En tant que gestionnaire des noms de domaine .be, .vlaanderen et .brussel, DNS Belgium se trouve au cœur de l’internet belge. La fiabilité, la stabilité et l’indépendance constituent son ADN.
Quiconque visite un site web ne voit que la partie émergée de l’iceberg de l’internet. Derrière l’interface visuelle se cache un réseau complexe de domaines qui orientent le visiteur vers la bonne adresse. DNS Belgium a sous sa responsabilité tous les domaines se terminant par .be, .vlaanderen et .brussels. Maintenir ces millions de domaines en ligne de manière sécurisée fait partie des tâches quotidiennes du CISO Kristof Tuyteleers.
Pour une organisation située au cœur de l’internet belge, la sécurité est une priorité absolue. Après dix-sept ans de service, Tuyteleers connaît DNS Belgium mieux que quiconque. Pourtant, les temps sont passionnants pour lui : DNS Belgium est sur le point de quitter le cloud AWS, alors que la réglementation européenne place la barre de plus en plus haut.
ITdaily : À quoi ressemble l’environnement informatique dont vous êtes responsable ?
Tuyteleers : « Je suis dans l’organisation depuis dix-sept ans maintenant. À l’époque, nous gérions encore notre propre couche d’infrastructure. Aujourd’hui, nous disposons d’une partie d’informatique traditionnelle, mais la partie “sexy” est évidemment l’environnement DNS. Notre infrastructure critique doit fonctionner en permanence. C’est véritablement le joyau de la couronne de l’organisation. »
« Notre infrastructure DNS a pris beaucoup d’ampleur au fil des ans. Nous collaborons avec de grands FAI pour renforcer la résilience. Nous exploitons une copie de notre service dans leur réseau ; les clients ne peuvent utiliser que cette copie. Cela garantit la continuité du service, même en cas de problèmes techniques sur internet. C’est une niche, mais cela correspond au fonctionnement de l’“ancien” internet. »
« Notre plateforme d’enregistrement est une autre histoire. C’est là que sont enregistrés les titulaires des noms de domaine ainsi que les indicateurs techniques. Les défis y sont principalement liés aux politiques : un nom de domaine ne peut pas être cédé n’importe comment. Les équipes sont organisées en différents clusters avec des responsabilités claires. »
Quelles sont vos principales priorités à l’heure actuelle ?
Tuyteleers : « Stabilité et fiabilité : c’est notre raison d’être. La législation joue un rôle majeur à cet égard : le RGPD pour la plateforme d’enregistrement, puis NIS1 et maintenant NIS2 et CER, car nous relevons des infrastructures critiques. Nous devons pouvoir démontrer en permanence que nous sommes conformes. La réduction de la dépendance aux technologies non européennes est une nouvelle priorité stratégique. »
« Nous sommes une entreprise “ennuyeuse” dans le meilleur sens du terme : si les domaines .be ne fonctionnent pas, les services sont inaccessibles. Contrairement à ce que l’on pense souvent, nous ne sommes pas une entreprise publique, mais une petite ASBL. Cependant, nous ne pouvons jamais être à l’arrêt. À tout moment, nous devons pouvoir démontrer que nos actions découlent de l’identification et de la gestion des risques. C’est crucial pour maintenir la relation avec les parties prenantes. »
Le reste de l’organisation comprend-il suffisamment ces priorités ? Comment parvenez-vous à aligner tout le monde ?
Tuyteleers : « Pour moi, c’est en fait relativement “facile”, car nous sommes une organisation prudente face aux risques. La gestion des risques est dans notre ADN et imprègne toute l’organisation, en commençant par le sommet. Mon rôle est de clarifier le paysage des risques pour les collaborateurs. Au plus haut niveau, cela va au-delà des simples risques ; il s’agit de l’évolution de l’ensemble du paysage internet. »
« Nous réalisons régulièrement une analyse d’impact, déterminant pour chaque service et produit, tels que .be, .vlaanderen et .brussel, quels doivent être les temps d’arrêt et de récupération “maximaux acceptables”. Lors d’exercices de crise annuels, nous validons ensuite si ces délais sont effectivement respectés. »
« L’avantage d’une petite organisation est que les lignes de communication sont courtes : nous sommes tous réunis ici à Louvain. Pour chaque changement, nous effectuons une analyse de risques complétée par différents départements. Ainsi, tout le monde y participe activement. Le fait que chacun joue un rôle dans la sécurité est souligné en permanence. »
Le département informatique a-t-il accès à suffisamment de personnes et de ressources pour mener à bien les défis ?
Tuyteleers : « On peut toujours faire plus, bien sûr (rit). Ce qui caractérise notre secteur, c’est l’échange international de connaissances. Nous sommes membres de l’organisation européenne représentant les gestionnaires de domaines nationaux. Si nous n’avons pas les connaissances nous-mêmes ou si nous avons un doute, nous n’avons pas besoin de nous tourner vers un partenaire commercial. Nous ne sommes pas concurrents, mais plutôt des “conculègues” qui peuvent se parler ouvertement. »
« Nous n’avons pas toutes les expertises en interne de manière permanente. C’est pourquoi des initiatives telles que le partage de données sur les menaces et l’analyse comparative par rapport à des modèles de maturité sont précieuses pour nous. Il n’y a aucun avantage concurrentiel à ne pas partager ces informations. Nous encourageons également nos collègues à être actifs localement dans des organisations professionnelles comme Beltug, par exemple. »
L’avenir de l’environnement informatique de DNS Belgium se trouve-t-il dans le cloud, sur site ou dans une combinaison des deux ?
Tuyteleers : « Cela dépend de la nature, du profil de risque et du cadre juridique du service informatique. Nous exploiterons toujours l’infrastructure DNS nous-mêmes, dans des centres de données en Belgique et en Europe. À l’époque, nous avions externalisé l’infrastructure sous-jacente de la plateforme d’enregistrement auprès d’AWS. Celle-ci est conteneurisée depuis un certain temps et peut en principe fonctionner n’importe où, que ce soit sur notre propre matériel, dans le cloud ou sur une infrastructure hybride. »
« La décision de quitter AWS a été prise pour maximiser notre flexibilité. Nous sommes une petite structure, nous devons donc veiller à être agiles avec les personnes et les ressources dont nous disposons. Cela signifie être proactif à tous les niveaux et ne pas attendre. Sinon, on ne fait que courir après les échéances, et ce n’est pas ce que nous voulons. En faisant notre travail préparatoire à temps, nous gardons de l’espace pour d’autres sujets comme la sécurité, la durabilité et l’amélioration opérationnelle. »
Quel impact des réglementations telles que NIS2 ont-elles sur la politique informatique ?
Tuyteleers : « Nous avons choisi d’utiliser à la fois la certification ISO et d’implémenter le standard Cyfun du CCB pour nous conformer à NIS2. La certification ISO a été l’un de mes premiers grands projets. Historiquement, nous étions déjà forts en sécurité technique, mais moins en ce qui concerne les procédures et la documentation. C’est un travail supplémentaire, mais cela apporte de la clarté. »
« Le plus grand défi pour nous réside dans la chaîne d’approvisionnement : comment la garder sous contrôle en tant que petite entité ? C’est pourquoi nous recherchons également un responsable de la conformité. Cela ne relève pas du rôle de CISO : le CISO participe à la définition de la politique, mais vous avez besoin de quelqu’un pour assurer les “checks & balances”. »
« Pour nous, il ne s’agit pas d’être doublement conforme, mais de mettre les choses à l’épreuve. L’ISO est une norme de gestion qui dit peu de choses sur l’implémentation technique. Pour notre secteur, il existe des obligations supplémentaires. Les techniciens veulent du noir ou blanc, mais la législation est souvent grise. Le cœur de mon métier est justement de traduire ces normes en cadres de travail exploitables par les équipes techniques. Notre objectif est que le .be reste un port d’attache sûr pour les noms de domaine et les sites web. »
Comment votre organisation gère-t-elle l’engouement pour l’IA ?
Tuyteleers : « Je vois cela comme un phénomène de mode, mais avec un regard pragmatique. Nous avons un groupe de travail sur l’IA composé de collègues intéressés. Nous examinons d’abord le cadre juridique : ce qui est autorisé ou non, et si cela a un impact sur la manière dont nous utiliserions l’IA. »
« Il est important que votre politique ne vienne pas d’une tour d’ivoire, mais parte des besoins de vos collaborateurs. C’est ainsi que l’on limite le “shadow IT”. On ne peut peut-être jamais l’éviter à 100 %, mais en invitant les gens à participer à la définition de la politique, nous espérons qu’ils y seront moins enclins. »
« Par ailleurs, nous utilisons l’apprentissage automatique pour la lutte contre la fraude, mais nous le développons nous-mêmes. Nous échangeons également des connaissances et des recherches à ce sujet, notamment avec le gestionnaire de domaine néerlandais via des groupes de travail R&D. Il est dans notre intérêt que les pays voisins soient et restent des ports sûrs. La confiance des citoyens dans le domaine .be est élevée, mais si les domaines des pays voisins connaissent beaucoup de fraudes, cela rejaillira aussi sur nous. Nous voulons préserver la sécurité de la société belge. »
Quelles sont les principales tendances que vous suivez en vue des trois prochaines années ?
Tuyteleers : « Notre propre migration hors d’AWS est en tête de liste. Mais je suis curieux de voir comment le paysage lui-même va évoluer. Notre projet de migration suscite l’intérêt d’entreprises confrontées aux mêmes problématiques et des régulateurs. L’impact des grands fournisseurs de cloud sur internet est considérable, comme le montrent de récentes pannes. Le moment est venu de concrétiser une demande qui existe depuis longtemps. Le secteur européen peut-il opérer un rattrapage ? »
« Je suis convaincu que les connaissances sont bel et bien là, mais nous devons de toute urgence nous demander si nous voulons développer des centres de données et des infrastructures pour rapatrier les charges de travail en Europe, ou si toute la capacité doit aller vers l’infrastructure de l’IA ? Personnellement, j’espère la première option, car je crois sincèrement que c’est possible. Mais il ne faut pas attendre trop longtemps, sinon le savoir-faire aura disparu. C’est un moment intéressant pour repenser la dépendance. Les évolutions géopolitiques actuelles me montrent que nous avons amorcé le bon mouvement. »
Le moment est venu de réduire la dépendance aux technologies non européennes.