Résilience Internet en France : la nécessaire vigilance sur le routage et le nommage
L’ANSSI et l’AFNIC dresse « un état des lieux 2011 de l’Internet français » sous l’angle de la résistance aux « incidents » (pannes, attaques). Note : convenable.
L’ANSSI s’est associée à l’AFNIC pour dresser « un état des lieux 2011 de l’Internet français » sous l’angle de la résilience de l’Internet (DNS*, BGP**).
C’est à dire sur la capacité « à résister à des incidents et à revenir à l’état normal ».
Un rapport rassurant a priori puisqu’il conclut que la situation est « acceptable » sur la foi d’indicateurs et de mesures dédiées.
Néanmoins, en piochant davantage dans la documentation, l’Agence nationale de la sécurité des systèmes d’information et l’Association française pour le nommage Internet en coopération (sa mission pour gérer le domaine .fr a été renouvelé pour cinq ans), préconisent un renforcement des infrastructures sous l’angle de la résilience.
Notamment en appliquant des « bonnes pratiques de déploiement » et en misant sur « la confiance accordée aux équipements, la qualité de leurs configurations, et l’expertise des administrateurs. »
Dans les conclusions générales, les auteurs du rapport (1) précisent que, « vu sous l’angle BGP, il est souhaitable de procéder à une déclaration systématique et cohérente des objets route auprès du RIPE-NCC« .
Sous l’angle DNS, « il est également souhaitable d’obtenir une plus grande dispersion des serveurs de noms faisant autorité au sein d’AS différents. »
L’état du déploiement du protocole IPv6 pour l’Internet du futur est trop frileux. « À part les serveurs DNS eux-mêmes (croissance remarquable en deux ans), les autres serveurs des domaines .fr utilisent peu IPv6. »
Même constat côté BGP : la plupart des AS français identifiés ne supportent pas IPv6.
Autant de lacunes qui soulèvent des questions quant à la « maturité des implantations du protocole dans les équipements et les logiciels ».
Au cours du même mois, l’ANSSI a publié un autre guide tout aussi intéressant pour les entreprises. Il porte sur la « cybersécurité des systèmes de contrôle-commande industriels« .
Ces derniers sont désormais davantage exposés à la cybermenace en raison des interconnexions avec les réseaux Web.
On a vu l’impact avec des « vers industriels » comme Stuxnet, Duqu ou plus récemment découvert Flame.
(1) Recherche et rédaction par : François Contat, Guillaume Valadon, Stéphane Bortzmeyer, Samia M’timet, et Mohsen Souissi.
* BGP est un protocole de routage, c’est-à-dire un ensemble de règles que doivent suivre les routeurs pour échanger les informations nécessaires au bon acheminement des données entre différents réseaux.
** DNS est le mécanisme par lequel les machines connectées à l’Internet trouvent les adresses IP de leurs interlocuteurs, à partir d’un nom de domaine.
Crédit photo : © zothen – fotolia com.jpg