La Société pour l’attribution des noms de domaine et des numéros sur Internet (ICANN) a achevé un nouveau cycle annuel d’audits des systèmes clés utilisés afin d’assurer les fonctions de l’Autorité chargée de la gestion de l’adressage sur Internet (IANA). Le cabinet comptable RSM US LLP a mené deux audits de contrôle des systèmes et de l’organisation : un audit de certification de contrôle de sociétés de services de niveau 2 (SOC2) sur les systèmes de maintenance et d’attribution de registres ainsi qu’un audit de certification de contrôle de sociétés de services de niveau 3 (SOC3) sur les services d’extensions de sécurité du système des noms de domaine (DNSSEC) de la zone racine pour les périodes de 12 mois se terminant respectivement le 30 septembre 2023 et le 30 novembre 2023.
Pour la 14e année consécutive, l’ICANN a obtenu une certification d’audit sans exceptions pour sa gestion de la clé de signature de clé (KSK) de DNSSEC de la racine, qui est à la base de la sécurisation du système des noms de domaine (DNS). À l’aide du cadre SOC 3, l’audit atteste que des contrôles efficaces sont en place pour garantir la sécurité, la disponibilité et l’intégrité des processus nécessaires pour gérer la KSK de la racine. Le rapport est disponible publiquement ici.
Lors de la période d’audit de cette année, en plus des opérations habituelles de signature de clé trimestrielles, des activités évolutives de routine ont été menées, par exemple l’introduction de nouveau matériel et de représentants de confiance de la communauté. Alors qu’une nouvelle KSK a été générée début 2023, ces travaux ont été suspendus au lieu de reprendre en 2024 avec une nouvelle plateforme technique.
L’audit SOC2 a identifié quatre exceptions au cours de la période concernée. Même si tous les problèmes identifiés ont été résolus, c’est la première fois depuis de nombreuses années que des exceptions ont été identifiées. Ces enseignements seront utilisés afin de renforcer les pratiques opérationnelles au sein de l’organisation ICANN.
« Lorsque les exceptions ont été identifiées par les auditeurs en août 2023, l’organisation ICANN a immédiatement pris des mesures correctives », a déclaré Kim Davies, vice-président, services IANA et président de la PTI. « Nous avons également mis en œuvre des procédures supplémentaires afin de résoudre les problèmes identifiés à l’avenir. »
L’année prochaine, l’ICANN envisage de mener un audit SOC3 en plus de l’audit SOC2 pour les systèmes de maintenance et d’attribution de registres. Cela permettra de renforcer la transparence étant donné que cet audit aboutira à la publication d’un rapport détaillé traitant de ces systèmes, à l'image du rapport rédigé dans le cadre de l’audit sur les opérations KSK de la racine.
Les audits SOC évaluent les mécanismes de contrôle mis en place par les organisations pour vérifier « les principes et les critères à la base de services fiables ». Ils sont gérés par l'Association professionnelle américaine des experts comptables (AICPA). Ces audits menés par des tiers indépendants constituent une partie importante de la responsabilité multidimensionnelle de l’ICANN pour les fonctions IANA à l’égard de la communauté multipartite.
À propos de l’ICANN
La mission de l’ICANN est de garantir un Internet mondial sûr, stable et unifié. Pour contacter une personne sur Internet, vous devez saisir une adresse sur votre ordinateur ou autre dispositif : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s'identifier entre eux. L'ICANN coordonne ces identificateurs uniques à l'échelle mondiale. La société ICANN a été fondée en 1998 en tant qu’organisation à but non lucratif, reconnue d’utilité publique. Elle rassemble au sein de sa communauté des participants du monde entier.