Pour intégrer les noms de domaine dans les politiques générales de sécurité des entreprises ?

La problématique pourrait être résumée comme ceci : de nombreuses entreprises, parce qu'elles sous-traitent la gestion de leurs noms de domaine à des prestataires spécialisés, considèrent qu'il n'est pas nécessaire de les intégrer dans leur politique globale de sécurité.

Dans ce cas de figure et pour prendre une autre image, tout se passe comme si les défenses étaient renforcées de manière à les rendre invincibles, tout en laissant les clefs sur la porte !

Cette anomalie est certainement appelée à se résorber à mesure que des attaques portant sur les noms de domaine auront sensibilisé les entreprises et les RSSI aux risques qu’il y a à les négliger. Mais pourquoi ne pas les anticiper ? D’autant que l’intensification des attaques ces dernières années, à la fois en volume et en diversité des modes opératoires, rend ce genre de réflexions urgentes si elles n’ont pas encore été engagées.

Des risques multiples, mais facilement contrôlables

Les risques associés aux noms de domaine peuvent souvent être limités, voire complètement supprimés en appliquant simplement des principes de bonne gestion ; encore faut-il les connaître …

• Risques techniques : on évoque ici à la fois la robustesse et la résilience des infrastructures DNS (en cas d’attaques par DDoS) mais aussi tout ce qui a trait aux configurations techniques des noms de domaine, qui peuvent créer des vulnérabilités et/ou exposer les entreprises à de graves inconvénients. Par exemple, les « repointages » en chaîne créent des dépendances entre les noms de domaine d’un même portefeuille. Certains noms sont plus stratégiques que d’autres de sorte qu’un dysfonctionnement les affectant sera plus critique que si le nom concerné est d’un intérêt secondaire.

• Risques juridiques : la titularité des noms de domaine est souvent négligée ou en tout cas mal optimisée, en large partie parce que les problèmes liés à cet aspect sont peu courants. Mais certaines entreprises ont vécu de véritables cauchemars le jour où elles se sont aperçues que leurs noms de domaine ne leur appartenaient pas – ou qu’ils appartenaient à des structures ayant cessé d’avoir toute existence légale, sans que les données aient été mises à jour.

• Risques administratifs : il s’agit là d’une question de gestion purement administrative des noms de domaine : contacts titulaire et administratif par exemple, mais aussi suivi des échéances de renouvellement. On ne compte plus les entreprises n’ayant pas pu quitter facilement un prestataire parce que celui-ci contrôlait les contacts ; on ne compte plus non plus les titulaires ayant perdu des noms précieux en ayant simplement oublié de les renouveler dans les délais. Dans le contexte actuel de désorganisation due au confinement, cet aspect du renouvellement des noms de domaine est primordial et il devrait être prioritaire. De nombreuses extensions proposent aujourd’hui l’enregistrement multi-années, comme le .fr qui peut être enregistré pour 10 ans.

• Risques liés à l’image : les noms de domaine étant les prolongations des marques sur internet, certains risques leur sont associés en termes d’image : comme par exemple le piratage d’un nom de domaine clef redirigé par l’attaquant vers des contenus préjudiciables à l’image de l’entreprise ou de ses produits. Dans d’autres cas, le risque est causé par le dépôt et l’utilisation de  noms de domaine si proches d’autres noms de domaines préexistants que les utilisateurs, clients ou prospects, peuvent se tromper en toute bonne foi. Cette ressemblance du nom de domaine peut parasiter les marques d’une entreprise, et lui être préjudiciable, sans que cela ne soit le but recherché.

• Dépendance vis-à-vis de tiers spécialisés : la gestion des noms de domaine est souvent déléguée à des tiers spécialisés : agences web, conseils, bureaux d’enregistrement. La solidité globale d’une chaîne étant celle de son maillon le plus faible, l’entreprise doit s’assurer que ses prestataires respectent eux aussi les règles qu’elle entend appliquer à ses propres équipes. La sécurisation des échanges et de l’accès aux interfaces d’administration des noms de domaine fait par exemple partie des « bonnes pratiques » susceptibles d’éviter des problèmes.

•  Dépôts réalisés par des tiers : les dépôts de noms de domaine réalisés par des tiers et portant sur les marques d’une entreprise sont toujours sources de risques. Même si ces tiers sont « amicaux », rien ne dit qu’ils respectent les règles de bonne gestion et qu’ils ne laisseront pas retomber dans le domaine public des noms potentiellement précieux sans en informer l’entreprise au préalable. La plupart du temps, ce sont des partenaires ou des prestataires, il importe donc de savoir ce qui se passera quand la relation commerciale prendra fin (pas toujours dans les meilleures conditions). Si enfin ces tiers sont véritablement hostiles, le danger de voir les noms déposés utilisés à des fins de phishing ou pour nuire à l’image de l’entreprise sont élevés.

La bonne nouvelle est que tous ces risques peuvent être maîtrisés, et évalués en regard de leur probabilité d’occurrence et de leur criticité en cas de réalisation.

Leur diversité implique toutefois que l’équipe en charge de la gestion du dossier associe plusieurs compétences autour d’un « référent ». Cette approche transverse est en elle-même un facteur de réduction des risques et ne doit donc pas être négligée, quelle que soit la taille de l’entreprise.