Noms de domaine : les bonnes pratiques de l’Anssi

Un an après avoir édité une note technique pour la sécurisation des sites web (1), l’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié un guide de bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine (2).

15 recommandations techniques, juridiques et organisationnelles se trouvent ainsi listées, en rappelant que le choix de chacun des prestataires doit être effectué avec précaution, qu’il s’agisse du registre (registry), du bureau d’enregistrement (registrar), de l’hébergeur (opérateur technique) voire du revendeur. En effet, chacun de ces intermédiaires est une potentielle source de faiblesse en termes de sécurité.

D’un point de vue technique, l’Anssi recommande notamment de :

• servir les noms de domaine depuis au moins deux serveurs distincts,
• mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS,
• répartir les données internes et externes sur des machines ou des processus cloisonnés.

En outre, le demandeur à un nom de domaine devra veiller à ce que le registre choisi offre un « registry lock » ou « service de verrou de niveau registre », afin de lutter contre les risques d’usurpation de noms de domaine.

De même, le demandeur à un nom de domaine devra veiller à ce que le bureau d’enregistrement choisi offre un mécanisme d’authentification journalisée et renforcée.

D’un point de vue juridique, l’Anssi préconise de choisir des prestataires soumis à la législation française ou européenne. Une telle précaution parait particulièrement importante concernant le choix du bureau d’enregistrement, puisqu’ en cas de litige soumis à une procédure extrajudiciaire, la langue de procédure est celle du contrat du bureau d’enregistrement.

D’une façon générale, il est recommandé à tous les responsables de la sécurité des systèmes d’information de prendre connaissance de ce guide court et pratique avant de faire l’acquisition d’un nom de domaine ou le choix d’un prestataire pour l’acquisition et l’exploitation d’un nom de domaine ou d’un portefeuille de noms de domaine.

Alain Bensoussan Avocats,
Lexing Droit du numérique

(1) Recommandations pour la sécurisation des sites web, Anssi, 13-8-2013.
(2) Bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine, Anssi, Version 1.1 du 30-5-2014.
(3) Règles d’application des principes directeurs régissant le règlement uniforme des litiges relatifs aux noms de domaine, Icann 1999.