Gouvernance DNS en 2026 : contrôles des bureaux d’enregistrement prêts pour l’audit
À 07 h 42 un lundi matin, le RSSI d’une fintech en forte croissance reçoit le message que personne ne souhaite voir. Les clients ne peuvent pas accéder au portail de paiement, le centre de support est saturé, la messagerie ne fonctionne plus et le SOC n’a constaté ni logiciel malveillant, ni panne de pare-feu, ni incident chez un fournisseur de services cloud.
La cause racine est plus discrète et plus embarrassante. Un compte de bureau d’enregistrement a été utilisé au moyen d’un identifiant administrateur obsolète, partagé par plusieurs anciens membres de l’équipe informatique. L’attaquant a modifié les serveurs de noms faisant autorité, modifié des enregistrements MX, désactivé DNSSEC et redirigé le trafic suffisamment longtemps pour collecter des identifiants et perturber les API de partenaires. Le portail de paiement n’a pas été piraté au sens traditionnel. L’ancre de confiance de l’entreprise, son domaine, l’a été.
À 09 h 30, la crise opérationnelle est devenue une crise de conformité. L’organe de direction demande si le verrouillage au niveau du registre était activé. Le service juridique demande si des données à caractère personnel ont été exposées. Le délégué à la protection des données demande s’il s’agit d’une violation de données à caractère personnel au sens du GDPR. L’autorité de régulation veut savoir si une fonction critique ou importante a été affectée. Un auditeur client demande le ticket de changement approuvant la modification DNS.
Dans trop d’organisations, la réponse se résume à une feuille de calcul, une boîte aux lettres partagée et une console de bureau d’enregistrement que personne n’a revue depuis six mois.
En 2026, la gouvernance DNS et des bureaux d’enregistrement de domaines n’est plus un sujet d’infrastructure de niche. Elle fait partie de la résilience face aux rançongiciels, de la prévention du phishing, de la disponibilité cloud, de la gestion des risques liés aux fournisseurs, de la réponse aux incidents, de la continuité d’activité et de la conformité fondée sur des éléments probants. Si votre domaine peut être détourné, votre plateforme SaaS peut disparaître. Si vos enregistrements DNS peuvent être modifiés sans approbation, la sécurité de votre messagerie, votre SSO, vos certificats TLS, vos points de terminaison API et la confiance de vos clients peuvent être compromis en quelques minutes.
Pourquoi la gouvernance DNS et des bureaux d’enregistrement relève du SMSI
Un nom de domaine n’est pas seulement un actif de marque. C’est un actif logique, une dépendance d’authentification, une dépendance de routage et, souvent, un service géré par un fournisseur. Il relie les fournisseurs d’identité, l’authentification de la messagerie, la validation des certificats TLS, les points de terminaison cloud, les portails clients, les API, les services CDN, les sondes de surveillance et les communications relatives aux incidents.
La Politique de gestion des actifs - PME de Clarysec Politique de gestion des actifs - PME l’indique explicitement dans son périmètre :
Identifiants et services numériques : noms de domaine, certificats numériques, clés API, comptes de messagerie, connexions cloud
Extrait de la section « Champ d’application », clause de politique 2.2.4.
La même politique exige davantage qu’un simple référencement du nom de domaine :
La propriété, l’objet, les privilèges d’accès et les échéances de renouvellement doivent être documentés.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.6.2.
Pour les environnements d’entreprise, la Politique de gestion des actifs de Clarysec Politique de gestion des actifs inclut également les actifs logiques dans son périmètre :
Actifs logiques : noms de domaine, licences, comptes utilisateurs, configurations de référence
Extrait de la section « Champ d’application », clause de politique 2.2.5.
C’est le point de départ de la gouvernance. Un inventaire DNS et des bureaux d’enregistrement doit documenter :
- Nom de domaine, registre, bureau d’enregistrement, fournisseur d’hébergement DNS et serveurs de noms faisant autorité
- Responsable métier, responsable technique, responsable sécurité et approbateur d’urgence
- Objet, par exemple portail de production, API, messagerie, SSO, marketing, environnement de test ou enregistrement défensif
- Niveau de criticité et cartographie des dépendances avec les services métier
- Statut DNSSEC, statut de l’enregistrement DS, propriété des clés et processus de rotation des clés
- Statut du registry lock et du registrar lock
- MFA et modèle d’accès à privilèges pour les comptes du bureau d’enregistrement et du fournisseur DNS
- Date de renouvellement, statut de renouvellement automatique, responsable du paiement et alertes d’expiration
- Exigences de gestion des changements pour les modifications de zone et les changements de délégation
- Journalisation, alertes, surveillance et conservation des éléments probants
C’est pourquoi la gouvernance des domaines doit figurer dans le domaine d’application du SMSI ISO/IEC 27001:2022 et dans l’appréciation des risques. ISO/IEC 27001:2022 impose aux organisations de déterminer leur contexte, les exigences des parties intéressées, les obligations légales et contractuelles, ainsi que les interfaces et dépendances avec des organisations externes. Le DNS dépend des bureaux d’enregistrement, des registres, des fournisseurs d’hébergement DNS, des fournisseurs de services cloud, des autorités de certification, des MSP et parfois des agences marketing. Si ces interfaces sont exclues du SMSI, la piste d’audit sera incomplète.
Le modèle de menace DNS en 2026
Les défaillances DNS les plus dommageables sont souvent simples :
- Un domaine expire parce que la responsabilité du renouvellement n’était pas clairement attribuée.
- Une ancienne agence dispose toujours d’un accès à un compte de bureau d’enregistrement.
- DNSSEC est activé, mais les enregistrements DS sont incorrects après une migration de fournisseur DNS.
- Un enregistrement wildcard dirige le trafic vers un service cloud abandonné.
- Un enregistrement TXT est modifié pour valider un tenant SaaS contrôlé par un attaquant ou une demande de certificat.
- Des enregistrements MX sont modifiés pendant une campagne de phishing ou d’interception de courriels.
- Un CNAME vers une plateforme tierce devient vulnérable à une prise de contrôle.
- Le registry lock existe pour le domaine principal, mais pas pour les domaines nationaux exposés aux clients.
- Le SOC surveille les terminaux, mais personne ne surveille les changements de fichier de zone.
Les mesures de protection techniques sont bien connues. DNSSEC contribue à protéger l’intégrité des données DNS et l’authentification de l’origine. Le registry lock impose une vérification hors bande supplémentaire pour les changements à haut risque au niveau du registre. Le registrar lock réduit le risque de transfert non autorisé. La MFA et les revues des accès à privilèges réduisent la probabilité de prise de contrôle de compte. La gestion des changements prévient les interruptions accidentelles. La surveillance détecte les changements non autorisés ou inattendus.
Le défi de conformité est différent : pouvez-vous prouver que ces mesures de protection existent, qu’elles ont des responsables, qu’elles sont revues et qu’elles fonctionnent pendant un incident ?
C’est sur cette question des éléments probants que de nombreuses organisations échouent.
Cartographie de la gouvernance DNS avec ISO/IEC 27001:2022 et ISO/IEC 27002:2022
ISO/IEC 27001:2022 fournit la structure du système de management permettant de transformer les contrôles DNS en processus répétables et auditables. L’Annexe A d’ISO/IEC 27001:2022 et les lignes directrices relatives aux mesures de sécurité d’ISO/IEC 27002:2022 fournissent le vocabulaire de contrôle attendu par les auditeurs.
| Domaine de gouvernance DNS | Annexe A ISO/IEC 27001:2022 et thème probatoire ISO/IEC 27002:2022 | Ce que les auditeurs s’attendent à voir |
|---|---|---|
| Inventaire des domaines | 5.9 Inventaire des informations et autres actifs associés | Registre des domaines avec responsables, criticité, dates de renouvellement, fournisseur DNS, bureau d’enregistrement et dépendances |
| Accès au bureau d’enregistrement | 5.15 Contrôle d’accès, 5.16 Gestion des identités, 5.18 Droits d’accès, 8.5 Authentification sécurisée | Utilisateurs nominatifs, éléments probants MFA, enregistrements d’approbation, revues périodiques des accès et processus d’accès d’urgence |
| DNSSEC | 8.24 Utilisation de la cryptographie | Statut DNSSEC, enregistrements DS, garde des clés, plan de rotation et surveillance de la validation |
| Verrouillage au niveau du registre et du bureau d’enregistrement | 5.15 Contrôle d’accès, 8.20 Sécurité des réseaux, 8.21 Sécurité des services réseau, 8.32 Gestion des changements | Statut de verrouillage, procédure de déverrouillage, contacts autorisés et processus de vérification hors bande |
| Gestion des changements de zone | 8.9 Gestion des configurations, 8.32 Gestion des changements | Tickets de changement, appréciation des risques, approbations, éléments probants de mise en œuvre et plan de retour arrière |
| Gouvernance du fournisseur DNS | 5.19 Sécurité de l’information dans les relations avec les fournisseurs, 5.20 Prise en compte de la sécurité de l’information dans les accords fournisseurs, 5.22 Surveillance, revue et gestion des changements des services fournisseurs | Clauses contractuelles, SLA, responsabilités de sécurité, revues de service et attentes de notification des incidents |
| Journalisation et surveillance DNS | 8.15 Journalisation, 8.16 Activités de surveillance | Journaux, alertes, ingestion SIEM, conservation et éléments probants de test d’alerte |
| Réponse à une indisponibilité DNS | 5.24 Planification et préparation de la gestion des incidents de sécurité de l’information, 5.29 Sécurité de l’information pendant une perturbation, 5.30 Préparation ICT à la continuité d’activité | Runbooks, liste d’escalade, procédures de reprise et enseignements tirés post-incident |
Le Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec Zenith Blueprint traite les services réseau comme des objets d’audit explicites. Dans la phase Controls in Action, étape 20, il demande aux équipes de valider la sécurité des services réseau :
Répertoriez tous les services réseau internes et externes (DNS, VPN, SMTP, DHCP, passerelles API, etc.).
✓ Pour chacun, confirmez qu’il utilise des protocoles sécurisés (par exemple DNSSEC, TLS 1.2+, SSH au lieu de Telnet). ✓ Examinez la manière dont l’accès à chaque service est contrôlé (par exemple listes blanches IP, authentification, certificats). ✓ S’ils sont gérés par des tiers (par exemple DNS, SD-WAN, VPN hébergé), examinez les clauses de sécurité dans le SLA ou le contrat fournisseur. Mettez à jour votre registre des services et indiquez où se situent les responsabilités de sécurité, en interne ou en externe.
Extrait de la phase Controls in Action, étape 20 : contrôles 8.18 à 8.26.
Cela donne une trajectoire d’audit pratique : traiter le DNS comme un service réseau externe, documenter la manière dont il est sécurisé et consigner si la responsabilité est interne, chez un bureau d’enregistrement, chez un fournisseur DNS ou chez un MSP.
Le Zenith Controls: The Cross-Compliance Guide de Clarysec Zenith Controls est utile car la gouvernance DNS se rattache rarement à un seul référentiel. Une même décision relative à DNSSEC ou au registry lock soutient les éléments probants ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 et COBIT 2019.
Pour la surveillance des fournisseurs, Zenith Controls rattache le contrôle ISO/IEC 27002:2022 5.22, Surveillance, revue et gestion des changements des services fournisseurs, à une mesure préventive soutenant la confidentialité, l’intégrité et la disponibilité. Pour le DNS, cela signifie que votre bureau d’enregistrement et votre fournisseur DNS ne sont pas des fournisseurs à configurer puis oublier. Leur niveau de sécurité, les changements de service, les interruptions, les sous-traitants ultérieurs et les pratiques de notification doivent être revus.
Pour DNSSEC et l’intégrité cryptographique, Zenith Controls rattache le contrôle ISO/IEC 27002:2022 8.24, Utilisation de la cryptographie, à une mesure préventive alignée sur la configuration sécurisée. DNSSEC ne chiffre pas le trafic DNS, mais fournit une assurance cryptographique pour l’intégrité des données DNS et l’authentification de l’origine.
Pour les modifications de zone DNS, Zenith Controls rattache le contrôle ISO/IEC 27002:2022 8.32, Gestion des changements, à une mesure préventive soutenant la confidentialité, l’intégrité et la disponibilité. Un changement DNS est un changement de configuration. Une mise à jour d’enregistrement DS, un changement d’enregistrement MX, une migration CNAME, une mise à jour SPF ou DMARC, une bascule CDN ou un changement de délégation de serveurs de noms doit disposer d’un ticket, d’une appréciation des risques, d’une approbation, d’un résultat de test et d’un plan de retour arrière.
DNSSEC, registry lock et gestion des clés pour les domaines critiques
Tous les domaines ne présentent pas le même risque. Un domaine défensif utilisé uniquement pour prévenir l’usurpation peut nécessiter une surveillance et une discipline de renouvellement. Un domaine principal de portail client exige les contrôles les plus robustes disponibles.
Pour les domaines critiques, Clarysec recommande généralement ce socle minimal :
- DNSSEC activé et validé lorsque le registre, le bureau d’enregistrement et le fournisseur DNS le prennent en charge
- Enregistrements DS revus après toute migration de fournisseur DNS
- Processus documenté de rotation KSK et ZSK, lorsque les clés sont gérées par le client
- Registry lock activé pour les domaines principaux de production, d’identité, d’API, de paiement et de messagerie
- Registrar lock activé pour tous les domaines, sauf dérogation temporaire documentée
- MFA appliquée pour tous les utilisateurs du bureau d’enregistrement et du fournisseur DNS
- Utilisateurs à privilèges limités, nominatifs, approuvés et revus
- Accès d’urgence documenté et testé
- Surveillance des fichiers de zone avec alertes sur les changements NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA et wildcard
- Surveillance externe depuis plusieurs résolveurs et régions
- Éléments probants conservés dans le référentiel du SMSI
La Politique sur les contrôles cryptographiques d’entreprise de Clarysec Politique sur les contrôles cryptographiques fournit le point d’ancrage de gouvernance pour les clés DNSSEC :
Un registre de gestion des clés centralisé doit être maintenu afin d’enregistrer toutes les clés cryptographiques, leur statut dans le cycle de vie, les dépositaires attribués et les contextes d’utilisation.
Extrait de la section « Exigences de gouvernance », clause de politique 5.2.
Si votre organisation gère directement les clés DNSSEC, ou contrôle la publication DS auprès du bureau d’enregistrement, le registre de gestion des clés doit documenter la garde des clés, l’état du cycle de vie, les dates de rotation et l’autorité d’approbation. Si le fournisseur DNS gère les clés DNSSEC, l’enregistrement fournisseur doit expliquer cette responsabilité et inclure des éléments probants d’assurance.
Gouvernance des accès au bureau d’enregistrement : MFA, moindre privilège et contrôle d’urgence
Les comptes de bureaux d’enregistrement sont souvent créés tôt dans la vie d’une entreprise, puis oubliés à mesure que l’entreprise mûrit. Fondateurs, agences, développeurs, utilisateurs financiers et MSP peuvent tous disposer d’accès historiques. Il s’agit d’une faiblesse de contrôle sérieuse.
La Politique de gestion des comptes utilisateurs et des privilèges - PME de Clarysec Politique de gestion des comptes utilisateurs et des privilèges - PME indique :
Les privilèges élevés ou administratifs exigent une approbation supplémentaire du Directeur général ou du responsable informatique et doivent être documentés, limités dans le temps et soumis à une revue périodique.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.2.
Appliquez cette exigence directement aux accès au bureau d’enregistrement et au fournisseur DNS :
- Aucun compte administrateur partagé de bureau d’enregistrement
- MFA pour chaque utilisateur, de préférence résistante au phishing lorsque cela est pris en charge
- Contacts d’urgence nominatifs disposant d’une autorité documentée
- Séparation, lorsque possible, entre utilisateurs de facturation et administrateurs techniques
- Suppression immédiate des anciens employés, agences et fournisseurs
- Revue trimestrielle des accès à privilèges pour les domaines critiques
- Exceptions enregistrées avec dates d’expiration
- Procédures de déverrouillage et de reprise d’urgence testées, sans création de changements de production non sécurisés
Les éléments probants relatifs au registry lock doivent inclure des captures d’écran ou attestations du bureau d’enregistrement montrant le statut activé, les contacts autorisés, le processus de déverrouillage et la date de dernière revue.
Gestion des changements de zone : petites modifications DNS, impact métier majeur
Les changements DNS sont trompeusement modestes. Un enregistrement TXT peut valider la propriété d’une plateforme SaaS. Un CNAME peut rediriger les clients vers un nouvel environnement. Un enregistrement MX peut réacheminer les courriels. Un enregistrement CAA peut influencer l’émission de certificats. Un enregistrement DS erroné peut faire échouer la validation d’un domaine signé.
La Politique de gestion des changements - PME de Clarysec Politique de gestion des changements - PME indique :
Tous les changements doivent être soumis sous forme de demande de changement (courriel, formulaire ou ticket centre de services).
Extrait de la section « Exigences de gouvernance », clause de politique 5.1.1.
Pour les clients d’entreprise, la Politique de gestion des changements de Clarysec Politique de gestion des changements renforce l’exigence probatoire :
Toutes les demandes de changement, revues, approbations et éléments probants à l’appui doivent être enregistrés dans le système centralisé de gestion des changements.
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.
Le Zenith Blueprint renforce ce point dans la phase Controls in Action, étape 21 :
Sélectionnez 2 à 3 changements système ou de configuration récents et vérifiez s’ils ont été traités via votre workflow formel de gestion des changements.
✓ Les risques ont-ils été appréciés ? ✓ Les approbations ont-elles été documentées ? ✓ Un plan de retour arrière était-il inclus ?
Vérifiez que les changements ont été mis en œuvre comme prévu et que tout incident ou impact inattendu a été enregistré. Examinez les journaux, les différences de gestion des versions ou les pistes d’audit provenant d’outils tels que ServiceNow, Jira ou Git. Consignez ce processus dans un journal récapitulatif des enregistrements de changement comme référence d’audit.
Extrait de la phase Controls in Action, étape 21 : contrôles 8.27 à 8.34.
Un ticket de changement DNS doit inclure le domaine et la zone concernés, le type d’enregistrement, les valeurs avant et après, le motif métier, l’appréciation des risques, la fenêtre de mise en œuvre, l’approbateur, l’exécutant, le vérificateur, les vérifications de propagation DNS, la validation DNSSEC, le plan de retour arrière, la surveillance post-changement et les éléments probants exportés.
Le principe d’audit est simple : les changements DNS doivent être traçables de la demande à l’approbation, puis à la mise en œuvre et à la vérification.
Surveillance et journalisation : détecter le changement DNS avant les clients
Un programme robuste de gouvernance DNS suppose que la prévention peut échouer. La surveillance doit détecter rapidement les changements inattendus afin de soutenir la réponse aux incidents.
La Politique de sécurité réseau - PME de Clarysec Politique de sécurité réseau - PME est explicite :
La journalisation DNS doit être activée afin de soutenir la recherche proactive de menaces et la réponse aux incidents
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.6.3.
La Politique de journalisation et de surveillance d’entreprise Politique de journalisation et de surveillance part de la même exigence opérationnelle :
Tous les systèmes couverts doivent générer des journaux capturant :
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.
Pour la gouvernance DNS et des bureaux d’enregistrement, les systèmes couverts doivent inclure les portails des bureaux d’enregistrement, les consoles d’hébergement DNS, la gestion DNS via API, les pipelines CI/CD déployant du DNS sous forme de code, les alertes SIEM et les outils de surveillance externe.
| Événement | Pourquoi c’est important | Éléments probants minimaux |
|---|---|---|
| Changement d’enregistrement NS | Peut rediriger tout le domaine vers un DNS contrôlé par un attaquant | Alerte, ticket, approbateur et valeurs avant/après |
| Changement DS ou DNSKEY | Peut rompre la validation DNSSEC ou permettre des attaques contre l’intégrité | Rapport de validation DNSSEC et enregistrement de changement |
| Changement MX | Peut réacheminer la messagerie et soutenir le phishing ou l’interception de données | Alerte, test de flux de messagerie et approbation |
| Changement TXT | Peut valider la propriété SaaS, l’authentification de la messagerie ou l’émission de certificats | Ticket de changement, demandeur et justification métier |
| Changement CAA | Peut influencer les contrôles d’émission de certificats | Revue de gouvernance des certificats |
| Ajout d’un enregistrement wildcard | Peut créer un risque étendu de routage ou de prise de contrôle | Appréciation des risques et approbation |
| Connexion au bureau d’enregistrement depuis un emplacement inhabituel | Indique un risque de compromission de compte | Alerte SIEM et note d’investigation |
| Demande de déverrouillage registry lock | Changement à haut risque nécessitant une escalade | Approbation d’urgence et revue après action |
La surveillance doit être intégrée à la réponse aux incidents. Une alerte DNS sans responsable, niveau de gravité ni runbook n’est que du bruit.
NIS2, DORA et GDPR : la gouvernance DNS comme élément probant réglementaire
NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur les réseaux et les systèmes d’information et réduire l’impact des incidents. La gouvernance DNS se rattache naturellement à la gestion des actifs, au contrôle d’accès, à la cryptographie, à la sécurité de la chaîne d’approvisionnement, à la gestion des incidents, à la continuité d’activité et à l’évaluation de l’efficacité.
NIS2 Article 20 fait également de la cybersécurité une responsabilité de l’organe de direction. Les conseils d’administration n’ont pas à approuver chaque enregistrement TXT, mais ils doivent comprendre si les domaines critiques sont protégés par DNSSEC, le registry lock, la MFA, la surveillance et une reprise testée. Pour les incidents significatifs, NIS2 Article 23 introduit une notification par étapes, incluant une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final au plus tard un mois après la notification d’incident.
Pour les entités financières réglementées, DORA s’applique depuis le 17 janvier 2025 et constitue le cadre sectoriel de résilience liée aux TIC lorsqu’il recoupe NIS2. Le DNS soutient souvent des fonctions critiques ou importantes telles que les applications de paiement, la banque mobile, les portails de trading, l’identité client, les systèmes de fraude, les passerelles API et les intégrations avec des tiers. Les éléments probants DORA doivent montrer la cartographie des dépendances des actifs TIC, la classification des incidents, les tests de résilience, la gestion des risques liés aux tiers et la planification de la reprise pour les scénarios de défaillance DNS et des bureaux d’enregistrement.
Un incident DNS n’est pas automatiquement une violation de données à caractère personnel au sens du GDPR. Il peut le devenir si les utilisateurs sont redirigés vers un site de phishing, si des identifiants sont collectés, si des courriels contenant des données à caractère personnel sont réacheminés, si le trafic vers des systèmes de traitement de données à caractère personnel est intercepté ou si la disponibilité de données à caractère personnel est matériellement affectée. GDPR Article 5 exige l’intégrité, la confidentialité et la responsabilité. Article 32 exige des mesures de sécurité appropriées pour le traitement. La gouvernance DNS fournit des éléments probants démontrant que le routage des domaines et les services dépendant du DNS sont protégés par des mesures techniques et organisationnelles proportionnées.
| Mesure de contrôle | Annexe A ISO/IEC 27001:2022 et ISO/IEC 27002:2022 | NIS2 | DORA | GDPR |
|---|---|---|---|---|
| Inventaire des actifs de domaine | 5.9 Inventaire des informations et autres actifs associés | Article 21(2)(i) | Article 8 | Articles 5 et 32 |
| Bureau d’enregistrement en tant que fournisseur | 5.19, 5.20, 5.22 | Article 21(2)(d) | Chapitre V | Article 28 et Article 32 |
| Contrôle d’accès au bureau d’enregistrement et MFA | 5.15, 5.16, 5.18, 8.5 | Article 21(2)(i) et 21(2)(j) | Article 9 | Article 32 |
| Registry lock et registrar lock | 5.15, 8.20, 8.21, 8.32 | Article 21(2)(a) et 21(2)(e) | Articles 9, 10 et 11 | Article 32 |
| Gestion des changements de zone DNS | 8.9, 8.32 | Article 21(2)(a) et 21(2)(e) | Articles 9, 10 et 11 | Articles 5 et 32 |
| Mise en œuvre de DNSSEC | 8.24 Utilisation de la cryptographie | Article 21(2)(h) | Articles 9 et 10 | Article 32 |
| Journalisation et surveillance DNS | 8.15 Journalisation, 8.16 Activités de surveillance | Article 21(2)(a), 21(2)(b) et 21(2)(f) | Articles 10 et 17 | Articles 5, 32 et 33 |
Construire un dossier probatoire DNS en une semaine
Un plan pratique de remédiation de la gouvernance DNS peut être réalisé rapidement s’il est piloté par les éléments probants.
Jour 1 : créer le registre des domaines et des services DNS
Partez de l’exigence de la Politique de gestion des actifs - PME visant à documenter la propriété, l’objet, les privilèges d’accès et les échéances de renouvellement.
| Champ | Exemple |
|---|---|
| Domaine | example.com |
| Objet métier | Portail client, API, messagerie |
| Criticité | Critique |
| Bureau d’enregistrement | Registrar A |
| Registry lock | Activé |
| Registrar lock | Activé |
| Fournisseur DNS | Fournisseur DNS managé B |
| DNSSEC | Activé, DS publié |
| Responsable | Responsable de la plateforme |
| Responsable sécurité | RSSI |
| Date de renouvellement | 2027-04-12 |
| Surveillance | Alerte SIEM et surveillance DNS externe |
| Workflow de changement | Type de changement DNS Jira |
| Date de revue fournisseur | 2026-03-15 |
Jour 2 : revoir les accès et privilèges
Exportez les utilisateurs du bureau d’enregistrement et du fournisseur DNS. Supprimez les comptes obsolètes. Appliquez la MFA. Identifiez les administrateurs. Enregistrez les éléments probants d’approbation pour les utilisateurs à privilèges et documentez l’accès d’urgence.
Jour 3 : valider DNSSEC et les verrouillages
Pour chaque domaine critique, vérifiez la validation de la chaîne DNSSEC, l’exactitude de l’enregistrement DS, la visibilité DNSKEY, le registrar lock et le registry lock. Si DNSSEC est géré par le fournisseur, documentez la responsabilité du fournisseur. S’il est géré par le client, ajoutez les clés DNSSEC et les dépositaires au registre de gestion des clés.
Jour 4 : convertir les changements DNS en enregistrements de changement formels
Sélectionnez les trois derniers changements DNS et testez-les au regard des critères de l’étape 21 du Zenith Blueprint : risque apprécié, approbation documentée, plan de retour arrière inclus, mise en œuvre conforme au plan et impact inattendu enregistré. Créez un journal récapitulatif des enregistrements de changement.
Jour 5 : relier la surveillance à la réponse aux incidents
Confirmez les journaux et alertes pour les connexions au bureau d’enregistrement, les changements de zone, les changements DNSSEC, les changements NS, MX, TXT, CAA et les notifications fournisseur. Envoyez des alertes de test au SOC ou au responsable informatique. Joignez les éléments probants au référentiel du SMSI.
Jour 6 : revoir les obligations fournisseurs
Utilisez les orientations de l’étape 23 du Zenith Blueprint pour les procédures de changement et de surveillance des fournisseurs :
Établissez une procédure simple et évolutive pour évaluer les changements des services fournisseurs (5.21), tels qu’une migration vers le cloud, de nouveaux sous-traitants ultérieurs ou une refonte d’infrastructure. Définissez les déclencheurs qui exigent une réévaluation de sécurité. Ensuite, mettez en œuvre une cadence récurrente de surveillance des fournisseurs (5.22), en attribuant des responsables aux fournisseurs critiques et en veillant à ce que la performance, la conformité et les risques soient revus au moins une fois par an.
Extrait de la phase Controls in Action, étape 23 : contrôles organisationnels 5.19 à 5.37.
La Politique de sécurité des tiers et des fournisseurs d’entreprise de Clarysec Politique de sécurité des tiers et des fournisseurs fournit l’ancrage contractuel :
Les contrats avec les fournisseurs doivent inclure :
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.
| Sujet contractuel | Exigence propre au DNS |
|---|---|
| Responsabilités de sécurité | Qui gère DNSSEC, les verrouillages, les journaux, les accès, les sauvegardes et les approbations de changement |
| Notification des incidents | Délais et canaux pour une compromission du bureau d’enregistrement, une indisponibilité DNS ou un changement non autorisé |
| Escalade support | Circuit d’urgence 24/7 pour les domaines critiques |
| Notification des changements | Préavis pour les migrations de plateforme, les changements d’API et les changements de sous-traitants ultérieurs |
| Éléments probants | Journaux d’accès, historique des changements, statut de verrouillage, statut DNSSEC et rapports de disponibilité |
| Sortie | Procédure de transfert de domaine, d’export de zone, de migration DNSSEC et de suppression du verrouillage |
Jour 7 : conduire un exercice sur table
Simulez un changement non autorisé d’enregistrement NS. L’équipe doit le détecter, le classifier, l’escalader, contacter le bureau d’enregistrement, déclencher les procédures de registry lock si nécessaire, restaurer la délégation correcte, valider DNSSEC, notifier les parties prenantes, évaluer l’impact GDPR et décider si les seuils de notification NIS2 ou DORA sont atteints. Consignez les enseignements tirés et mettez à jour les procédures.
Questions d’audit, constats fréquents et indicateurs pour l’organe de direction
Un audit de gouvernance DNS s’effectue rarement selon un seul angle.
| Angle de l’auditeur | Question d’audit probable | Éléments probants solides |
|---|---|---|
| Auditeur ISO/IEC 27001:2022 | Les domaines sont-ils dans le périmètre, appréciés au regard des risques, sous responsabilité, contrôlés, surveillés et inclus dans la gouvernance des fournisseurs ? | Domaine d’application du SMSI, registre des risques, registre des actifs, Déclaration d’applicabilité, tickets de changement, revues fournisseurs et journaux |
| Évaluateur NIST CSF 2.0 | Les risques DNS sont-ils gouvernés, identifiés, protégés, détectés, traités et suivis jusqu’au rétablissement ? | Profil actuel et profil cible, plan d’écarts, inventaire des actifs, contrôles d’accès, alertes de surveillance et enregistrements de reprise |
| Relecteur DORA | Le DNS soutient-il des fonctions critiques ou importantes, et la dépendance est-elle gouvernée, testée et récupérable ? | Cartographie des dépendances des actifs TIC, plan de tests de résilience, processus de classification des incidents, registre des tiers et éléments probants de reprise |
| Relecteur GDPR | Un incident DNS pourrait-il affecter des données à caractère personnel, et l’organisation peut-elle démontrer une sécurité appropriée ? | Éléments probants Article 32, évaluation d’incident, supervision des sous-traitants, contrôle d’accès, enregistrements de changement et de surveillance |
| Auditeur COBIT 2019 ou ISACA | Les objectifs de gouvernance liés aux domaines sont-ils traduits en processus maîtrisés, avec responsabilité, indicateurs et assurance ? | RACI, objectifs de processus, KPI, KRI, revues de performance fournisseurs, reporting de direction et suivi de la remédiation |
Les constats les plus courants sont prévisibles.
| Constat | Risque | Correctif Clarysec |
|---|---|---|
| Domaines absents du registre des actifs | Expiration, confusion sur la propriété et appréciation des risques incomplète | Ajouter les domaines au registre des actifs avec responsable, objet, criticité, renouvellement et dépendances |
| Compte administrateur de bureau d’enregistrement partagé | Absence de responsabilité individuelle et investigations forensiques d’incident affaiblies | Passer à des utilisateurs nominatifs, à la MFA, au moindre privilège et à des revues trimestrielles |
| Absence de registry lock sur un domaine critique | Délégation ou transfert non autorisé à fort impact | Activer le registry lock et documenter la procédure de déverrouillage d’urgence |
| DNSSEC partiellement activé | Échecs de validation ou fausse assurance | Valider la chaîne, les enregistrements DS, la propriété des clés et le plan de rotation |
| Changements DNS effectués hors tickets | Indisponibilité, mauvais routage et échec d’audit | Exiger un type de changement DNS formel avec approbation et retour arrière |
| Absence d’alerte sur les changements NS ou MX | Détection lente d’un détournement ou d’un réacheminement de messagerie | Intégrer la surveillance DNS au SIEM et au runbook d’escalade |
| Bureau d’enregistrement non revu comme fournisseur | Lacunes contractuelles et de réponse aux incidents | Ajouter le bureau d’enregistrement et le fournisseur DNS à la cadence de surveillance des fournisseurs |
| Absence de playbook d’incident | Reprise retardée et incertitude sur les obligations de notification | Créer des runbooks de détournement DNS et d’indisponibilité DNS, puis les tester sur table |
Les conseils d’administration et les équipes de direction ont besoin d’indicateurs DNS exprimés en termes de résilience. Les mesures utiles incluent le pourcentage de domaines critiques avec DNSSEC activé et validé, le pourcentage avec registry lock, le nombre d’administrateurs de bureaux d’enregistrement, le pourcentage d’utilisateurs à privilèges revus au dernier trimestre, le nombre de changements DNS mis en œuvre sans tickets formels, le délai moyen de détection d’un changement DNS non autorisé, le délai moyen de restauration de la configuration DNS correcte, les domaines expirant dans les 90 jours, les revues fournisseurs achevées et les alertes de surveillance DNS non résolues.
Transformer le DNS d’un risque caché en éléments probants prêts pour l’audit
Si votre organisation n’a pas revu la gouvernance des domaines et du DNS au cours des six derniers mois, partez du principe qu’une dérive existe. Commencez par les domaines critiques de production, puis étendez le périmètre aux domaines régionaux, domaines défensifs, domaines de test, domaines issus d’acquisitions et domaines gérés par des agences ou des filiales.
Clarysec peut vous aider à passer de captures d’écran éparses de bureaux d’enregistrement à un dossier probatoire structuré en utilisant :
- Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint pour la validation étape par étape des services réseau, de la gestion des changements, de la journalisation, de la surveillance et des contrôles fournisseurs
- Zenith Controls: The Cross-Compliance Guide Zenith Controls pour cartographier DNSSEC, le registry lock, la surveillance des fournisseurs et la gouvernance des changements de zone selon les angles ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST et COBIT 2019
- Les modèles de politiques Clarysec, notamment Politique de gestion des actifs - PME, Politique de gestion des changements - PME, Politique de gestion des comptes utilisateurs et des privilèges - PME, Politique de sécurité réseau - PME, Politique de gestion des actifs, Politique de gestion des changements, Politique de journalisation et de surveillance, Politique sur les contrôles cryptographiques, et Politique de sécurité des tiers et des fournisseurs
Votre domaine est la porte d’entrée de votre activité numérique. En 2026, les auditeurs, les régulateurs, les clients et les organes de direction s’attendront à ce que vous prouviez que cette porte est verrouillée, surveillée, récupérable et gouvernée.
Téléchargez le kit Clarysec, réalisez l’exercice de dossier probatoire DNS en une semaine ou réservez une évaluation Clarysec afin de transformer la gouvernance DNS et des bureaux d’enregistrement en éléments probants prêts pour l’audit avant votre propre crise du lundi matin.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
