DNS : Une composante fondamentale trop souvent négligée, 6e Partie – La gestion des DNS en question au plus haut niveau de l’entreprise

Le rapport Horizon Scan Report 2018 du Business Continuity Institute a identifié les 10 premiers risques pesant sur la continuité d’activité en interrogeant 657 personnes dans 76 pays. Sans surprise, le DNS est un facteur essentiel dans quatre risques sur 10 – en raison des vulnérabilités que nous avons évoquées tout au long de cette série de billets de blog – notamment les cyberattaques, les violations des données, les interruptions de réseaux TI et télécoms, et les perturbations de la chaîne d’approvisionnement.

Dans notre dernier billet, nous vous avons fait part des recommandations de CSC concernant la sécurisation des DNS pour pallier ces 10 vulnérabilités, parmi lesquelles l’adoption de quatre politiques pour :

  1. Employer des fonctionnalités de sécurité avancées pour les noms de domaine critiques de l’entreprise
  2. Contrôler les autorisations utilisateur
  3. Sécuriser l’accès au portail de gestion des noms de domaine et des serveurs DNS
  4. Regrouper les services DNS (noms de domaine, DNS et certificats numériques) auprès d’un seul fournisseur professionnel

Dans ce billet, nous préciserons à quel niveau doivent être prises les décisions concernant les politiques de sécurité.

Quel que soit le type de cyberattaque, les entreprises courent un risque de divulgation potentielle de secrets commerciaux et de propriété intellectuelle, sans parler des procédures judiciaires éventuelles engagées par des clients, des partenaires ou d’autres intervenants impactés. Elles peuvent également devoir faire face à une sévère atteinte à leur réputation et une perte de confiance des investisseurs, qui s’accompagneront généralement d’une forte baisse de leur valeur boursière.

Cela signifie que le Conseil d’administration est tenu de comprendre tous les risques qui pèsent sur l’entreprise, y compris les cyber-risques. Il est clair que les noms de domaine et les DNS sont vulnérables au risque de mauvaise gestion et d’attaques externes. En cas d’incident, les actions du conseil d’administration seront étroitement surveillées par l’opinion publique, les tribunaux et les législateurs.

Toutefois, la sécurité des noms de domaine et des DNS est un moyen et non une fin, la fin étant la conformité. Une étude récente du Ponemon Institute[1] consacrée aux certificats numériques suggère que les organisations sont moins intéressées par les avantages liés à la sécurité que par le maintien de leur conformité, ce qui leur permettra d’éviter les pénalités financières et les sanctions en cas de non-conformité (pensez au Règlement général sur la protection des données, entré en vigueur en mai 2018, et qui permet d’infliger aux entreprises des amendes pouvant atteindre 4 % de leur chiffre d’affaires annuel en cas de non-respect de l’obligation de protection des données de leurs clients).

Si le conseil d’administration d’une entreprise ne comprend pas que le DNS soit reconnu comme étant la première cible pour l’exfiltration de données, il est temps de les informer sur le sujet. Le pourcentage d’organisations ayant subi des vols de données liées aux vulnérabilités DNS est passé de 28 % en 2017 à 33 % en 2018[2].

Implémenter et activer une politique de sécurité DNS avec CSC Security Center

Nous avons développé la plateforme CSC Security CenterSM, qui détermine les risques relatifs aux noms de domaine vitaux, et permet aux membres du conseil d’administration de l’entreprise de bien comprendre quels risques pèsent sur les noms de domaine afin de prendre les décisions nécessaires pour atténuer l’impact des cybermenaces. CSC Security Center permet également la bonne application des politiques, en envoyant des notifications en cas d’infraction.

Cette approche unique va modifier la façon dont sont sécurisés les noms de domaine et les serveurs DNS. La plateforme identifie les noms de domaine critiques pour l’activité de l’entreprise, les surveille en permanence pour garantir qu’ils sont sécurisés avec les dispositifs de protection adaptés, et alerte l’entreprise dès qu’elle localise une faille de sécurité.

Nous avons également établi une politique de verrouillage du registre automatique avec nos clients du CSC Security Center pour réduire les risques de détournement de DNS sur leurs noms de domaine vitaux. La Politique de verrouillage automatique fonctionne en tandem avec la meilleure pratique qui consiste à renouveler automatiquement les noms de domaine afin d’éviter leur expiration et leur enregistrement par un tiers.

Nous conseillons aux entreprises de s’associer avec des prestataires de services DNS de niveau professionnel qui disposent des ressources et des outils nécessaires pour les aider à appliquer des politiques strictes. Une fois qu’ils auront compris les implications potentielles d’une mauvaise gestion du DNS et des attaques externes, les membres du conseil d’administration comprendront la nécessité de faire appel à un partenaire réputé, et souhaiteront investir dans celui qui offre le plus de garanties de sécurité.

S’abonner à notre blog

Abonnez-vous à notre blog pour être avertis des nouvelles publications.

Lisez les billets précédents de la série :

<< 1e Partie – Qu’est-ce que le DNS et pourquoi est-il vulnérable ?

<< 2e Partie – Les quatre vulnérabilités DNS que vous devez connaître

<< 3e Partie – Six vulnérabilités DNS supplémentaires qui rendent la sécurité essentielle

<< 4e Partie – La menace croissante des piratages DNS et du domain-shadowing

<< 5e Partie – Atténuer les risques de 10 vulnérabilités DNS importantes

Téléchargez notre dernier Rapport de cyber-sécurité.


[1 ] thesslstore.com/blog/71-of-organizations-dont-know-how-many-certificates-keys-they-have/

[2 ]efficientip.com/wp-content/uploads/EfficientIP-DNS-Threat-Report-2018.pdf