Noms de domaine : Conformités avec les Recommandations de l’ANSSI

Créée en 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Sa mission est de comprendre, prévenir et répondre au risque cyber.

Son action pour la protection face aux cyberattaques se traduit en quatre grandes missions : défendre, connaître, partager, accompagner. Son rôle est de conseiller et de partager des recommandations de cybersécurité, des solutions et des outils, mais aussi des guides et bonnes pratiques auprès des acteurs publics et privés, comme les entreprises, à travers des publications sur son site.

Parmi ces publications, l’agence partage un ensemble de recommandations et de bonnes pratiques sur l’acquisition et l’exploitation de noms de domaine au travers d’un guide complet disponible ici :

Bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine.

Découvrez ci-après la mise en conformité de SafeBrands avec les recommandations de l’ANSSI : Comment SafeBrands répond aux recommandations et vous permet d’être en parfaite conformité avec toutes les recommandations de l’ANSSI.

➜ Liste des recommandations :

R1. Utiliser le verrou de niveau registre

« Choisir un registre offrant un service de verrou de niveau registre et obtenir des assurances ou des engagements contractuels sur le niveau de service garanti pour cette fonctionnalité. »

Conformité SafeBrands : OUI

Commentaire : Offre Registry Lock SafeBrands

R2. Choisir un bureau d’enregistrement offrant une authentification renforcée

« Choisir un bureau d’enregistrement offrant un mécanisme d’authentification journalisée et renforcée, par exemple grâce à deux facteurs d’authentification et un filtrage des accès à l’interface d’administration. »

Conformité SafeBrands : OUI

Commentaire : authentification à deux facteurs et protection renforcée des accès aux espaces clients (plages d’adresses IP, complexité et modification des mots de passe, etc.).

R3+. Utiliser le verrou de niveau bureau d’enregistrement

« Choisir un bureau d’enregistrement offrant un mécanisme de verrou de niveau bureau d’enregistrement afin de prévenir les transferts frauduleux de gestion de domaines. »

Conformité SafeBrands : OUI

R4+. Choisir un bureau d’enregistrement prenant en charge DNSSEC

« Sélectionner un bureau d’enregistrement qui permette de publier les informations nécessaires à l’utilisation de DNSSEC. »

Conformité SafeBrands : OUI

Commentaire : DNSSEC SafeBrands

R5. Évaluer les risques associés au recours à un revendeur

« Lorsqu’un titulaire a recours à un prestataire, comme un revendeur, il doit entamer une démarche d’évaluation et de maîtrise des risques, notamment en suivant les recommandations du guide d’externalisation de l’ANSSI. »

Conformité SafeBrands : OUI

Commentaire : Accréditée dans la quasi-totalité des extensions génériques et dans plus de 120 pays, SafeBrands fait partie des bureaux d’enregistrement ayant le plus grand nombre d’accréditations au monde en matière d’extensions, ce qui permet de réduire drastiquement le nombre d’intermédiaires.

R6. Utiliser au moins deux serveurs faisant autorité

« Servir les noms de domaine depuis au moins deux serveurs faisant autorités distinctes. »

Conformité SafeBrands : OUI

R7+. Répartir les serveurs dans plusieurs préfixes réseau

« Répartir les serveurs de noms faisant autorité dans plusieurs préfixes (blocs d’adresses IP) ou utiliser la technique de routage Anycast. »

Conformité SafeBrands : OUI

R8+. Répartir géographiquement les serveurs

« Éloigner les serveurs de noms, par exemple, en les plaçant dans différents centres de données, afin de mieux résister aux aléas naturels et aux incidents techniques. »

Conformité SafeBrands : OUI

R9. Prendre en charge TCP comme protocole de transport du DNS

« Configurer les infrastructures dans leur ensemble, notamment les serveurs, les répartiteurs de charge et les équipements de filtrage, pour prendre en charge TCP, en complément d’UDP, comme protocole de transport pour le DNS. »

Conformité SafeBrands : OUI

R10. Prendre en charge l’extension DNS EDNS0

« Configurer ses infrastructures, notamment les serveurs DNS, les répartiteurs de charges, les systèmes de détection d’intrusion et les pares-feux, afin de prendre en charge EDNS0. »

Conformité SafeBrands : OUI

R11. Définie des valeurs de TTL élevées en mode nominal

« Configurer des valeurs de TTL relativement élevées, dans le cadre normal des opérations. »

Conformité SafeBrands : OUI

Commentaire : par défaut les TTL sont à 33200. Nos clients peuvent changer ces valeurs via leur interface sécurisée.

R12. Effectuer des sauvegardes du contenu des zones

« Mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS. »

Conformité SafeBrands : OUI

Commentaire : sauvegarde quotidienne des zones et sauvegardes des journaux d’update.

R13. Surveiller la santé des serveurs faisant autorité

« Mettre en place un système automatisé de surveillance des données fournies par ses serveurs faisant autorité et par ceux des zones parentes. »

Conformité SafeBrands : OUI

Commentaire : surveillance des enregistrements critiques de nos zones, et sur demande, de celles de nos clients, 24/7.

R14+. Utiliser des piles logicielles variées

« Employer au minimum deux logiciels de serveurs DNS différents sur l’ensemble des serveurs faisant autorité sur un nom de domaine. »

Conformité SafeBrands : OUI

R15+. Utiliser des composants distincts pour l’interrogation et le service de zones

« Le service d’interrogation DNS devrait être rendu par un serveur ou un processus cloisonné distinct de celui rendant le service DNS faisant autorité sur des noms de domaine. »

Conformité SafeBrands : OUI

Commentaire : séparation des privilèges, cloisonnement des process, de leur environnement et de la mémoire EDNS pris en charge.

R16. Éviter l’emploi des vues dans l’objectif de cloisonner l’information

« Répartir les données internes d’une part, et les données externes d’autre part sur des machines ou des processus distincts et cloisonnés. »

Conformité SafeBrands : OUI

R17. Utiliser le mécanisme RRL lorsqu’il est disponible

« Employer le mécanisme anti-déni de service distribué RRL sur les implantations le proposant. »

Conformité SafeBrands : OUI

Commentaire : mécanisme anti-DDoS présents et actifs, non basés sur RRL mais sur des mécanisme IDS avec règles personnalisées et des solutions Arbor Network.

R18. Ne jamais sciemment décider de ne pas répondre à une requête DNS

« Si RRL est mis en œuvre, utiliser une valeur de « slipping » de 1, afin de toujours répondre aux requêtes DNS. »

Conformité SafeBrands : Non applicable (cf. #13)

R19. Préférer l’emploi de délégations avec colle (glue)

« Privilégier les délégations avec colle lorsque l’usage de délégation sans colle introduit de nouvelles dépendances tierces. »

Conformité SafeBrands : OUI

R20. Renforcer la configuration de la plateforme d’hébergement

« Durcir le système d’exploitation hébergeant les logiciels DNS. »

Conformité SafeBrands : OUI

Si vous souhaitez en savoir plus, n’hésitez pas à contacter votre Chargé(e) de Compte ou à nous écrire à support@safebrands.com si vous êtes déjà client.

➜ Pas encore client ? Contactez nos services commerciaux pour obtenir des renseignements et des devis.

Utilisez le Formulaire de contact ou contactez-nous directement aux coordonnées ci-dessous :

SafeBrands Europe

Service commercial
+33 (0)1 80 82 82 60 / +33 (0)4 88 66 22 35
sales@safebrands.com