par Ken Linscott
Jusqu’à maintenant, cette série de billets s’est intéressée à l’importance du DNS sur les activités en ligne des entreprises et aux 10 facteurs de vulnérabilité de l’infrastructure DNS aux cyberattaques, parmi lesquelles :
- Empoisonnement du cache DNS
- Mauvaise gestion des noms de domaine
- Piratage DNS
- Domain-shadowing
- Interruption de services DNS
- Malware
- Tunnels DNS
- Attaques zero-day
- Attaques par déni de service (DDoS)
- Mauvaise gestion des certificats numériques.
Pour limiter ces risques, la stratégie de « défense en profondeur » – une approche multicouche pour garantir la sécurité des actifs numériques – toute société doit inclure une politique de sécurité DNS clairement définie :
1. Employer des fonctionnalités de sécurité avancées pour les noms de domaine critiques de l’entreprise
- Le protocole DNSSEC (Domain Name System Security Extension) est un outil important de la protection globale des vulnérabilités DNS parce qu’il chiffre la requête envoyée au fournisseur de services Internet et a également un effet visuel dissuasif pour les cybercriminels, puisqu’il est indiqué dans le WHOIS. La signature électronique de la zone racine signifie que le client peut être certain d’atteindre le site web légitime de l’entreprise ; les pirates ne seront pas capables de rediriger le trafic vers un site contrefait en vue de recueillir les noms d’utilisateur et les mots de passe.
- Le verrouillage du registre arrête les modifications automatiques des enregistrements DNS, ce qui empêche l’exécution des requêtes non autorisées, qu’elles viennent d’un accès compromis au portail de gestion de vos noms de domaine ou aux systèmes de votre registrar. Ces verrous sont mentionnés dans la base de données WHOIS, ce qui ajoute un autre élément dissuasif visible par les criminels.
- Les certificats numériques chiffrent les données en ligne pour sécuriser les transactions e-commerce et les communications via Internet. De plus en plus, chaque site web actif a besoin d’un certificat numérique valide renouvelé régulièrement pour éviter d’être signalé comme potentiellement dangereux pour ses visiteurs. Google®, en particulier, bloque automatiquement les sites web qui ne sont pas protégés par un certificat numérique.
- Le protocole DMARC (Domain-based message authentication, reporting, and conformance) est un protocole d’authentification des e-mails qui protège les organisations contre l’utilisation non autorisée de leurs noms de domaine, communément désignée par « spoofing e-mail ». Le protocole DMARC empêche les attaques sur la messagerie d’entreprise, les e-mails de phishing, les scams et autres cybermenaces.
2. Contrôler les autorisations utilisateur
Les entreprises doivent également régulièrement passer en revue les autorisations des membres du personnel pour l’accès au portail de gestion des serveurs DNS et des noms de domaine. Un bon prestataire professionnel devrait être capable d’alerter les entreprises afin qu’elles modifient leurs autorisations. Seuls les utilisateurs de confiance devraient avoir accès aux niveaux d’autorisation élevés. De même, en cas de départ d’un employé, les autorisations dont il dispose devraient être supprimées immédiatement. Les utilisateurs qui disposent d’un niveau d’autorisation élevé ont accès aux fonctions critiques des serveurs DNS qui peuvent permettre de perturber ou de pirater la présence en ligne d’une entreprise, y compris :
- Faire expirer un nom de domaine
- Transférer la propriété d’un nom de domaine
- Modifier le serveur DNS
- Modifier le fichier de zone
3. Sécuriser l’accès au portail de gestion des serveurs DNS et des noms de domaine
Cette mesure est facilitée lorsque la gestion des noms de domaine et des serveurs DNS est regroupée chez un seul fournisseur professionnel, qui devrait être un partenaire de confiance proposant l’authentification à deux facteurs (utilisée par les plateformes de services bancaires en ligne) et des identités fédérées pour les environnements avec authentification unique (SSO). Ces protections peu coûteuses, mais efficaces compliquent l’accès aux noms de domaine vitaux de l’entreprise par les pirates.
4. Regrouper les services DNS (domaine, DNS et certificats numériques) auprès d’un fournisseur professionnel
Lorsqu’une entreprise fait appel à un prestataire professionnel capable de gérer les noms de domaine, les serveurs DNS et les certificats numériques pour des marques de renom international, celui-ci se charge de la surveillance et de la mise à jour de toutes les mesures de protection citées dans ces billets de blog, ce qui minimise les cybermenaces. Dans l’espace DNS, cela signifie choisir un fournisseur réputé pour garantir une disponibilité totale (100 %) afin d’empêcher les pannes de services DNS, quel que soit le type d’attaque DDoS.
Un fournisseur doit également être capable d’optimiser ses investissements en systèmes et dispositifs de sécurité, y compris avec une formation régulière des membres de son personnel pour les informer des différents types de cyberattaques, parce l’humain représentera toujours le point le plus vulnérable.
On ne saurait trop insister sur l’importance de choisir un bon partenaire, et nous encourageons donc les entreprises à impliquer leur équipe chargée de la sécurité pour qu’elle interroge les fournisseurs potentiels sur des questions précises concernant la sécurité informatique.
Prochain billet
Dans notre prochain billet, nous préciserons à quel niveau doivent être prises les décisions concernant les politiques de sécurité.
Abonnez-vous à notre blog pour recevoir les notifications de publication des nouveaux billets.
D’autres billets de la série :
<< 1e Partie – Qu’est-ce que le DNS et pourquoi est-il vulnérable ?
<< 2e Partie – Les quatre vulnérabilités DNS que vous devez connaître
<< 3e Partie – Six vulnérabilités DNS supplémentaires qui rendent la sécurité essentielle
<< 4e Partie – La menace croissante des piratages DNS et du domain-shadowing