La Coalition

Notre Histoire

Ce que nous faisons

Principes Directeurs

Initiatives

Partenaires

Rejoindre la Coalition

Actualités

Blogs

Communiqués De Presse

Annonces

Mentions Dans les Medias

Événements

Ressources

EN | FR

nav button

L'actualité de ce Projet

lundi 9 juin 2025

DNSSEC dans la pratique : enseignements opérationnels de .bf et .cm

DNSSEC dans la pratique : enseignements opérationnels de .bf et .cm

Auteurs : Yazid AKANHO, responsable de la relation avec la communauté technique, ICANN.

Contributeurs :

  1. Alain AINA, directeur général, services de renseignement numérique et consultant CDA pour les campagnes itinérantes DNSSEC.
  2. Albert KAMGA, directeur de la normalisation et de la coopération, Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), Cameroun,
  3. Izaï TOE, secrétaire exécutif, Association Burkinabè des Domaines Internet (ABDI), Burkina Faso.

Le déploiement réussi des extensions de sécurité du système des noms de domaine (DNSSEC) pour les noms de domaine de premier niveau géographiques de code de pays (ccTLD) .bf du Burkina Faso et .cm du Cameroun est le résultat de mois de travail technique approfondi et d’améliorations opérationnelles durables dans les infrastructures des deux ccTLD. Avec le soutien de la campagne itinérante DNSSEC de la Coalition pour une Afrique numérique, les deux registres prennent désormais en charge la validation DNSSEC. Ils publient les zones signées avec une chaîne de confiance établie, ce qui permet aux résolveurs de valider l’authenticité des données provenant de ces domaines sur l’ensemble de l’Internet.

Bien que le résultat ait été le même, les chemins empruntés par chacun des registres reflètent à quel point les conditions internes d’une organisation (structure des équipes, maturité de l’infrastructure et état de préparation des processus) peuvent conditionner le déroulement du déploiement de DNSSEC.

Ce billet analyse les principales différences entre les deux approches et tire des enseignements pratiques pouvant être utiles pour d’autres ccTLD qui préparent la mise en œuvre de DNSSEC.

 

Points de départ différents

Avant de rejoindre la campagne itinérante DNSSEC à la mi-juin 2023, le gestionnaire du ccTLD du Burkina Faso, l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP), a fait appel à un nouvel opérateur pour sa plateforme technique, l’Association Burkinabè des Domaines Internet (ABDI). Au début du projet, les principaux systèmes et procédures opérationnels devaient être améliorés parallèlement aux efforts pour mettre en place DNSSEC.

En revanche, le registre du Cameroun, géré par l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), a démarré le processus en avril 2024, avec des équipes et des infrastructures déjà établies. Même si des améliorations étaient nécessaires, la base organisationnelle et opérationnelle était déjà en place, ce qui a réduit le travail préliminaire nécessaire pour faire avancer le projet.

Ces différences initiales ont eu des effets directs sur la chronologie et le rythme du déploiement.

 

Approches de mise en œuvre

Au Burkina Faso :

  • La priorité a d’abord été accordée à la mise en place de structures internes, à la formalisation des responsabilités opérationnelles et à l’amélioration de l’infrastructure DNS.
  • Après une évaluation préliminaire, le registre a mis en place un processus à plusieurs étapes : sensibilisation sur place et formation technique, déploiement d’un banc d’essai, formation en cryptographie, mise à niveau de l’infrastructure et surveillance des systèmes.
  • La signature DNSSEC a été introduite uniquement après avoir rempli toutes les conditions opérationnelles préalables.

Au Cameroun :

  • Après une évaluation préliminaire et la participation à une formation régionale en cryptographie, le registre est rapidement passé de la phase de test à la phase de production.
  • ANTIC a affecté une équipe de cinq personnes spécialisées dans les opérations DNS, l’administration de l’infrastructure à clé publique (PKI), la sécurité des systèmes et la réponse aux incidents.
  • L’équipe a procédé simultanément à l’amélioration de l’infrastructure et à la signature DNSSEC.

Les deux registres ont utilisé des cadres techniques similaires, mais l’organisation interne et les conditions de départ ont déterminé la rapidité et la fluidité du déploiement.

 

Enseignements pour de futurs déploiements de DNSSEC

Plusieurs enseignements ont pu être tirés des expériences de déploiement de .bf et de .cm :

  • L’évaluation préliminaire est un élément critique. L’identification de lacunes en amont, que ce soit au niveau de l’infrastructure, la surveillance ou la documentation, permet de bien cadrer et structurer le travail de déploiement.
  • La structure interne accélère le déploiement. Lorsque les rôles et responsabilités des équipes, les processus décisionnels et les procédures opérationnelles sont clairs, DNSSEC peut être intégré plus rapidement.
  • L’état de préparation de l’infrastructure compte. La mise en œuvre de DNSSEC présuppose l’existence d’un système DNS opérationnel, contrôlé et documenté. Quand les systèmes sont stables, les progrès sont rapides. Lorsque les systèmes sont incomplets, des délais et des efforts supplémentaires sont nécessaires pour les développer.
  • Un suivi correct et discipliné est fondamental. Le succès du déploiement de DNSSEC dépend fortement de la manière dont le processus de mise en œuvre est géré. Il est important de prévoir la désignation d’un gestionnaire de projet spécialisé au sein du registre, chargé de piloter le projet, de planifier et de coordonner les ressources, de gérer les risques et la communication entre les parties prenantes.
  • La documentation DNSSEC est obligatoire et non facultative. La stabilité à long terme des opérations du registre repose sur une documentation DNSSEC détaillée.

 

Au-delà de la chronologie

La comparaison entre .bf et .cm n’est pas une question de vitesse. Les deux projets ont été couronnés de succès parce qu’ils ont été structurés de manière réaliste, alignés sur les capacités opérationnelles locales et encadrés par des experts techniques externes.

Les déploiements confirment que DNSSEC n’est pas une mise à jour technique isolée. Il s’agit d’un engagement opérationnel. La réussite du déploiement dépend de la capacité du registre à gérer et à maintenir les systèmes de signature des clés, à surveiller les infrastructures, à élaborer et à mettre à jour des procédures et à répondre à l’évolution des menaces au fil du temps.

Les registres qui se préparent au déploiement doivent moins se concentrer sur une mise en œuvre rapide que sur la mise en place des conditions nécessaires à la sécurité et à la continuité des opérations avant le début de la signature.

Le Burkina Faso et le Cameroun ont tous deux démontré qu’avec une préparation adéquate, un soutien ciblé et un bon leadership organisationnel, le déploiement de DNSSEC peut être couronné de succès. Leur expérience constitue un modèle pratique pour d’autres ccTLD qui travaillent à renforcer leur infrastructure dans les années à venir.