Bonnes pratiques de sécurité : l’ANSSI s’intéresse aux noms de domaine

Bonnes pratiques de sécurité : l’ANSSI s’intéresse aux noms de domaine

Véritable porte d’entrée sur Internet, le nom de domaine est devenu au fil du temps un actif absolument critique des organisations. S’il tombe c’est toute l’entreprise qui tombe, et avec elle son site Internet, ses emails, ses applications, ses VPNs… et donc son chiffre d’affaires.

Si les solutions pour sécuriser un portefeuille de noms de domaine ont mis du temps à se mettre en place, l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) a pourtant émis dès 2014 un guide des bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine.

Actuellement disponible dans sa version 1.3, le guide de l’ANSSI offre des recommandations organisationnelles, juridiques et techniques pour gérer ses noms de domaine de manière sécurisée. Il met également en avant l’importance du choix du prestataire en rappelant que « l’actualité récente a démontré que les prestataires intervenant dans la gestion des noms de domaine sont d’importants vecteurs de risque. Leur compromission peut entraîner l’interception de trafic et de courriers électroniques, des dénis de service, ou encore des défigurations de sites Web»

Véritable sujet cyber, l’ANSSI prend également soin de préciser que la protection des noms de domaine « concerne potentiellement toute entité ayant une présence sur Internet ».

Les recommandations l’ANSSI sont de 3 ordres :

  1. La validation d’un certain nombre de points contractuels lors du choix d’un registrar pour ses noms de domaine (SLA – Garantie de niveau de service, mise à disposition des produits de sécurité comme le verrou de registre, encore appelé Registry Lock ou MultiLock, authentification forte indispensable à la validation des opérations…)
  2. La sécurité du DNS revêt également un aspect essentiel puisqu’une infrastructure robuste est absolument nécessaire, le système DNS pouvant également subir des attaques en déni de service (DNS DDoS). L’hébergement du DNS doit ainsi être « résilient et sécurisé »
  3. L’ANSSI rappelle enfin que si la dimension de sécurité technique est fondamentale, celle de la sécurité juridique l’est tout autant, avec notamment un point de focus à réaliser afin d’assurer une cohérence avec le droit des marques, évitant ainsi le risque lié à la propriété intellectuelle.

L’AFNIC (organisme assurant la gestion du .FR) et CSC Digital Brand Services se sont penchés sur le sujet des bonnes pratiques ANSSI dans un événement récent qui peut être visionné en replay sur demande. Il y est notamment question de l’identification des noms de domaine critiques dans un portefeuille et de la nécessaire implémentation des services de verrou registre (comme le FR-LOCK de l’AFNIC sur le .FR).

CSC met également à la disposition des personnes intéressées sa Domain Security Checklist qui permet d’identifier les points de sécurité indispensables à une gestion corporate de ses noms de domaine.