Résumé
- Les services essentiels d’un RIR doivent pouvoir être transférés de manière limitée et temporaire avant une décision de retrait de reconnaissance. La continuité de service est une garantie opérationnelle, non un jugement préliminaire selon lequel l’opérateur en place aurait perdu son mandat régional.
- L’ICANN, les autres RIR et un opérateur intérimaire qualifié doivent disposer d’un dispositif de préparation testé couvrant les enregistrements faisant autorité, l’identité et les accès, le DNS inverse, les fonctions de sécurité du routage, le traitement des demandes, la sécurité, la confidentialité, le financement, l’avis public et la restitution du service.
- Les détenteurs de ressources doivent conserver leurs enregistrements, demandes, justificatifs d’identité, dépendances techniques et droits de contestation sans être tenus de soutenir l’une ou l’autre partie dans un conflit institutionnel. Aucun acteur ne doit pouvoir créer une anxiété liée au service pour en faire un levier en faveur de la reconnaissance, de la direction, d’un contentieux ou de concessions politiques.
Les réseaux ne doivent pas devenir une monnaie d’échange
Lorsqu’un registre Internet régional fait l’objet d’un examen de gouvernance, le point de pression le plus puissant n’est pas la salle de conseil. C’est l’ensemble des réseaux qui dépendent du registre. Les détenteurs de ressources ont besoin que les enregistrements soient mis à jour, que les demandes soient traitées, que le DNS inverse soit maintenu, que les éléments de sécurité du routage soient gérés, que l’autorité de contact soit vérifiée et que les informations du registre restent exactes.
Si ces services deviennent incertains, les opérateurs peuvent soutenir l’institution qui semble capable de les rétablir, même s’ils n’ont pas de vision éclairée sur le différend juridique ou constitutionnel sous-jacent.
Cette pression est corrosive. Elle transforme la continuité de service en un plébiscite mené sous la contrainte opérationnelle. Un opérateur en place peut laisser entendre qu’un examen externe perturbera le registre. Les contestataires peuvent laisser entendre que seul un retrait rendra les services fiables. Les institutions homologues peuvent conditionner leur aide à une coopération avec l’issue institutionnelle qu’elles privilégient. Les gouvernements peuvent présenter la continuité comme une raison d’accepter un contrôle local.
Pendant ce temps, on demande aux détenteurs de ressources de choisir un camp alors que ce dont ils ont besoin est un registre fiable.
La réponse consiste à séparer deux décisions qui sont souvent prises dans le mauvais ordre. La première est de savoir si les services essentiels peuvent être maintenus temporairement, dans le cadre d’un mandat étroit et réversible, si l’opérateur en place ne peut pas les fournir. La seconde est de savoir si l’opérateur en place doit rester reconnu, être réhabilité ou être remplacé. La continuité doit être résolue en premier. Le statut institutionnel doit être décidé sur la base de ses propres preuves par la suite.
Ce séquencement n’est pas une voie détournée vers le retrait de reconnaissance. Correctement conçu, le service intérimaire protège l’opérateur en place autant que ses détracteurs. Un registre victime d’un incident cybernétique, d’une défaillance d’accès du personnel, d’une interruption de contrôle imposée par un tribunal ou d’une paralysie financière à court terme pourrait accepter une assistance technique sans concéder qu’il a définitivement échoué. Une fois les capacités restaurées et vérifiées, le service revient. La communauté régionale conserve son institution pendant que le danger immédiat passe.
Le même séquencement protège les évaluateurs de l’urgence. Si le service peut continuer en toute sécurité, l’ICANN et les RIR n’ont pas besoin de compresser une évaluation de gouvernance complexe dans le temps disponible avant qu’un certificat n’expire, qu’une demande de DNS inverse ne soit bloquée ou qu’un retard ne nuise aux opérateurs. Les tribunaux peuvent résoudre l’autorité, les membres peuvent corriger les élections, les auditeurs peuvent tester les enregistrements et les revendications concurrentes peuvent être entendues sans une horloge liée au fonctionnement du réseau.
Les réformes émergentes de l’ICP-2 reconnaissent une partie de cette logique. Lesprincipes proposés de la version 2appellent à des procédures de continuité, des redondances et un partage des enregistrements suffisant pour qu’un autre RIR puisse assurer les services si nécessaire. Ledeuxième projet de document de gouvernancedéfinit la continuité d’urgence et un opérateur d’urgence, puis exige une préparation au transfert vers une entité intérimaire ou successeur. Mais la conception a encore besoin d’une règle de séquencement plus stricte: aucun changement de statut définitif avant qu’un exercice indépendant n’ait démontré que les services affectés peuvent être déplacés sans faire des détenteurs de ressources des dommages collatéraux.
La continuité est plus large qu’un simple service de consultation publique
Un observateur extérieur peut penser que la continuité d’un RIR signifie simplement garder une recherche d’enregistrement publique disponible. Ce n’est que la partie visible. La relation de service comprend les enregistrements faisant autorité, les modifications authentifiées, l’évaluation des demandes, l’application des politiques, le DNS inverse, les fonctions de sécurité du routage, les points de contact de facturation et d’adhésion, les contacts en cas d’abus, les preuves d’allocation historiques, la coordination inter-registres et la communication avec l’ICANN.
Chaque fonction a des exigences différentes en matière de données, d’autorité et de récupération.
L’aperçu des ressources de numéros de l’IANAdécrit la hiérarchie de manière simplifiée: l’IANA coordonne les espaces d’adressage IP mondiaux et les numéros de systèmes autonomes et alloue des blocs aux RIR, qui à leur tour desservent les réseaux dans leur région.RFC 7020décrit le système de registre des numéros Internet comme un système hiérarchique impliquant l’IANA, les RIR et les registres et utilisateurs en aval. Cette hiérarchie est administrativement compacte, mais l’état opérationnel accumulé au niveau régional est considérable.
Prenons une demande de changement ordinaire. Le registre doit savoir quelle organisation détient la ressource, quelles personnes sont autorisées, quels enregistrements antérieurs établissent la revendication, quelle politique s’applique, si un transfert ou une réattribution est autorisé, si des frais ou des conditions contractuelles importent, et quels champs publics et non publics doivent changer. Une copie de l’enregistrement public ne suffit pas. L’opérateur temporaire a besoin d’un accès contrôlé aux preuves et aux règles nécessaires pour décider correctement, ou il doit se limiter à préserver l’état existant.
Le DNS inverse a une autre chaîne de dépendance. Les délégations sous les domaines d’espace d’adressage doivent rester cohérentes avec l’autorité sur les ressources, et les changements nécessitent une authentification et une coordination fiables. Les services de sécurité du routage introduisent encore plus de sensibilité. Lorsqu’un détenteur utilise un service RPKI hébergé ou délégué par un RIR, la continuité peut impliquer l’autorité du compte, l’état des certificats, la publication, les manifestes, la révocation, la disponibilité du dépôt et la protection contre une émission contradictoire.
Un transfert précipité pourrait amener les parties utilisatrices à rejeter des informations de routage valides ou à accepter des assertions non autorisées.
Même des fonctions apparemment non techniques comptent. Un registre peut avoir besoin d’émettre des factures, de confirmer l’adhésion, de recevoir des avis juridiques, de conserver les dossiers de litiges et de répondre aux demandes urgentes des opérateurs. Si ces fonctions s’arrêtent, les petits réseaux peuvent être touchés en premier car ils manquent de personnel dédié aux aspects juridiques et au registre. Si un opérateur intérimaire les ignore, le service continue techniquement mais l’accès pratique devient inégal.
La planification de la continuité devrait donc classer les fonctions en trois groupes. Les services critiques doivent rester disponibles ou être rétablis dans un objectif court et testé. Les services à état protégé peuvent être temporairement gelés car un changement incorrect serait pire qu’un retard. Les fonctions discrétionnaires ou dépendantes de la gouvernance peuvent rester avec l’opérateur en place ou être suspendues jusqu’à ce que l’autorité légale soit claire. Cette classification devrait être convenue avant une crise. Sinon, chaque fonction devient une improvisation et le revendicateur le plus large de l’autorité a tendance à gagner.
L’IANA est un point d’ancrage, pas un registre régional de substitution
Le rôle de l’IANA est indispensable mais souvent surestimé. Elle tient les registres de numéros de premier niveau, met en œuvre les politiques d’allocation mondiales, coordonne les blocs non alloués et enregistre la relation entre les ressources mondiales et les RIR. Elle ne tient pas habituellement le compte régional complet de chaque détenteur de ressources, n’évalue pas chaque demande en aval, ne perçoit pas tous les frais régionaux ni n’administre toutes les relations avec les membres. Un plan de continuité qui dit « l’IANA prendra le relais » est donc incomplet.
L’enregistrement de premier niveau compte énormément. Un changement contesté dans l’autorité régionale nommée, une allocation supplémentaire pendant la crise ou une instruction incohérente concernant des ressources retournées peuvent affecter la cohérence de la hiérarchie. L’IANA devrait préserver une référence mondiale stable pendant que l’arrangement intérimaire est établi. Elle devrait accepter des instructions opérationnelles uniquement par un chemin d’autorité authentifié et préétabli, et devrait enregistrer le statut temporaire sans impliquer un résultat final de reconnaissance.
L’IANA peut également soutenir la vérification. Lesdonnées d’allocation des RIR de l’IANAfournissent l’historique des allocations mondiales par rapport auquel la garde régionale peut être réconciliée. Laprocédure de demande de ressources de numérosmontre que les allocations supplémentaires d’IPv6 et de numéros de systèmes autonomes dépendent des informations d’utilisation fournies par le RIR. Pendant une crise, la continuité inclut donc la capacité de produire des résumés d’utilisation fiables et de soumettre des demandes authentifiées. Sinon, une région peut conserver les enregistrements existants mais perdre l’accès à de nouveaux stocks mondiaux lorsqu’elle y est éligible.
Les autres RIR apportent la profondeur opérationnelle qui manque à l’IANA. Ils comprennent les systèmes de registre régionaux, l’interprétation des politiques, l’échange de données inter-RIR, le DNS inverse, les opérations de sécurité et les attentes des détenteurs de numéros. Un ou plusieurs peuvent être en mesure d’héberger temporairement des fonctions définies. Pourtant, les pairs ont des conflits: ils contribuent à l’écriture des règles, peuvent recommander un retrait de reconnaissance, peuvent rivaliser pour l’influence et peuvent plus tard soutenir un successeur.
Leur aptitude technique n’efface pas la nécessité d’un mandat limité et de conditions transparentes.
Une organisation de service indépendante qualifiée pourrait réduire les conflits institutionnels, mais elle aurait besoin de capacités qui ne peuvent pas être assemblées après le début d’une panne. Elle doit comprendre la politique du registre, protéger les informations sensibles, exploiter des systèmes sécurisés, servir plusieurs langues et fuseaux horaires, et se coordonner avec l’IANA et tous les RIR. Les fournisseurs commerciaux de reprise après sinistre peuvent héberger l’infrastructure mais peuvent ne pas avoir l’autorité pour prendre des décisions sur les ressources de numéros.
Un administrateur nommé par un tribunal peut détenir une autorité juridique locale mais manquer de capacité technique. La réponse probable est un arrangement composite: une autorité temporaire légale, un soutien technique des RIR, une coordination de l’IANA et une supervision indépendante.
Cette division devrait être explicite. L’IANA confirme et préserve la relation de registre mondiale. L’opérateur intérimaire exécute uniquement les fonctions régionales énumérées. Les RIR pairs fournissent une capacité technique limitée. Le RIR affecté fournit les enregistrements et le personnel lorsque cela est possible. Un superviseur indépendant vérifie la portée, la sécurité et les conditions de retour. Aucun entité n’acquiert l’institution entière simplement parce qu’il est essentiel à une partie de la continuité.
L’ordre actuel rend encore le transfert trop dépendant de la crise
LesProcédures de mise en œuvre et d’évaluation de la conformité ICP-2de 2024 abordent la continuité après un constat grave de non-conformité. Si les opérations ne peuvent pas être rétablies à temps, l’ICANN s’engage à travailler avec les RIR restants pour identifier un fournisseur d’urgence. Les RIR sont encouragés à maintenir des sauvegardes d’urgence et à envisager un dépôt fiduciaire. Si nécessaire, l’ICANN se coordonne avec les RIR restants pour identifier un RIR successeur.
C’est une reconnaissance significative du risque opérationnel, mais les verbes révèlent la faiblesse. Un fournisseur d’urgence doit être identifié après que le RIR concerné a été jugé incapable de se rétablir. Les sauvegardes sont encouragées. Le dépôt fiduciaire est quelque chose à envisager. La procédure n’exige pas un opérateur préqualifié, un ensemble de transfert testé, un objectif de récupération mesuré ou une autorité juridique démontrée avant l’intervention.
Le projet de 2025 est plus fort. Il exige que chaque RIR maintienne des procédures de continuité et de redondance et partage régulièrement suffisamment d’enregistrements, de données, de matériel de mise en œuvre de la politique régionale et de systèmes avec un opérateur d’urgence, sous réserve de contrôles de dépôt fiduciaire et de protection des données. La continuité d’urgence peut être initiée lorsque tout ou partie des services du RIR ne peuvent pas être fournis de manière adéquate.
Le projet exige l’accord de l’ICANN et de tous les autres RIR, la publication rapide de la justification et de la portée, l’engagement communautaire, la coopération avec le transfert temporaire, un droit de reprise après une restauration vérifiée, une limite de 90 jours sauf renouvellement, et un examen post-événement.
Pourtant, le même projet place la clause formelle de préparation près des effets du retrait de reconnaissance. Il dit que les RIR et l’ICANN doivent être collectivement prêts à transférer les services à un successeur ou à une entité intérimaire dans un délai raisonnable si nécessaire. « Collectivement prêts » et « délai raisonnable » ne sont pas des tests opérationnels.
Ils n’établissent pas quelles fonctions ont été exercées, quels enregistrements sont à jour, qui détient les justificatifs d’identité, quelle loi permet l’accès, comment l’état de la sécurité du routage évite les conflits, ou comment un détenteur de ressources s’authentifie pendant le transfert.
Lerapport d’étape du premier trimestre 2026enregistre ouvertement les problèmes non résolus. Il note la préoccupation que l’unanimité puisse être trop élevée dans un cas urgent, que 90 jours puissent être insuffisants pour identifier un successeur, que les extensions nécessitent une supervision, et que les dispositions de transition aient besoin de plus de détails pour protéger les droits des détenteurs de ressources et l’engagement communautaire. C’est un aveu précieux. Il montre que la continuité n’est pas résolue simplement en nommant un opérateur d’urgence.
La séquence devrait être inversée. La préparation doit être une condition continue de la reconnaissance, évaluée par des exercices et une vérification indépendante. La continuité d’urgence doit pouvoir être activée sans proposition de retrait de reconnaissance et pouvoir prendre fin sans décision de reconnaissance. Une décision finale de statut doit contenir un plan de service validé plutôt qu’une promesse d’en identifier un plus tard. La crise devrait déclencher l’exécution d’arrangements connus, et non la conception des arrangements eux-mêmes.
La transférabilité doit être construite pendant le fonctionnement normal
La continuité commence lorsque le registre est en bonne santé. Chaque RIR devrait maintenir un ensemble de transfert qui peut être validé sans donner à l’opérateur de réserve un contrôle de routine. L’ensemble n’est pas seulement une sauvegarde. C’est l’ensemble minimum d’état technique, de connaissances politiques, d’autorité juridique et d’instructions d’exploitation nécessaires pour exécuter les services définis en toute sécurité.
La première couche est l’état faisant autorité. Les enregistrements d’allocation et d’assignation, l’autorité d’organisation et de contact, l’historique des statuts, les délégations de DNS inverse, les relations de compte de sécurité du routage, les demandes en attente, les décisions politiques et les pistes d’audit pertinentes nécessitent une exportation cohérente, des contrôles d’intégrité, un versionnage et un rapprochement avec les enregistrements publics et ceux de l’IANA.
La copie de réserve doit être suffisamment à jour pour atteindre les objectifs de récupération, mais l’accès doit rester chiffré, journalisé et indisponible jusqu’à un déclencheur valide.
La deuxième couche est l’interprétation. Les données du registre ne sont pas auto-exécutables. L’opérateur a besoin de la politique régionale en vigueur, des directives du personnel qui affectent une application cohérente, de l’autorité d’exception documentée, de la capacité linguistique et d’un moyen de distinguer la pratique établie du jugement discrétionnaire. La mémoire institutionnelle cachée est un risque pour la continuité. Transférer une coutume interne comme s’il s’agissait d’une politique publique l’est aussi. Le matériel nécessaire à un fonctionnement temporaire doit être documenté et révisable lors des audits ordinaires.
La troisième couche est l’autorité. Les contrats, les statuts, la loi locale, les obligations de protection des données, les droits de propriété intellectuelle, les accords d’emploi et les pouvoirs judiciaires peuvent tous affecter la capacité d’un organisme extérieur à traiter des enregistrements ou à prendre des décisions. Chaque RIR devrait obtenir une analyse juridique spécifique à la juridiction et mettre en place les accords nécessaires avant la crise. Une clause qui ne devient effective qu’à un déclencheur défini est plus crédible qu’une demande d’urgence de coopération d’un conseil d’administration hostile ou incapable.
La quatrième couche est l’accès et l’infrastructure. Les environnements de réserve, les canaux de communication sécurisés, la récupération d’authentification, les cérémonies cryptographiques, les dépendances de domaine et de service, les contacts des fournisseurs et les rôles de réponse aux incidents doivent être exercés. L’objectif n’est pas de créer un registre fantôme fonctionnant en parallèle. C’est de prouver qu’un environnement propre et contrôlé peut devenir l’autorité pour certains services sans entrer en conflit avec l’opérateur en place.
La cinquième couche est celle des personnes. Une opération temporaire a besoin de rôles nommés, pas nécessairement d’individus nommés de manière permanente. Il doit y avoir des responsables techniques, des décideurs politiques, des responsables de la confidentialité, des répondants en sécurité, du personnel de communication, des contacts financiers et un chemin vers une supervision légale. La dépendance vis-à-vis d’une personne clé doit être testée. Si un seul employé en place comprend une fonction critique, la transférabilité n’a pas été établie.
Les exercices devraient varier. Un exercice sur table peut tester l’autorité de décision. Une restauration technique peut tester l’intégrité des données. Un exercice en direct limité peut traiter des transactions synthétiques dans un environnement séparé. Un exercice de communication peut tester la vérification des détenteurs de ressources et l’avis multilingue. Les résultats devraient être résumés publiquement sans exposer les vulnérabilités. Les constatations devraient produire une remédiation datée, et l’échec répété à remédier aux lacunes de continuité devrait lui-même devenir une préoccupation opérationnelle vérifiable.
Le déclencheur doit être fonctionnel et neutre
La continuité d’urgence devrait commencer parce qu’un service ne peut pas être fourni en toute sécurité ou de manière fiable, et non parce que les critiques n’aiment pas la position de gouvernance de l’opérateur en place. Le déclencheur devrait identifier une fonction, une dégradation matérielle, une fenêtre de dommage et l’incapacité ou le refus de l’opérateur en place de restaurer dans cette fenêtre. Cela permet d’agir sans préjuger de la reconnaissance.
Les exemples incluent l’indisponibilité prolongée des services d’enregistrement critiques; la perte de l’intégrité des enregistrements faisant autorité; l’incapacité d’authentifier les modifications légitimes des détenteurs de ressources; la perte de l’administration du DNS inverse; la compromission ou l’indisponibilité des fonctions de sécurité du routage; une ordonnance judiciaire qui supprime toute autorité opérationnelle effective; la perte d’installations ou de personnel au-delà de la capacité de récupération testée; ou un événement financier qui empêche le paiement des infrastructures critiques.
Une menace imminente crédible peut suffire lorsque l’attente d’une défaillance réelle créerait un préjudice irréversible.
En revanche, une élection contestée, une déclaration publique critique, une plainte de gouvernance ou une proposition de retrait de reconnaissance en attente n’est pas en soi un déclencheur de continuité. Cela peut conduire à un examen. Cela peut révéler un risque de contrôle qui mérite d’être testé. Mais les services ne devraient être déplacés que si le seuil fonctionnel est atteint. Cela empêche que l’opération d’urgence devienne un instrument pour changer le conseil d’administration.
L’organe de décision doit pouvoir agir lorsque certaines institutions sont indisponibles ou en conflit. L’exigence d’unanimité du projet protège contre une capture unilatérale, mais elle peut être trop lente si un pair ne peut pas décider ou a un intérêt. Une meilleure règle exigerait un seuil élevé parmi les entités non conflictuels, une constatation technique documentée d’évaluateurs indépendants et un examen rapide par un panel externe. Aucune institution qui s’attend à devenir l’opérateur ou le successeur ne devrait voter de manière décisive sans garanties divulguées.
Le RIR affecté devrait être consulté chaque fois que possible, et son plan de rétablissement proposé devrait être testé. S’il peut restaurer dans la fenêtre de dommage, l’opération extérieure est inutile. Si le contrôle est contesté, les évaluateurs peuvent consulter le personnel, les représentants légaux, un séquestre, les membres et les tribunaux sans traiter une seule faction comme l’institution. L’urgence peut raccourcir la consultation mais pas effacer la nécessité d’enregistrer qui a été entendu.
L’activation doit préciser la portée. « Continuité d’urgence pour la région » est trop large. Une décision pourrait autoriser le maintien des enregistrements existants et des modifications de sécurité urgentes tout en gelant les transferts et les nouvelles allocations. Une autre pourrait déplacer l’authentification des clients et le traitement des demandes tout en laissant la gouvernance des membres intacte. Une troisième pourrait ne soutenir que le DNS inverse. L’autorité devrait expirer fonction par fonction à mesure que le prédicat prend fin.
Plus important encore, l’activation ne devrait contenir aucun langage impliquant que l’opérateur en place est retiré de la reconnaissance ou que l’opérateur temporaire est son successeur. Le public peut comprendre que le générateur de secours d’un hôpital ne décide pas à qui appartient l’hôpital. La continuité du registre devrait être encadrée avec la même clarté: le service est préservé pendant que le statut reste ouvert.
L’opérateur intérimaire a besoin d’une constitution étroite
Un opérateur temporaire exercera une autorité conséquente. Sans une constitution étroite, l’assistance technique peut devenir une prise de contrôle institutionnelle. Le mandat devrait être écrit avant l’activation et joint à chaque décision de continuité.
Son objectif est la préservation: maintenir l’exactitude, la disponibilité, la sécurité et l’accessibilité égale des services spécifiés. Il peut traiter les demandes ordinaires conformément à la politique régionale existante, corriger les erreurs vérifiées, protéger les enregistrements et effectuer les actions urgentes nécessaires pour prévenir un préjudice. Il ne devrait pas adopter de nouvelle politique régionale, modifier les droits des membres, vendre ou grever des actifs, régler des litiges non liés, soutenir des candidats, réorganiser la société ou utiliser les données du registre à des fins commerciales.
La discrétion a besoin de limites. Certaines demandes sont routinières et réversibles; d’autres modifient le contrôle à long terme des ressources ou créent un précédent. L’opérateur peut appliquer une matrice de risque. Les transactions à faible risque se poursuivent sous double examen. Les transferts à fort impact, les réclamations patrimoniales contestées, les exceptions inhabituelles et les changements affectant l’autorité contestée peuvent être suspendus ou renvoyés à un arbitre indépendant. L’objectif n’est pas de geler la région indéfiniment mais d’éviter des décisions irréversibles par un organisme ayant un mandat temporaire.
L’opérateur devrait appliquer la politique valide de la région affectée, et non la politique du RIR assistant. Cela est essentiel à l’autonomie régionale. Les systèmes techniques peuvent être hébergés ailleurs tandis que les décisions restent fondées sur les règles de la région. Lorsque le sens de la politique est vraiment incertain, l’opérateur devrait publier la question et utiliser l’interprétation la plus étroite compatible avec la pratique antérieure et l’égalité de traitement. Il ne devrait pas exploiter les conditions d’urgence pour harmoniser la politique à l’échelle mondiale.
Chaque action matérielle devrait être journalisée. Les détenteurs de ressources ont besoin de confirmation des modifications, de raisons de refus ou de retard et d’une voie de recours. Un examinateur indépendant devrait pouvoir échantillonner les décisions pour leur impartialité et leur sécurité. Les données de performance agrégées devraient être publiées: disponibilité du service, volumes de demandes, retards, incidents, actions à fort impact, plaintes et corrections. Les informations d’enregistrement sensibles restent protégées.
La rémunération et la responsabilité doivent être convenues à l’avance. Un RIR pair ne devrait pas tirer profit d’une opération d’urgence prolongée, mais il ne devrait pas être contraint d’absorber des coûts ou des risques illimités. Le financement peut provenir de réserves cantonnées de l’opérateur en place, de contributions partagées pour la continuité, d’une assurance ou d’une facilité commune. Les frais pour les détenteurs de ressources devraient rester stables à moins qu’un changement temporaire autorisé ouvertement ne soit essentiel. Tout remboursement devrait être vérifiable.
Le personnel et les sous-traitants de l’opérateur devraient être soumis à des obligations de conflit, de confidentialité, de sécurité et de non-sollicitation. Ils ne devraient pas recruter les membres de l’opérateur en place, commercialiser des services non liés en utilisant les données consultées, ou participer à la sélection du successeur. L’accès temporaire est une mission de confiance publique. Sa valeur réside dans le fait d’être suffisamment capable pour préserver le service et suffisamment contraint pour ne pas convertir la capacité en propriété.
La garde des données doit préserver la vie privée et l’autorité
La continuité transférable dépend du partage des données, mais la réplication indiscriminée crée un autre risque systémique. Les enregistrements régionaux peuvent inclure des détails non publics sur l’organisation, des preuves d’autorisation, du matériel d’identité, de la correspondance, des informations de paiement, un historique de sécurité et des plans de réseau commercialement sensibles. Un arrangement de réserve doit rendre les données utilisables en cas d’urgence sans les rendre systématiquement disponibles aux pairs ou aux institutions centrales.
Lescritères ICP-2originaux placent la tenue des registres et la confidentialité côte à côte. Les registres sont nécessaires pour les demandes ultérieures et l’audit opérationnel; les informations collectées lors de l’enregistrement doivent rester confidentielles et utilisées à des fins d’enregistrement. La continuité moderne devrait préserver les deux principes. L’auditabilité n’autorise pas un accès général, et la vie privée ne peut pas justifier un angle mort de continuité.
Une conception solide de dépôt fiduciaire sépare le stockage, l’autorité de déchiffrement et l’activation. Les données peuvent être chiffrées et répliquées chez un dépositaire neutre. Le matériel de déchiffrement peut nécessiter l’approbation de plusieurs rôles indépendants. L’activation peut être limitée à un service nommé et journalisée. L’opérateur temporaire ne reçoit que les champs et l’historique nécessaires à son mandat. Un responsable de la vie privée peut examiner l’accès exceptionnel, et chaque copie peut être comptabilisée à la fin.
L’intégrité est aussi importante que la confidentialité. L’opérateur de réserve doit savoir que les enregistrements sont complets, à jour et non altérés. Des hachages réguliers, des instantanés signés, des totaux de rapprochement, des journaux de modifications et une comparaison avec les enregistrements publics et de premier niveau de l’IANA peuvent fournir une assurance. Toute divergence inexpliquée devrait être résolue pendant le fonctionnement normal plutôt que découverte sous la pression de l’urgence.
Les données d’autorité nécessitent un soin particulier. Si la crise concerne un registre des membres, une liste de directeurs ou un administrateur de compte contestés, simplement copier le dernier état de l’opérateur en place peut reproduire le contrôle contesté. Les plans de continuité devraient distinguer l’autorité sur les ressources de l’autorité de vote corporatif et de l’accès au compte utilisateur. Les ressources enregistrées d’un réseau ne devraient pas devenir inaccessibles parce que son représentant a voté pour une faction particulière.
Les contestants corporatifs ne devraient pas pouvoir utiliser les justificatifs administratifs pour réécrire l’autorité sur les ressources.
L’emplacement des données et la loi applicable doivent être planifiés. La réplication transfrontalière peut déclencher des règles de confidentialité, de secret, de divulgation de preuves, de cybersécurité ou sectorielles. La réponse n’est pas d’abandonner le dépôt fiduciaire. C’est de choisir des emplacements légaux, de minimiser les données, d’utiliser des accords contraignants et de définir quelle autorité compétente peut ordonner l’accès. Si une juridiction devient indisponible, l’arrangement peut avoir besoin d’un deuxième site légal avec des contrôles indépendants.
À la fin, le traitement des données doit être prouvable. L’opérateur intérimaire devrait restituer l’état courant faisant autorité, transférer les journaux d’actions complets, supprimer ou archiver les copies conformément à la loi, révoquer l’accès et certifier l’achèvement. L’opérateur en place ou le successeur devrait pouvoir réconcilier chaque transaction effectuée pendant la période intérimaire. La continuité n’est réussie que si l’institution qui reprend le service hérite d’un enregistrement digne de confiance, et non d’un deuxième litige sur des copies cachées et des changements inexpliqués.
La continuité du RPKI nécessite une main particulièrement prudente
Les services de sécurité du routage rendent la continuité techniquement délicate. L’infrastructure de clé publique des ressources (RPKI) relie les certificats et les objets signés aux avoirs en ressources de numéros. Les opérateurs et les parties utilisatrices utilisent ce matériel pour évaluer les revendications d’origine de route. Une erreur pendant un transfert d’urgence peut avoir des effets au-delà d’un portail client: des annonces valides peuvent apparaître invalides, des origines non autorisées peuvent sembler acceptables, ou des états de publication contradictoires peuvent persister.
RFC 6480décrit l’architecture RPKI et sa relation avec les allocations d’adresses IP et de numéros de systèmes autonomes. En pratique, les RIR offrent différentes combinaisons de services hébergés et délégués, de dépôts, de soutien à la publication et de contrôles de compte. Un plan de continuité doit cartographier la mise en œuvre régionale réelle plutôt que de supposer un système uniforme.
Le premier objectif est d’éviter une autorité contradictoire. L’opérateur en place et l’opérateur intérimaire ne doivent pas tous deux émettre du matériel valide mais incohérent pour les mêmes ressources. L’activation nécessite une transition d’autorité contrôlée, et les parties utilisatrices ont besoin d’un chemin de publication stable. Si un transfert sûr ne peut être établi immédiatement, préserver l’état valide existant pour une période limitée peut être préférable à accepter des modifications à fort impact.
Le deuxième objectif est la sécurité des clés et des justificatifs. La planification de la continuité devrait déterminer quelles fonctions cryptographiques peuvent être restaurées à partir d’une sauvegarde protégée, lesquelles nécessitent des cérémonies, lesquelles restent sous le contrôle du détenteur de ressources, et lesquelles devraient être rétablies par une procédure transparente. L’opérateur ne devrait jamais recevoir plus de capacité de signature que ce que sa portée de service exige. L’accès devrait être multipartite, journalisé et examiné.
Le troisième objectif est l’avis aux détenteurs de ressources. Un détenteur utilisant un service hébergé peut avoir besoin de savoir si ses autorisations d’origine de route existantes restent valides, si les modifications sont temporairement restreintes et comment les révocations ou créations urgentes seront traitées. Un détenteur utilisant un service délégué peut dépendre davantage des fonctions de publication et de certificat parent. Les avis doivent être opérationnellement précis et exempts de campagne institutionnelle.
Le quatrième objectif est la surveillance de la validation. Avant, pendant et après la transition, des observateurs indépendants devraient surveiller la disponibilité du dépôt, la fraîcheur des objets, la cohérence des manifestes, les changements d’état invalide et les effets inattendus sur l’origine des routes. La restauration n’est pas complète simplement parce qu’un point de terminaison de service répond. Le matériel de confiance résultant doit être cohérent du point de vue des parties utilisatrices.
Parce que les conséquences peuvent se propager rapidement, le déclencheur pour déplacer les fonctions RPKI devrait exiger des preuves techniques directes et un chemin de transition testé. Un examen de gouvernance seul ne devrait jamais faire tourner l’autorité ou republier du matériel. Si un compromis de sécurité exige une action immédiate, la mesure devrait être limitée et suivie d’un compte rendu technique public une fois la divulgation sûre. La sécurité du routage ne devrait pas être transformée en monnaie d’échange dans un concours de reconnaissance.
Les détenteurs de ressources ont besoin d’une déclaration de droits de continuité
Les personnes et organisations desservies par un RIR sont souvent discutées collectivement, mais leurs besoins pratiques varient. Un grand opérateur peut avoir un personnel de registre expérimenté et des contacts redondants. Un petit fournisseur, une université, un réseau public ou un opérateur éloigné peut dépendre d’un seul compte et d’une seule personne. La conception d’urgence doit fonctionner pour le détenteur le moins équipé institutionnellement, pas seulement pour ceux déjà proches de la gouvernance régionale.
Premièrement, les enregistrements existants devraient rester présumés valides. Un examen du RIR n’est pas un examen de chaque détenteur. Les ressources ne devraient pas être gelées, révoquées, reclassifiées ou conditionnées au soutien de l’opérateur en place ou du contestataire. Toute action contre un enregistrement spécifique doit reposer sur la même politique et les mêmes preuves qui s’appliqueraient en dehors de la crise.
Deuxièmement, l’accès devrait être continu et neutre. Les contacts de compte valides ont besoin d’un chemin sécurisé vers un service urgent. Si l’authentification doit être réinitialisée, la procédure de remplacement devrait utiliser l’autorité vérifiée sur les ressources plutôt que le statut politique ou d’adhésion. Aucune faction ne devrait contrôler le service d’assistance, la liste électorale ou la récupération des justificatifs d’une manière qui fasse pression sur les détenteurs.
Troisièmement, les demandes en attente méritent préservation et un traitement équitable. L’opérateur intérimaire devrait enregistrer quand chaque demande est arrivée, quelle règle s’applique, quelles preuves ont été soumises et si la crise a causé un retard. Il devrait éviter de favoriser les demandeurs bien connectés. Lorsqu’une demande ne peut pas être décidée en toute sécurité, le détenteur devrait recevoir une raison et une voie de recours.
Quatrièmement, les frais et les contrats ne devraient pas devenir coercitifs. Les frais ordinaires peuvent continuer à financer le service, mais les surcharges d’urgence, les nouvelles dérogations, l’accélération de la dette ou les modifications de contrat devraient nécessiter une autorité légale explicite. Un détenteur ne devrait pas avoir à signer son soutien à une nouvelle institution pour conserver le service. Les paiements devraient aller à un compte cantonnad et vérifiable si le contrôle des fonds de l’opérateur en place est contesté.
Cinquièmement, les droits à la vie privée et à la sécurité continuent. Les informations des détenteurs de ressources ne devraient être utilisées que pour le service temporaire et la conformité légale. Elles ne devraient pas être fournies à des acteurs politiques, des soumissionnaires, des gouvernements ou des partenaires commerciaux en dehors d’une base valide. Les détenteurs devraient être informés de quelle entité traite leurs données, sous quelle autorité, dans quelle juridiction et comment soulever une préoccupation.
Sixièmement, les raisons et la révision doivent rester disponibles. Un opérateur intérimaire peut faire des erreurs, et l’urgence peut les amplifier. Un mécanisme de contestation indépendant rapide devrait exister pour les décisions à fort impact. Il devrait pouvoir ordonner une correction sans trancher le différend plus large sur la reconnaissance.
Enfin, les détenteurs de ressources devraient recevoir un avis clair que l’utilisation du service ne constitue pas un consentement institutionnel. Se connecter, payer des frais, soumettre une demande ou accepter le soutien de l’opérateur temporaire ne doit pas être compté comme une approbation du retrait de reconnaissance ou du successeur. Cette protection est au cœur de toute la conception. Les opérateurs devraient être libres de maintenir leurs réseaux en fonctionnement tout en retenant leur jugement sur qui devrait gouverner l’institution régionale.
Les tribunaux et la coordination du registre ont besoin d’un accord de frontière
Un RIR est constitué en société quelque part. Son personnel, ses contrats, ses comptes, son équipement et ses enregistrements sont soumis à la loi. Un tribunal peut nommer un séquestre, restreindre les administrateurs, préserver les actifs, ordonner une élection, reconnaître un administrateur ou décider de revendications affectant le contrôle. La coordination mondiale du registre ne peut pas traiter ces ordonnances comme un bruit de fond. Une ordonnance locale seule ne peut pas non plus établir l’autorité technique sur l’ensemble du système de registre des numéros Internet.
L’arrangement de continuité devrait anticiper cette double autorité. Avant une crise, le RIR et ses pairs devraient identifier quelles actions nécessitent une autorité juridique nationale et lesquelles relèvent de la coordination mondiale. L’accès aux locaux locaux, la direction du personnel, les comptes bancaires et les registres de la société peuvent nécessiter un acteur reconnu par un tribunal. L’exécution temporaire de services techniques inter-RIR peut nécessiter l’acceptation de l’ICANN, de l’IANA et des autres RIR. Aucune des deux parties ne devrait prétendre que son autorité fournit automatiquement l’autre.
Lorsque cela est possible, les parties devraient rechercher une ordonnance ou un accord de démarcation. Il peut autoriser la préservation et le transfert limité de service sans décider de la propriété finale ou de la reconnaissance. Il peut identifier le représentant local, protéger les données, préserver les actifs, permettre la coopération du personnel et exiger des rapports. Les organismes mondiaux peuvent alors définir la portée technique, l’authentification, la coordination avec l’IANA et les conditions de retour. Cette division respecte la loi locale tout en empêchant une impasse corporative d’arrêter le service régional.
Les ordonnances ou instructions contradictoires ont besoin d’une voie d’escalade préétablie. L’opérateur temporaire ne devrait pas choisir un camp secrètement. Il devrait suspendre l’action contestée si possible, préserver l’état actuel, chercher des éclaircissements et publier une explication non sensible. Si un préjudice technique immédiat est probable, une mesure de protection étroitement nécessaire peut être prise sous une autorité documentée, suivie d’un examen urgent.
Le retard judiciaire n’est pas automatiquement une défaillance du registre. Les tribunaux peuvent avancer lentement pour des raisons légitimes, et les parties peuvent avoir des droits d’appel. La continuité achète le temps nécessaire à une résolution légale. Inversement, les évaluateurs mondiaux ne devraient pas utiliser le service intérimaire pour rendre les procédures judiciaires non pertinentes en transférant tous les actifs et relations avant que le tribunal ne puisse agir. L’opération temporaire doit rester temporaire en substance.
La même retenue s’applique à un séquestre ou à un administrateur. Un tel responsable peut être le contrôleur légal local mais ne devrait pas être présumé comprendre la politique des ressources de numéros ou les dépendances techniques mondiales. Le responsable peut autoriser la coopération et protéger les actifs pendant que le personnel qualifié du registre exécute des fonctions limitées. Un modèle coopératif est plus sûr que de demander à l’autorité juridique ou technique de se faire passer pour l’autre.
Cette frontière n’est pas une faiblesse institutionnelle. C’est un compte rendu réaliste de la façon dont un RIR existe. La reconnaissance ne flotte pas au-dessus de la loi, et une société ne possède pas la hiérarchie mondiale. La continuité réussit lorsque les deux systèmes peuvent protéger leurs intérêts légitimes sans faire attendre les opérateurs une victoire juridictionnelle.
La réhabilitation devrait être plus facile parce que le service est sûr
Le projet de document de gouvernance crée une présomption en faveur de l’aide à un RIR non conforme pour résoudre ses problèmes et décrit le retrait de reconnaissance comme un dernier recours. Ce principe devient plus crédible lorsque la continuité est déjà assurée. Les évaluateurs peuvent offrir une réhabilitation sans craindre que chaque semaine supplémentaire expose les opérateurs. L’opérateur en place peut accepter de l’aide sans se présenter comme la seule barrière contre une panne.
Un plan de réhabilitation devrait identifier quelles capacités reviennent au RIR et quand. Les services techniques peuvent être restaurés après des tests d’intégrité et de sécurité. Les décisions à fort impact peuvent revenir après que l’autorité de gouvernance est clarifiée. Le contrôle financier peut revenir après un examen indépendant et une sauvegarde. Chaque jalon devrait avoir des preuves, une date et une voie de recours. Un succès partiel devrait produire un retour partiel plutôt qu’un jugement tout ou rien.
Le personnel est essentiel à cet effort. Un opérateur intérimaire devrait préserver l’emploi et les connaissances institutionnelles lorsque cela est légal, non traiter la crise comme une opportunité de remplacer la main-d’œuvre. Les employés en place peuvent connaître les politiques, les langues, l’historique des clients et les dépendances techniques qu’aucune équipe externe ne peut reproduire rapidement. Ils devraient recevoir des lignes hiérarchiques claires, une protection contre les représailles factionnelles et des moyens sécurisés de signaler les risques.
Les membres ont également besoin d’un rôle significatif. La consultation communautaire devrait aborder l’impact sur le service, les tests de réhabilitation et les conditions de retour sans transformer l’accès opérationnel en un vote sur les personnalités. Un processus de membres vérifié peut être nécessaire pour rétablir le conseil d’administration, mais le service des détenteurs de ressources ne peut pas dépendre de la participation électorale. Les deux pistes peuvent se dérouler en parallèle.
L’opérateur temporaire ne devrait pas noter son propre succès. Des évaluateurs indépendants peuvent vérifier l’intégrité des données, les niveaux de service, la sécurité, la cohérence des politiques, la vie privée et la capacité restaurée de l’opérateur en place. Le RIR affecté devrait pouvoir contester les résultats des tests et refaire les tests échoués. Des résumés publics peuvent montrer les progrès tout en protégeant les détails sensibles.
Le retour doit être la valeur par défaut lorsque le déclencheur prend fin. L’opérateur en place ne devrait pas avoir à prouver la perfection; il devrait prouver la capacité requise par les engagements de gouvernance. L’opérateur temporaire peut être opérationnellement plus fort, mais l’excellence comparative n’est pas une autorité. Si le RIR reconnu peut à nouveau fournir un service stable, sûr, précis et responsable sous une gouvernance légale, la commodité ne peut pas justifier un déplacement continu.
En rendant le service séparable, la continuité abaisse la température politique. La réhabilitation peut être jugée sur des faits. Le retrait de reconnaissance, s’il est finalement proposé, ne peut pas être défendu comme la seule façon d’arrêter une souffrance immédiate liée au service. C’est exactement pourquoi la séquence compte: des opérateurs sûrs créent un espace pour des institutions équitables.
Le retrait de reconnaissance nécessite un dossier de continuité complet
Une décision finale de retrait de reconnaissance ne devrait jamais dire que les arrangements de transfert seront élaborés par la suite. Elle devrait inclure un dossier de continuité complet, testé avant que le changement de statut ne devienne effectif. Le dossier est la preuve que la décision protège la communauté de numérotation plutôt que de simplement condamner l’opérateur en place.
Au minimum, il devrait identifier l’entité de service intérimaire ou successeur; l’autorité juridique dans les juridictions pertinentes; les fonctions à exécuter; un instantané des données faisant autorité et leur rapprochement; une évaluation de sécurité; un plan d’identité et d’accès; un plan de DNS inverse; un plan de sécurité du routage; la coordination avec l’IANA; le personnel; les langues et heures de service; le financement; les contrôles de la vie privée; les dépendances vis-à-vis des fournisseurs; les communications; les mécanismes de plainte et d’appel; les objectifs de récupération; et un test de basculement et de retour en
arrière.
Le dossier devrait également distinguer l’opération intérimaire de la reconnaissance du successeur. Un opérateur d’urgence peut être le meilleur organisme pour préserver les services et le mauvais organisme pour devenir le registre régional permanent. Il peut s’agir d’un RIR pair dont le rôle permanent minerait l’autonomie régionale. Il peut s’agir d’un consortium technique sans gouvernance des membres. Il peut s’agir d’une entité de courte durée créée sous l’autorité d’un tribunal. La performance pendant l’urgence peut éclairer l’évaluation future, mais elle ne devrait pas conférer une revendication automatique.
Les tests par les détenteurs de ressources sont essentiels. Des opérateurs sélectionnés de différentes tailles, langues, juridictions et types de services devraient vérifier qu’ils peuvent s’authentifier, voir des enregistrements corrects, soumettre des demandes représentatives, recevoir des avis et contester des erreurs. Les tests synthétiques seuls manquent de vrais problèmes d’autorité. La participation ne doit pas être présentée comme une approbation de la décision de statut.
Le basculement devrait être échelonné lorsque cela est possible. Les services en lecture seule et les informations publiques en miroir peuvent être validés en premier. Les transactions à faible risque peuvent suivre. Les changements d’autorité à fort impact ne devraient être déplacés qu’après un rapprochement. Un chemin de retour en arrière devrait exister jusqu’à ce que la nouvelle opération soit prouvée stable. Si une opération parallèle crée une autorité contradictoire, le plan devrait utiliser une validation fantôme plutôt qu’une émission simultanée.
La décision devrait évaluer le risque de transition. Combien de demandes peuvent être retardées? Quelles fonctions peuvent être temporairement restreintes? Quel échec déclencherait un retour en arrière? Qui indemnise pour une erreur opérationnelle? Quelle incertitude reste dans le litige local? Une affirmation de « transfert en douceur » n’est pas une analyse. Un risque résiduel mesuré en est une.
Ce n’est qu’après que ce dossier est approuvé que le statut de reconnaissance devrait prendre effet. Si le test de continuité échoue, la décision de statut peut encore être justifiée sur le fond, mais la mise en œuvre doit attendre ou utiliser une mesure d’urgence plus étroite. On ne peut pas demander aux détenteurs de ressources d’absorber une panne évitable pour démontrer une détermination institutionnelle. La légitimité du retrait de reconnaissance dépend en partie de la compétence avec laquelle le service est préservé.
Le renouvellement et le retour nécessitent une supervision plus forte que l’activation
Les arrangements temporaires ont tendance à persister. L’opérateur acquiert des connaissances, les contrats sont prolongés, le personnel change de rapports hiérarchiques et l’urgence devient normale. La supervision devrait donc s’intensifier au fil du temps plutôt que de s’estomper après une décision d’activation dramatique.
Le terme initial peut être court parce que le prédicat factuel est urgent et le mandat étroit. Le renouvellement devrait nécessiter un nouveau dossier: quels services restent altérés, ce que l’opérateur en place a fait pour les rétablir, si l’opérateur est resté dans son périmètre, quels incidents se sont produits, comment les détenteurs de ressources ont été affectés, quels coûts ont été engagés et quel travail de retour ou de transition reste à faire. Un renouvellement ne peut pas reposer uniquement sur la crise initiale.
Différentes fonctions peuvent avoir des dates différentes. Les informations publiques pourraient revenir rapidement tandis que la récupération de comptes à fort impact reste temporaire. Les opérations de sécurité du routage pourraient nécessiter une validation supplémentaire. L’administration financière pourrait rester sous supervision locale. La décision devrait réduire le mandat chaque fois que possible. Un renouvellement unique pour tous les services cache les progrès et encourage la dérive institutionnelle.
La communauté affectée devrait être entendue, mais la consultation doit être conçue contre la coercition et la capture. Les retours d’information devraient accepter des preuves opérationnelles confidentielles, divulguer les affiliations lorsque cela est pertinent et éviter de traiter les comptages de commentaires bruts comme une autorisation. Les petits détenteurs de ressources et les opérateurs en dehors du circuit principal des réunions ont besoin de canaux accessibles. Les plaintes relatives au service doivent être distinguées des opinions sur la reconnaissance.
Un examinateur indépendant de la continuité devrait publier des conclusions publiques périodiques. L’examinateur peut examiner les journaux d’actions, la sécurité, la vie privée, les frais, l’impartialité, la fidélité à la politique, les plaintes et le travail de restauration. Il devrait avoir le pouvoir d’exiger une correction et de recommander un rétrécissement, un retour ou un remplacement de l’opérateur temporaire. Il ne devrait pas être contrôlé par l’opérateur ou par une faction institutionnelle.
Le retour est une décision avec son propre test, pas une faveur. Une fois que l’opérateur en place démontre une autorité légale et une capacité adéquate pour un service, ce service devrait revenir à une date définie. L’opérateur temporaire transfère l’état actuel et retire l’accès. Si les examinateurs refusent le retour, ils doivent identifier l’exigence non satisfaite et les preuves. Des références vagues à la confiance sont insuffisantes.
Si le retrait de reconnaissance devient définitif, la période intérimaire se transforme en un transfert autorisé séparément. La base juridique, la durée et la destination changent. L’opérateur temporaire ne devrait pas simplement continuer sous une autorité d’urgence indéfiniment. Un changement de mandat clair protège tout le monde: l’opérateur en place peut contester la décision de statut, le successeur peut établir une gouvernance légitime et les détenteurs de ressources peuvent comprendre qui est responsable de quoi.
La préparation devrait être vérifiable dans les cinq régions
Les exigences de continuité perdent leur légitimité si elles sont écrites pour un registre en difficulté et traitées comme facultatives ailleurs. Chaque RIR devrait faire face à la même norme de préparation, ajustée uniquement pour les différences régionales légales. Le but n’est pas de prédire quelle région échouera. C’est de supprimer la dépendance à une seule institution dans un système coordonné mondialement.
Un audit devrait tester les résultats plutôt que de collecter des plans. Un instantané actuel faisant autorité peut-il être restauré? Peut-il être rapproché avec les enregistrements de l’IANA et publics? Certaines fonctions de service peuvent-elles s’exécuter dans un environnement séparé? Les détenteurs de ressources peuvent-ils s’authentifier sans approbation politique de l’opérateur en place? Les dépendances du DNS inverse et de la sécurité du routage peuvent-elles être protégées? L’opérateur de réserve peut-il appliquer la politique régionale correcte? Les exigences de confidentialité et légales peuvent-elles être satisfaites?
L’autorité peut-elle revenir proprement?
Le résultat synthétique devrait être public. Il peut rapporter les objectifs de récupération, la portée de l’exercice, les lacunes matérielles, les dates de remédiation et si la préparation a été vérifiée de manière indépendante. L’architecture sensible à la sécurité et les informations personnelles restent confidentielles. Un échec répété devrait d’abord conduire à une remédiation et à un soutien requis, et non à une menace immédiate de statut. Mais un RIR qui refuse les tests de continuité expose ses détenteurs de ressources et devrait faire l’objet d’une constatation formelle de non-conformité opérationnelle.
La préparation des pairs compte également. Un plan nommant un autre RIR est sans valeur si ce RIR n’a pas la capacité, l’autorisation légale, le soutien linguistique ou une infrastructure isolée. Les exercices collectifs devraient tester la coordination inter-RIR et l’authentification de l’IANA. Les conflits et les récusations devraient être simulés. Le système devrait savoir comment agir si un pair est lui-même altéré ou si deux crises se chevauchent.
Le financement devrait être suffisamment permanent pour éviter une appropriation d’urgence. Une facilité de continuité partagée pourrait soutenir le dépôt fiduciaire, les exercices, l’examen indépendant et la capacité de pointe tout en laissant les opérations régionales décentralisées. Les contributions et la gouvernance devraient empêcher la plus grande institution de contrôler l’activation. L’assurance peut couvrir certains coûts mais ne peut pas remplacer la préparation technique.
L’audit devrait également examiner les incitations pour l’opérateur en place. La continuité peut ressembler à une préparation au remplacement, ce qui encourage une coopération minimale. La règle devrait indiquer clairement que la transférabilité testée est une preuve de gouvernance responsable, pas une faiblesse. Les institutions fortes planifient pour l’incendie, la cyberattaque, l’interruption judiciaire, la catastrophe et la perte de leadership. La capacité de transférer temporairement fait partie du maintien de la confiance.
Une préparation uniforme change la politique de la crise. Aucune région n’est pointée du doigt; aucun opérateur ne peut prétendre que l’examen de la continuité est une attaque déguisée; aucun pair ne peut exiger d’un autre ce qu’il n’a pas lui-même préparé. La norme devient une infrastructure ordinaire, disponible en cas de besoin et autrement discrète.
Le service d’abord, le statut ensuite
Le principe central peut être écrit comme une séquence. Détecter et définir le risque pour le service. Préserver les enregistrements et l’autorité. Activer uniquement les fonctions qui ne peuvent pas être restaurées en toute sécurité par l’opérateur en place. Maintenir intacts la politique régionale et les droits des détenteurs de ressources. Tester la réhabilitation. Renvoyer les services lorsque la capacité revient. Décider de la reconnaissance uniquement sur un dossier distinct et complet. Si le retrait de reconnaissance est finalement nécessaire, le mettre en œuvre par le biais d’un arrangement de continuité qui a déjà fait ses preuves.
Cette séquence donne à l’IANA un rôle clair sans en faire un opérateur régional. Elle donne aux RIR pairs un moyen de fournir une profondeur technique sans acquérir l’institution. Elle donne aux tribunaux un espace pour déterminer l’autorité corporative légale. Elle donne aux évaluateurs le temps de distinguer l’incapacité du conflit. Plus important encore, elle donne aux opérateurs de réseaux un service fiable sans exiger d’allégeance politique.
Le bilan des réformes pointe déjà dans cette direction. Les procédures de conformité de 2024 reconnaissent les fournisseurs d’urgence et les sauvegardes. Les principes de la version 2 exigent la continuité et le partage des enregistrements. Le projet de 2025 définit l’opération temporaire, la publication, le retour d’information de la communauté, le retour, l’examen, la réhabilitation, le transfert et la préparation collective. Le rapport d’étape de 2026 identifie les problèmes restants d’initiation, d’extension, de détail de transition et de protection des détenteurs de ressources.
La prochaine étape n’est pas une autre promesse générale de transfert en douceur. C’est une condition préalable vérifiable. Avant qu’un retrait de reconnaissance définitif ne puisse prendre effet, les décideurs devraient démontrer que les services exacts affectés peuvent être maintenus dans des arrangements légaux, sécurisés, neutres, financés et réversibles. S’ils ne le peuvent pas, ils ne sont pas prêts à changer le statut institutionnel.
Les détenteurs de ressources n’ont pas créé le cadre de reconnaissance, et ils ne devraient pas porter son risque de conception. Leurs allocations et leurs besoins opérationnels ne devraient pas devenir une pression appliquée à un opérateur en place, à un contestataire, à un tribunal ou à une région. La continuité supprime cette pression. Elle rend le service d’urgence moins politique, la réhabilitation plus crédible et le retrait de reconnaissance plus responsable.
L’ordre n’est donc pas un détail technique. C’est une garantie constitutionnelle pour le système de numérotation: un service intérimaire avant le retrait de reconnaissance, une capacité transférable avant le jugement institutionnel et des droits ininterrompus pour les opérateurs dont les réseaux donnent de l’importance au système.
Sources
- ICANN, Implementation and Assessment Procedures for ICP-2 Compliance, ratifié le 24 décembre 2024
- NRO, Proposed ICP-2 Version 2 Principles
- NRO, Second Draft of the RIR Governance Document
- NRO NC, RIR Governance Document Version 2 Status Report, T1 2026
- IANA, Number Resources
- IANA, RIR Allocation Data
- IETF, RFC 7020: The Internet Numbers Registry System
- IETF, RFC 6480: An Infrastructure to Support Secure Internet Routing

