Le CCB et DNS Belgium ont élaboré conjointement des directives DNS pour améliorer la sécurité des noms de domaine et de l'infrastructure de messagerie électronique. Plus concrètement, il s'agit de mesures telles que les protocoles SPF, DKIM et DMARC qui contribuent à prévenir la fraude par courrier électronique et à protéger les noms de domaine contre les abus. Kristof Tuyteleers, expert en cybersécurité chez DNS Belgium, explique le rôle de ces lignes directrices.
Pourquoi DNS Belgium et le CCB proposent-ils maintenant ces directives DNS ?
La raison pour laquelle nous avons joint nos forces au CCB était le rapport d’étude sur l'utilisation abusive de noms de domaine expirés du hacker éthique Inti de Ceukelaire. Cela a donné lieu à un premier document consultatif dans lequel nous nous sommes concentrés sur les collectivités locales en Belgique. Pour d'autres directives, nous nous sommes concentrés principalement sur le rôle de DNS dans la sécurisation de l'infrastructure de messagerie électronique.
Il y a quelque temps, nous avions examiné la cybersécurité des sites Web des administrations belges. Les résultats n’étaient guère encourageants. Quelles conditions devrait au minimum respecter le site Web d’une commune pour offrir une cybersécurité adéquate aux citoyens ?
Nous pouvons facilement dresser une liste de contrôle. À mon avis, tout site Web d’une commune devrait au moins satisfaire aux exigences de base suivantes :
- Fournir une
connexion
Internet cryptée via HTTPS.
Pour cela, il suffit d’acheter un certificat SSL ou TLS. - Garantir une procédure de connexion hautement sécurisée pour la gestion du site Web.
Une authentification forte consiste à prévoir, au moins, une vérification en deux étapes pour toutes les personnes qui gèrent votre site Web et les données connexes. - Effectuer régulièrement des mises à jour logicielles.
Cela permet d’éviter que votre site Web ne fonctionne sur des systèmes CMS obsolètes. Les versions plus anciennes des logiciels sont toujours plus susceptibles de présenter des vulnérabilités ou des failles de sécurité. - Limiter le nombre de points d'accès. Après tout, chaque entrée ou sortie est une voie d'attaque potentielle.
Il faut donc éviter de créer des portails ou des services ouverts superflus. - Établir une politique claire sur la sécurité des données
Le traitement correct des données à caractère personnel est le strict minimum, tel que défini légalement par le RGPD. Surveiller votre site Web et le protéger contre les attaques DDOS.
Surveillez le trafic de votre réseau afin de détecter les schémas suspects et les attaques volumétriques. Utilisez un pare-feu d'application Web (WAF), qu’il fasse ou non partie d'un service de protection DDOS plus général.
Si nécessaire, augmentez la capacité du réseau et utilisez l'équilibrage de charge. Cela permet de répartir le trafic Internet sur plusieurs serveurs. Aucune solution n'est efficace à 100 %. Il faut donc se doter d’une stratégie de sécurité multicouche.- Effectuer des copies de sécurité et anticiper les incidents.
Il est essentiel de procéder régulièrement à des copies de sécurité et de disposer d’un plan d’action pour faire face aux incidents. - Configurer des en-têtes de sécurité.
Par exemple, une politique de sécurité du contenu (CSP), HSTS et X-Frame-Options.
'Le fait que l'URL contienne « https » ne signifie pas que le site web est suffisamment sécurisé.'
Quelles sont les conséquences possibles si les administrations ne prennent pas ces mesures ?
Ces conséquences peuvent être graves. Il existe une probabilité plus élevée de violations de données, exposant les citoyens à un risque d’usurpation d’identité. Une sécurité insuffisante facilite également la copie frauduleuse des sites Web municipaux, ce qui peut piéger les citoyens dans une attaque d’ hameçonnage ( phishing ). La probabilité d’attaques DDOS ou de ransomware est également plus élevée, ce qui peut interrompre les services municipaux.
Les administrations doivent préserver la confiance des citoyens dans les services publics numériques et, à ce titre, elles doivent veiller à assurer la sécurité nécessaire. Une mauvaise gestion de la cybersécurité se traduit également par une publicité négative pour les municipalités et nuit à leur réputation.
Quels autres sites Web ou secteurs devraient, au minimum, satisfaire à ces règles de sécurité de base ?
Cette sécurité de base est essentielle pour tout site Web, et pas seulement pour les sites Web des administrations publiques. Les particuliers, les clubs sportifs et les autorités locales n’ont généralement pas l’expertise nécessaire pour s’en charger eux-mêmes, mais il existe de nombreux constructeurs de sites Web et sociétés d’hébergement de qualité qui peuvent les aider à cet égard. Demandez-leur également comment ils veillent à intégrer une sécurité suffisante lors de la création d’un site Web ou de l’acquisition d’un hébergement.
En tant qu’internaute, pouvez-vous savoir quels sites ou domaines sont sécurisés et lesquels ne le sont pas ?
Malheureusement, en tant qu’internaute, il est difficile de le déterminer. Le niveau de sécurité de la configuration sous-jacente des sites Web et des services de messagerie électronique n'est pas visible pour l’utilisateur final. Vous pouvez donc difficilement évaluer vous-même le niveau de sécurité.
Par exemple, la présence de « https » dans l’URL ne garantit pas que le site Web soit suffisamment sécurisé. De nombreuses mesures de sécurité ne sont pas visibles et se trouvent dans la configuration DNS. En cas de doute, il est préférable de ne pas saisir d’informations sensibles et de contacter l’administrateur du site Web.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.