L’écosystème des registrars de noms de domaine est complexe. À cette complexité s’ajoute la multiplicité des vecteurs de menaces susceptibles de cibler une entreprise en tirant parti de noms de domaine légitimes compromis ou d’enregistrements malveillants. Lorsque la fiabilité de votre cyber-sécurité dépend de celle de vos fournisseurs, leur choix est d’une importance cruciale.
Nos recherches, menées en collaboration avec SecurityScorecard, ont montré une corrélation positive entre la note de cyber-sécurité qu’obtient une société et son choix de faire appel à un registrar de noms de domaine Corporate, avec une note globale bien meilleure en moyenne par rapport aux sociétés qui ont recours à un registrar grand public.
On distingue, en effet, deux grandes catégories de registrars de noms de domaine : les registrars Corporate et les registrars grand public. Les registrars grand public représentent plus de 99 % des registrars dans le monde et proposent des services liés aux noms de domaine, aux sites web et aux messageries qui peuvent convenir aux particuliers, aux indépendants et aux petites entreprises qui démarrent. Un registrar Corporate se spécialise dans la prestation de services aux entreprises et aux titulaires de marques qui ont besoin de niveaux avancés de pratiques commerciales, de capacités, d’expertise et de personnel d’assistance en matière de gestion des noms de domaine et des systèmes de nom de domaine ainsi qu’en terme de sécurité, de protection de la marque et de lutte contre la fraude, de gouvernance des données et de cyber-sécurité.
Pour savoir si vous travaillez avec un registrar Corporate, vérifiez s’il a mis en place les contrôles de sécurité suivants :
- Dispositif de sécurité proactif pour éviter le détournement de DNS/nom de domaine
- Mesures de sécurité de Défense en profondeur (DiD) des noms de domaine, parmi lesquelles : Authentification à deux facteurs (2FA), DMARC (Domain-based message authentication, reporting, and conformance), DNSSEC et verrouillage au niveau du registre.
- Méthode d’identification KYC (Know Your Customer) et vérification auprès de l’Office of Foreign Assets Control (« OFAC »)
- Centres de données certifiés ISO 27001
- Conformité à la norme SOC 2®
- Tests d’intrusion et tests de vulnérabilité
- Tests de sécurité réguliers, y compris des tests d’injection SQL et de vulnérabilité XSS
- Accréditation par l’ICANN (Internet Corporation for Assigned Names and Numbers) et les registres.
Certains registrars grand public ont des pratiques commerciales qui peuvent involontairement nuire aux marques. Certains exploitent des plateformes de vente de noms de domaine qui capturent, mettent aux enchères et vendent au plus offrant des noms de domaines de marques commerciales, ou se livrent à la génération en masse de noms de domaine (« domain spinning ») et font la promotion de l’enregistrement de noms de domaine de marques déposées qui diffusent le typosquatting.
Beaucoup monétisent des noms de domaine de marques commerciales avec des sites sponsorisés ou utilisés pour le parking de noms de domaine, et proposent des services d’enregistrements de noms de domaine low-cost et par lots, avec peu ou pas de vérification de l’identité des titulaires de noms de domaine.
Si ces pratiques n’ont pas un impact direct sur l’activité des entreprises, elles favorisent les abus de marque ou l’enregistrement de noms de domaine similaires pouvant prêter à confusion et qui pourraient être utilisés à des fins malveillantes.
Nous recommandons de faire appel à un fournisseur de services Corporate dont le personnel, les processus et la technologie sont structurés en fonction de la sécurité.
Si tout le monde peut prétendre proposer des services répondant aux besoins des entreprises internationales d’aujourd’hui, celles-ci sont néanmoins tenues de connaître les différences entre les fournisseurs. Elles doivent notamment comprendre en quoi le choix d’un fournisseur s’inscrit dans le processus décisionnel concernant leur stratégie de sécurité globale et influence également les questions relatives à la conformité et au risque.
Contactez CSC pour découvrir comment nous pouvons vous aider dans la gestion et la cyber-sécurité de vos noms de domaine.