Depuis sa création en 1997, l'Afnic (Association française pour le nommage Internet en coopération) assure la gestion du registre des noms de domaine en « .fr », ainsi que d'autres domaines de premier niveau, notamment en outre-mer. Ces registres représentent aujourd'hui plus de 4 millions d'enregistrements et tiennent un rôle essentiel pour l'écosystème Internet français. En 2019, l'association, qui opère dans le cadre d'une délégation de service public renouvelée tous les cinq ans, a été désignée opérateur de service essentiel (OSE). En tant que tel, elle doit se plier à des règles strictes en matière de sécurité de ses systèmes d'information, comme le prévoit la directive NIS (Network and Information Security), transposée en France par l'ANSSI. Pour s'assurer que ces règles sont suivies et maintenues dans le temps, l'Afnic s'appuie sur la plateforme open source de Rudder, une solution française d'automatisation pour gérer la conformité et la sécurité des infrastructures.

« Pour avoir le statut d'OSE, nous avons dû mettre en place 23 règles de sécurité, le tout dans un délai imparti de trois ans », explique Régis Massé, directeur des systèmes d'information et directeur technique de l'Afnic. Ces règles se répartissent en quatre grands domaines (gouvernance, protection, défense et résilience), une part importante concernant la configuration des environnements. Depuis son origine, l'Afnic assure sa sécurité en interne, l'association étant d'ailleurs certifiée ISO 27001 depuis 2016. Elle opère également elle-même ses infrastructures serveurs et réseaux, sans recourir à des prestataires, hormis pour l'hébergement. Mais la mise en conformité représentait un travail important, d'autant que l'association dispose de ressources plus modestes que les grands groupes. « Les équipes IT représentent environ la moitié des effectifs de l'association, mais la gestion des infrastructures est assurée par une équipe d'une quinzaine de personnes », indique ainsi le DSI.

Automatiser pour tenir les délais

Pour assurer la conformité à NIS, l'Afnic avait donc besoin de s'outiller et d'automatiser au maximum ce qui pouvait l'être. Le système d'information de l'Afnic repose sur une infrastructure comptant près de 600 serveurs. Le déploiement de ces serveurs était déjà industrialisé grâce à des templates Ansible. En revanche, une fois les machines en production, leur configuration était susceptible de dériver au fil du temps, à la suite d'interventions humaines ou de mises à jour. Pour y remédier, les équipes menaient des campagnes de vérification régulières et ajustaient les templates de façon manuelle, ce qui pouvait rapidement devenir fastidieux. Par ailleurs, Ansible ne fournissait pas de reporting sur l'application des templates, ce qui compliquait les choses lors des audits. En 2020, l'association a donc cherché un outil complémentaire, capable de répondre à ses enjeux de conformité. « Dans nos choix, nous avons la volonté de privilégier des solutions open source, ainsi que des acteurs français lorsque c'est possible, car l'une de nos missions est de soutenir le développement de l'Internet en France », souligne Régis Massé. « Nous apprécions également la proximité géographique, pouvoir rencontrer facilement nos partenaires est un vrai plus. » L'Afnic a finalement retenu Rudder, car la solution et l'éditeur correspondaient à ses ambitions, mais aussi pour sa simplicité d'utilisation. L'association attache en effet une grande importance à son autonomie dans l'utilisation quotidienne de ses outils d'administration.

« Nous avons d'abord testé la solution en introduisant des pannes, des erreurs de configuration », relate le DSI. L'outil ayant fait ses preuves sur l'environnement de test, Rudder a ensuite été déployé en production en 2021, avec un accompagnement de l'éditeur durant la mise en oeuvre. Un seul serveur a suffi pour installer la solution, qui est reliée aux agents présents sur les différentes machines physiques et VM. « L'appropriation a été assez rapide, car l'outil est bien construit. La mise en production n'a pas suscité d'appréhension, car les administrateurs maîtrisaient déjà l'outil grâce à la montée en compétences durant les tests », souligne Régis Massé. Plus de deux ans après le déploiement, l'objectif d'autonomie est atteint, l'éditeur n'étant sollicité qu'une fois par an pour des conseils complémentaires.

Visibilité et suivi en temps réel de la conformité du parc

Lorsque de nouvelles machines sont déployées, Ansible appelle désormais les API Rest de Rudder pour enregistrer ces dernières dans la plateforme. Cela permet aux administrateurs d'avoir une visibilité sur l'ensemble du parc, mais aussi de créer des groupes de machines qui doivent être configurées de la même façon. Une fois qu'une nouvelle machine est placée dans un groupe, elle en hérite les règles de configuration, automatiquement appliquées. La plateforme déploie et vérifie les règles de façon centralisée, ce qui évite aux équipes d'exploitation de se connecter manuellement à chaque machine. « Nous avons gagné en efficacité par rapport aux scripts maison », pointe le DSI. « C'était un enjeu important pour tenir nos engagements et nos délais. » Rudder a permis également à l'Afnic d'enlever certains services non nécessaires installés par défaut sur les serveurs. À la clef, des gains de performance et de sécurité. Enfin, la plateforme couvre désormais des architectures en microservices basées sur Kubernetes, dont l'intégration s'est effectuée de façon transparente.

Mais les gains les plus importants concernent le suivi et la mise en oeuvre de la conformité. La solution réalise ainsi des contrôles réguliers sur les serveurs et rétablit automatiquement la configuration souhaitée si des déviations sont constatées. « Même en cas de panne, l'outil est là pour rétablir la configuration. Une erreur humaine peut toujours arriver lorsqu'on fait des opérations à la chaîne : confier ces tâches à des robots est rassurant, une fois que l'on a prouvé que le système se comportait comme on l'attendait », apprécie Régis Massé. Tous les écarts identifiés déclenchent une alerte et sont retracés dans des rapports. « Cela nous permet d'être prévenus des anomalies éventuelles et d'avoir des rapports de conformité réguliers, que nous pouvons présenter au RSSI et lors des audits ISO 27001, effectués deux fois par an en comptant les audits à blanc », indique le DSI.

Le bon outil par besoin plutôt qu'un couteau suisse

Rudder fait aujourd'hui partie d'un ensemble de moyens mis en oeuvre par l'Afnic pour assurer la conformité et la sécurité de ses infrastructures. D'autres outils gèrent les équipements réseau, d'autres encore les postes de travail. « En raison du contexte dans lequel nous opérons, nous avons des besoins assez spécifiques sur nos serveurs, de même que sur nos équipements réseau, en IPv6 depuis l'origine. Pour cette raison, nous préférons choisir des solutions qui répondent à un besoin précis plutôt que des outils très généralistes, qui ne vont pas toujours assez loin sur nos critères », indique le DSI. En raison de son rôle, l'Afnic échange régulièrement avec ses homologues, notamment dans les autres pays européens. « D'autres gestionnaires de registres sont ainsi venus nous voir pour savoir comment nous gérons ces aspects de conformité », indique Régis Massé.