Sécurisation et exploitation des noms de domaine : comment Gandi permet aux entreprises de respecter les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Informations ?

18 Fév, 2021  - écrit par  dans Corporate

En tant qu’actifs immatériels à forte valeur, la bonne gestion d’un portefeuille de noms de domaine est devenu au fil du temps la pierre angulaire de la stratégie globale des entreprises présentent sur la toile.

Afin de guider les entreprises dans le choix de leur prestataire et des points de contrôle à identifier, l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) met à disposition un guide réunissant 20 bonnes pratiques pour l’acquisition et l’exploitation des noms de domaine.

À travers une série de quatre articles, Gandi Corporate Services vous présente une série de mécanismes proposés pour vous permettre de répondre à chacune de ces recommandations.

L’Agence Nationale de la Sécurité des Systèmes d’Informations

L’Agence Nationale de la Sécurité des Systèmes d’Informations est une agence gouvernementale française créé en 2009 pour répondre aux potentielles menaces d’attaques informatiques. En tant qu’autorité nationale en matière de sécurité des systèmes d’exploitation, l’ANSSI définit donc des modèles en termes de sécurisation des territoires numériques et les publie pour informer et sensibiliser les entreprises mais aussi et plus largement chaque citoyen. 

Parmi ces publications, l’agence partage  depuis 2017 un ensemble de préconisations concernant l’acquisition et l’exploitation de noms de domaine. Un guide complet mettant également en lumière les critères de sélection pour le choix de son bureau d’enregistrement de noms de domaine.

Les bonnes pratiques pour l’acquisition et la sécurisation des noms de domaine proposées par Gandi Corporate Services  afin de permettre aux entreprises de répondre aux recommandations de l’ANSSI

Les recommandations de l’ANSSI sont de nature organisationnelles, juridiques et techniques. Au nombre de 20 au total, nous avons fait le choix de les traiter en 4 articles dédiés de 5 points afin d’y apporter une réponse précise.

Les 5 premières recommandations portent sur les critères de fiabilité des acteurs du DNS à prendre en compte lors de la sélection desdits acteurs, à savoir :

  1. Utiliser le verrou de niveau registre
  2. Choisir un bureau d’enregistrement offrant une authentification renforcée
  3. Utiliser le verrou de niveau bureau d’enregistrement
  4. Choisir un bureau d’enregistrement prenant en charge DNSSEC
  5. Évaluer les risques associés au recours à un revendeur

1. Utiliser le verrou de niveau registre, lorsque disponible

« Choisir un registre offrant un service de verrou de niveau registre et obtenir des assurances ou des engagements contractuels sur le niveau de service garanti pour cette fonctionnalité. »

La solution de sécurisation Gandi Corporate Services :

Le Registry Lock, ou verrou de niveau registre, est un système de verrouillage des noms de domaine basé sur l’intervention humaine de 2 à 3 acteurs. L’objectif est d’offrir un niveau de sécurité supplémentaire aux noms de domaine sensibles en rendant impossible certaines modifications critiques.

Cette procédure bloque les manipulations sensibles du nom de domaine, à savoir :

  • le transfert du nom de domaine vers un autre titulaire/registrar, 
  • les modifications des contacts du nom de domaine,
  • le changement de serveurs DNS,
  • la suppression volontaire du nom de domaine.

Chacune de ces actions nécessite l’intervention d’au moins deux intervenants : le titulaire, le bureau d’enregistrement et/ou le registre. Chaque demande doit passer par le bureau d’enregistrement, qui vérifiera la légitimité de titulaire avant de la transmettre au registre. 

À titre d’exemple, le Registry Lock est particulièrement utile pour se protéger du vol de données. Dans le cas où un tiers accède à votre compte et tente de changer les serveurs DNS pour les faire pointer vers des serveurs tiers sous son contrôle, bien qu’il aurait alors tous les droits sur le domaine, cette opération sera refusée directement au niveau du registre grâce au Registry Lock.

Gandi Corporate Services propose le Registry Lock pour le .COM, .FR, .NET mais aussi les extensions suivantes : .AT, .BANK, .BE, .CC, .CL, .CO.CR, .CO.UK, .COM.AU, .HK, .MX, .SG, .CZ, .FI, .GR, .IE, .INSURANCE, .IT, .LT, .NAME, .NL, .PT, .RE, .RS, .SE, .SI, .TV, .コム (.com japonais) / .닷컴 (.com koréen) / .닷넷 (.net koréen).

Pour en savoir plus sur le Registry Lock, n’hésitez pas à nous écrire à corporate@gandi.net.

2. Choisir un bureau d’enregistrement offrant une authentification renforcée

« Choisir un bureau d’enregistrement offrant un mécanisme d’authentification journalisée et renforcée, par exemple grâce à deux facteurs d’authentification et un filtrage des accès à l’interface d’administration. »

La solution de sécurisation Gandi Corporate Services :

Le portail d’administration Gandi est un environnement sécurisé par le système de connexion traditionnel (via un identifiant et un mot de passe), auquel peut s’ajouter deux options de sécurité :

  • le système de double authentification (TOTP, 2UF),
  • la restriction d’accès par adresses IP.

L’Authentification par Double Facteur ajoute une couche de protection au compte. Lorsqu’elle est activée, la connexion au compte nécessite en plus du mot de passe habituel, un code unique généré dynamiquement :

  • soit par une application installée sur smartphone, tablette ou ordinateur (TOTP),
  • soit par une clé physique (U2F).

Cela veut donc dire par exemple, que si un collaborateur utilise un mot de passe commun pour plusieurs de ses services en ligne, et donc son accès Gandi, et que ce mot de passe est rendu public, l’accès à l’interface de gestion de noms de domaine ne sera pas possible pour un tiers, car le deuxième facteur d’authentification sera demandé en plus du mot de passe pour accéder à l’interface de gestion.

La méthode de restriction d’accès par adresses IP permet d’aller plus loin en termes de sécurité en limitant l’accès à l’interface d’administration Gandi depuis une liste restrictive d’adresses IP, préalablement déclarées.

Au-delà de ces deux options, la plateforme Gandi permet une gestion de comptes d’accès individuels et personnalisés par utilisateur permettant d’attribuer différents niveaux de permission au sein d’une même équipe. De cette manière, la transparence et la traçabilité des actions sont garanties, pour une gestion filigrane, flexible et sécurisée.

Activez vos options de sécurité

3. Utiliser le verrou de niveau bureau d’enregistrement, lorsque disponible

« Choisir un bureau d’enregistrement offrant un mécanisme de verrou de niveau bureau d’enregistrement afin de prévenir les transferts frauduleux de gestion de domaines. »

La solution de sécurisation Gandi Corporate Services :

Le système de verrou de niveau bureau d’enregistrement apporte une protection sur les noms de domaine. Cette protection se matérialise par la mise en place d’un verrou afin d’empêcher un transfert non volontaire. La désactivation de ce verrou est uniquement accessible aux contacts ayant les permissions nécessaires.

Le service est disponible pour la majorité des extensions proposées par Gandi Corporate Services et est complémentaire du Registry Lock.

Différence entre Registry Lock et Registrar Lock

Activez le verrouillage de transfert de domaine

4. Choisir un bureau d’enregistrement prenant en charge DNSSEC

« Sélectionner un bureau d’enregistrement qui permette de publier les informations nécessaires à l’utilisation de DNSSEC. »

La solution de sécurisation Gandi Corporate Services :

DNSSEC est un protocole qui permet de signer les informations échangées au niveau des serveurs de noms, par la cryptographie à clé publique. Il établit une « chaîne de confiance » depuis la racine DNS, en sécurisant les données renvoyées par les serveurs DNS.

Les données sont donc authentifiées de bout en bout, ce qui permet de garantir l’authenticité des réponses. Il est alors impossible pour un tiers de venir briser cette chaîne de confiance protégée sans être détecté.

L’activation de DNSSEC protège du détournement des données, connu aussi sous le nom de DNS hijacking, et permet de garantir par exemple que le trafic de votre site ne soit redirigé vers un site frauduleux cherchant à voler des données et informations.

Gandi Corporate Service propose gratuitement le service DNSSEC sur toutes les extensions qui le supportent et a même également simplifié son activation pour votre confort : en un clic, toute la chaîne DNSSEC peut être activée sans que vous n’ayez a générer de votre côté les clés cryptographiques nécessaires.

Illustration du service DNSSEC

Activez DNSSEC sur vos noms de domaine

5. Évaluer les risques associés au recours à un revendeur

« Lorsqu’un titulaire a recours à un prestataire, comme un revendeur, il doit entamer une démarche d’évaluation et de maîtrise des risques, notamment en suivant les recommandations du guide d’externalisation de l’ANSSI. »

La solution de sécurisation Gandi Corporate Services :

En tant que bureau d’enregistrement, Gandi Corporate Services traite en direct avec les registres et établit une étroite relation avec ses clients. 

Pour ceux qui confient la gestion de leur portefeuille à un prestataire, comme un cabinet de Propriété Intellectuelle par exemple, les risques sont maîtrisés : l’interface de gestion Gandi a été pensée pour offrir une gestion fine des permissions liées aux noms de domaine afin que le titulaire en conserve les droits et limite les actions possibles du tiers à un périmètre défini.

Le traitement de ces 5 premiers critères permet de mettre en lumière les différents leviers de sécurisation mis en place par Gandi Corporate Services pour l’exploitation de vos noms de domaine. Pour en savoir plus, n’hésitez pas à contacter votre Chargé de Compte ou à nous écrire à corporate@gandi.net

Et n’oubliez pas de consulter régulièrement notre rubrique dédiée aux grands comptes pour être informés sur l’actualité du marché, être sensibilisés sur la protection de vos marques en ligne et pouvoir consulter la suite de cette saga.