Gandi Corporate Services pour la sécurité de vos noms de domaine
Alors que les cybermenaces sont de plus en plus omniprésentes, Gandi Corporate Services accompagne et guide les entreprises dans le déploiement et la sécurisation de leur portefeuille de noms de domaine, la protection de leurs marques et autres signes distinctifs.
Capitalisant sur un savoir-faire de plus de 20 ans, nous vous invitons à découvrir :
- Pourquoi et comment Gandi Corporate Services place la sécurité des noms de domaine au cœur de ses engagements
- Les services de protection Gandi Corporate Services disponibles pour sécuriser vos noms de domaine
La sécurité de vos noms de domaine au cœur de notre engagement
Pourquoi la sécurité des noms de domaine est-elle si importante ?
La sécurité des noms de domaine est importante car le nom de domaine représente le coeur de l’activité d’une entreprise sur Internet.
Il est d’un côté garant de la disponibilité des services numériques liés à l’entreprise (site internet, adresses email des collaborateurs…). Un problème lié à un nom de domaine peut donc avoir des répercussions importantes sur l’activité économique d’une entreprise.
Mais le nom de domaine est également garant de l’image de marque de l’entreprise. Face aux cybermenaces, l’enregistrement des noms de domaine les plus pertinents et la surveillance des utilisations illégitimes doivent donc être au centre de la stratégie de protection de marque en ligne.
C’est donc à la fois toute l’activité économique et l’image de marque qui reposent sur cet actif de Propriété Intellectuelle, qui ne représente parfois qu’une dizaine d’euros lors de son enregistrement ou renouvellement. D’où la nécessité d’en garantir la sécurité.
L’architecture de l’infrastructure Gandi Corporate Services comme clé de voûte
D’un point de vue général, la sécurisation et la résilience du DNS de nos clients (donc, par exemple, la disponibilité du site internet associé au nom de domaine) sont rendues possibles grâce à l’architecture de l’infrastructure en propre, mise en place par les experts réseaux et sécurité Gandi Corporate Services.
Puisque les serveurs DNS sont responsables de la disponibilité des noms de domaine, il est nécessaire de limiter l’impact d’une éventuelle défaillance de l’un d’entre eux en associant à minima deux serveurs DNS distincts à chaque nom de domaine (ne pas mettre tous ses oeufs dans le même panier). C’est pourquoi chez Gandi Coporate Services, chaque nom de domaine est par défaut configuré pour être réparti sur trois serveurs, indépendants et répartis géographiquement, permettant de toujours être en mesure de répondre aux requêtes en cas d’incident technique sur l’un des réseaux. Cette redondance des infrastructures permet la disponibilité de vos noms de domaine, et donc de toute votre activité numérique.
De plus, l’architecture DNS Gandi est bâtie sur la technique de l’Anycast. Elle permet de disposer en réalité de plus de serveurs disponibles répartis tout autour du globe, et de répondre aux demandes depuis le datacenter le plus proche afin d’accomplir deux objectifs :
- Répondre plus rapidement en étant plus près géographiquement du demandeur,
- Bénéficier d’une redondance du service en cas d’incident dans l’un des datacenters ou l’un des réseaux.
Gandi Corporate Services compte aujourd’hui les POP (Point Of Presence) suivants* :
- Amsterdam
- Ashburn
- Chicago
- Dallas
- Frankfurt
- Fremont
- Hong-Kong
- Johannesburg
- London
- Los-angeles
- Luxembourg
- Miami
- Mumbai
- New-York
- Paris
- Sao-Paulo
- Seattle
- Silicon-Valley
- Singapore
- Stockholm
- Sydney
- Tokyo
- Toronto
*données non contractuelles, pouvant être soumises à évolution.
C’est donc cette infrastructure résiliente bâtie sur plus de 20 ans d’expérience qui fait partie du socle indispensable pour garantir la sécurité des noms de domaine. Toutefois, une bonne stratégie de sécurisation doit également reposer sur divers services connexes, à savoir :
- une interface de gestion flexible et sécurisée,
- des options de sécurisation de l’accès à votre compte (double facteur etc..),
- des options de sécurisation des noms de domaine et des serveurs DNS,
- des services de surveillance pour la protection des marques sur internet.
Les services de protection Gandi Corporate Services pour sécuriser vos noms de domaine
L’offre Gandi Corporate Services inclut l’accompagnement quotidien d’un chargé de clientèle dans la gestion et la protection de vos actifs de Propriété Intellectuelle sur Internet. C’est la combinaison de cette équipe d’experts et de la robustesse de l’infrastructure qui permet de mettre à disposition un grand nombre de services de protection de marque en ligne et de sécurité.
La sécurisation du portail d’administration des noms de domaine
Le portail d’administration Gandi est un environnement sécurisé par le système de connexion traditionnel (via un identifiant et un mot de passe), auquel peut s’ajouter plusieurs options de sécurité :
- le système de double authentification (TOTP, U2F),
- la restriction d’accès par adresses IP,
- une gestion fine des droits d’accès via le système d’équipe,
- une gestion fine des droits d’accès via l’authentification SSO.
L’authentification par double facteur
L’authentification par double facteur ajoute une couche de protection au compte. Lorsqu’elle est activée, la connexion au compte nécessite, en plus du mot de passe habituel, un code unique généré dynamiquement :
- soit par une application installée sur smartphone, tablette ou ordinateur (TOTP),
- soit par une clé physique (U2F).
Cette option est activable directement depuis le portail d’administration Gandi.
La restriction d’accès par adresses IP
La méthode de restriction d’accès par adresses IP permet d’aller plus loin en termes de sécurité en limitant l’accès à l’interface d’administration Gandi depuis une liste restrictive d’adresses IP, préalablement déclarées.
Une gestion fine des droits d’accès via le système d’équipe
Au-delà de ces deux options, le portail d’administration Gandi permet une gestion de comptes d’accès individuels et personnalisés par utilisateur permettant d’attribuer différents niveaux de permission au sein d’une même équipe. De cette manière, la transparence et la traçabilité des actions sont garanties, pour une gestion filigrane, flexible et sécurisée.
Une gestion fine des droits d’accès via l’authentification single sign on via le protocole SAML
Enfin, l’authentification SSO, pour Single Sign-On, permet de se connecter au portail d’administration Gandi avec votre jeu identifiant / mot de passe de votre entreprise. En plus d’apporter un plus grand confort à l’utilisateur, elle est bien plus pratique et sécurisée pour l’administrateur qui gère uniquement son répertoire de comptes entreprise en autorisant les accès aux collaborateurs selon leur champ d’action sur chaque application.
La méthode d’authentification SSO via SAML garantit ainsi une plus grande sécurité tant elle permet :
- assurer et maîtriser le niveau de sécurité d’authentification souhaité pour l’entreprise,
- gérer tous les accès de leurs collaborateurs depuis un seul emplacement (et ainsi éviter les éventuels oublis de suppression).
Les options de sécurisation des noms de domaine
La sécurisation des noms de domaine passe essentiellement par un contrôle très strict des actions rendues possibles sur les noms de domaine et par une disponibilité optimale des serveurs DNS. C’est pourquoi Gandi Corporate Services met à disposition des options de sécurisation pour palier à la fragilité des noms de domaine.
Le service Transfer Lock
Le Transfer Lock permet de verrouiller les noms de domaine sensibles auprès du bureau d’enregistrement pour empêcher un transfert non volontaire. La désactivation de ce verrou est uniquement accessible aux contacts ayant les permissions nécessaires.
Le service est disponible pour la majorité des extensions proposées par Gandi Corporate Services et est complémentaire du Registry Lock qui lui est un service proposé par certains registres.
Le service Registry Lock
Le Registry Lock, ou verrou de niveau registre, est un système de verrouillage des noms de domaine basé sur l’intervention humaine de 2 à 3 acteurs. L’objectif est d’offrir un niveau de sécurité supplémentaire aux noms de domaine sensibles en rendant impossible certaines modifications critiques sans une vérification de la part du registre.
Cette procédure bloque les manipulations sensibles du nom de domaine, à savoir :
- le transfert du nom de domaine vers un autre titulaire/registrar,
- les modifications des contacts du nom de domaine,
- le changement de serveurs DNS,
- la suppression volontaire du nom de domaine.
L’activation du Registry Lock permet, par exemple, d’empêcher des actions malveillantes sur les domaines, même en cas de compromission de l’accès au compte.
Le service Registry Lock est disponible sur les extensions .COM, .NET et .FR, mais aussi .AT, .BE, .CL, .CO.CR, .CO.UK, .COM.AU, .HK, .MX, .SG, .CZ, .FI, .GR, .IE, .IT, .LT, .NL, .PT, .RE, .RS, .SE, .SI.
Le service Advanced DNS
Concernant les noms de domaines vitaux, nous recommandons vivement la mise en place de l’offre Advanced DNS garantissant une disponibilité à 99,999%.
L’option Advanced DNS permet de bénéficier d’une entrée DNS logique supplémentaire associé aux 3 autres entrées LiveDNS de l’infrastructure Gandi, le tout totalement administrable depuis le portail d’administration Gandi.
Ce serveur logique supplémentaire s’appuie sur l’infrastructure Anycast étendue de Cloudflare, répartie dans plus de 200 villes* pour assurer une redondance optimale :
- Seattle,
- San Jose,
- Los Angeles,
- Chicago,
- Toronto,
- Newark,
- Ashburn
- Atlanta,
- Dallas,
- Miami,
- Medellin,
- Valparaiso,
- Sao Paulo,
- London,
- Amsterdam,
- Paris,
- Frankfurt,
- Madrid,
- Stockholm…
*données non contractuelles, pouvant être soumises à évolution.
Le service DNSSEC
DNSSEC est un protocole qui permet de signer les informations échangées au niveau des serveurs de noms, par la cryptographie à clé publique. Il établit une « chaîne de confiance » depuis la racine DNS, en sécurisant les données renvoyées par les serveurs DNS.
Les données sont donc authentifiées de bout en bout, ce qui permet de garantir l’authenticité des réponses. Il est alors impossible pour un tiers de venir briser cette chaîne de confiance protégée, sans être détecté.
L’activation de DNSSEC protège du détournement des données, connu aussi sous le nom de DNS hijacking, et permet de garantir par exemple que le trafic vers votre site ne soit pas redirigé vers un site frauduleux cherchant à voler des données et informations.
Gandi Corporate Services propose gratuitement le service DNSSEC sur toutes les extensions qui le supportent et a même également simplifié son activation pour votre confort : en un clic, toute la chaîne DNSSEC peut être activée sans que vous n’ayez a générer de votre côté les clés cryptographiques nécessaires.
Les services de surveillance pour la protection de marque en ligne
La sécurisation des noms de domaine est le coeur de métier de Gandi Corporate Services. Mais les menaces qui pèsent sur les noms de domaine vont au-delà des aspects techniques, nécessitant une veille constante de l’utilisation de vos marques en ligne via des services de surveillance des noms de domaine afin d’assurer une présence numérique maîtrisée.
Le service de surveillance de noms de domaine
Le service de surveillance de noms de domaine agit via un système de veille sur Internet qui détecte quotidiennement les utilisations illégitimes parmi les noms de domaine et sous-domaine. Ces alertes vous permettent de réagir rapidement face aux fraudes liées aux noms de domaine avec pour objectif de pouvoir intervenir parfois même avant qu’un contenu ne puisse être publié ou que le domaine ne soit utilisé (envoi de phishing etc..).
Le service s’étend aux sous-domaines, aux variantes typographiques, aux marques en caractères internationalisés, ainsi qu’aux homoglyphes IDN, sur un catalogue de plus de 1200 TLDs.
Le service de surveillance de contenus en ligne
Le service de surveillance des contenus en ligne permet notamment de stopper les contrefaçons, protéger vos clients des fraudes et autres escroqueries en ligne, tout particulièrement lorsque le nom de domaine utilisé pour déployer le contenu illicite ne reprend pas la marque de manière volontaire.
En comparaison avec le service de surveillance de noms de domaine, le service de surveillance de contenus en ligne propose une couverture complémentaire puisque celle-ci s’établit sur :
- les places de marché,
- les réseaux sociaux,
- les applications mobiles.
Cette dynamique multidimensionnelle assure à une entreprise d’apprécier l’utilisation de sa marque sur le marché et d’en reprendre le contrôle.
Voici donc les clés d’une bonne stratégie de sécurisation. La robustesse de l’infrastructure et l’expertise des équipes Gandi Corporate Services sont bien entendu le socle essentiel, mais c’est également la complémentarité des services de sécurisation qui garantira la protection de vos noms de domaine. Leur association permet de garder le contrôle sur l’intégralité de votre portefeuille de noms de domaine et d’établir une stratégie défensive de protection de marque.
Pour en savoir plus sur chacun de ces services, n’hésitez pas à contacter votre Chargé de Compte ou à écrire à l’équipe Gandi Corporate Services à corporatecontact@gandi.net.
Tagged in corporateDNSNom de domaineSécurité