinct mais concurrent, l'ICANN a engagé les services d'une société avec des connaissances spécialisées pour examiner notre mise en œuvre de Salesforce.com : la base de données, le code et la configuration. La révision a mis en avant plusieurs domaines pour lesquels nous pourrions renforcer notre plateforme. Depuis, nous avons dégagé des correctifs logiciels pour répondre aux éventuelles vulnérabilités qui ont été identifiées. Nous espérons avoir fini tout le travail avant la fin de l'année 2015. Nous travaillerons avec les utilisateurs de ces plateformes pour s'assurer que nous limitons les perturbations lors de la prestation de service tout en améliorant la sécurité.
Plus récemment, le Conseil d'administration de l'ICANN a approuvé les fonds pour engager des sociétés avec des connaissances spécialisées similaires afin d'examiner la base de code utilisée dans toutes les plateformes de prestation des services numériques de l'ICANN. L'ICANN a rapidement retenu les services de deux sociétés. Ces sociétés vont examiner en détail une ou deux plateformes (incluant tous les services hébergés sur celles-ci) et travailler avec nous pour répondre aux questions soulevées. Une fois ceci réalisé, nous nous occuperons des deux prochaines plateformes. Etc…jusqu'à la fin.
Préparation aux menaces contre la cybersécurité
Sur un troisième axe en parallèle, le personnel de l'ICANN a entrepris une formation obligatoire sur la sensibilisation à la cybersécurité. La formation était composée de tests d'évaluation, régulièrement suivis et examinés. En conséquence, le personnel de l'ICANN est nettement plus alerte et conscient des vecteurs de menace. Pour renforcer davantage l'apprentissage, l'ICANN a retenu les services d'une société experte spécialisée en ingénierie sociale. Les efforts de cette société se concentrent sur la mise en avant de domaines spécifiques où des mesures correctives supplémentaires sont demandées (et prises).
L'ICANN, comme toute organisation phare, est une cible face aux attaques, en particulier au vu des menaces mondiales grandissantes qui pèsent sur le paysage informatique. Nous ne pouvons pas contrôler qui nous attaque ni quand ils nous attaquent. MAIS…nous pouvons choisir l'arme pour nous défendre.
Ceci étant dit, l'équipe d'intervention en cas d'incidents informatique (CIRT) de l'ICANN a engagé une société experte en la matière pour mener certains membres du personnel à travers une série d'exercices sur table pour aider à ajuster les rythmes de réponse et mieux nous préparer à réagir à de futurs incidents.
Nous sommes également en train de mettre en œuvre des techniques de planification de scénarios pour développer, affiner et s'exercer à des plans de reprise après sinistre. Cela s'apparente beaucoup au fait de sécuriser une maison contre un intrus, ce n'est pas un exercice qui se fait du premier coup. Au contraire, c'est un exercice approfondi, avec des projets et des programmes à mettre en œuvre pour systématiquement consolider notre défense. Comme pour toute planification, nous allons régulièrement réévaluer nos projets et réajuster les bases.
Nous avons maintenant une feuille de route axée sur l'informatique, soutenue par une aide budgétaire et des ressources de personnel appropriées, pour les exercices fiscaux 2016 et 2017. Nous sommes prêts. Vous pouvez retrouver nos projets sur le plan opérationnel et budget de l'exercice fiscal 2016.
Nous ferons également régulièrement des réunions d'information avec le comité des risques (BRC) du Conseil d'administration et la mise à jour de l'informatique est désormais un point permanent de leur ordre du jour. Leur implication a été inestimable pour acquérir une orientation, les ressources nécessaires et la dynamique exigées pour réaliser notre vaste programme sur l'informatique et la sécurité.
J'ai prévu de partager d'autres points de vue sur notre avancée et nos futurs projets. Si vous avez des idées ou des suggestions, veuillez les partager avec moi à ashwin.rangan@icann.org. Encore mieux, si vous avez l'intention de participer à l'ICANN 53 à Buenos Aires, nous pouvons peut-être nous rencontrer et discuter ?
Merci !
