Les organisations disposant de gros portefeuilles de noms de domaine doivent aujourd’hui répondre à trois enjeux contradictoires : protéger leur(s) marque(s), sécuriser leurs noms de domaine et maîtriser leurs dépenses. Ces enjeux peuvent être rendus encore plus complexes par l’existence d’un portefeuille dispersé acquis au fil des ans par différentes directions et filiales sans règles communes.
Dans cette interview menée par Lotfi Benyelles, Responsable de l’offre Conseil et Formation à l’Afnic, Patrick Hauss, formateur et Responsable Corporate Development chez CSC Digital Brand Services nous explique pourquoi il est essentiel pour un grand compte de mettre en place un processus de gestion de portefeuille de noms de domaine, et de former ses équipes à ce métier.
En quoi consiste le métier de gestionnaire de portefeuille de noms de domaine ?
Avant toute chose, il est important de rappeler que très peu d’organisations peuvent se permettre d’avoir une personne dédiée à la gestion des noms de domaine. Elles semblent en effet investir dans cette fonction à partir de 5000 noms de domaine dans le portefeuille. En dessous de ce seuil, il s’agit d’une responsabilité qui incombe souvent à une personne en charge de la propriété intellectuelle (gérant un portefeuille de marques donc), de l’IT (la personne en charge de la configuration des serveurs DNS) ou encore de la cybersécurité puisque que les noms de domaine sont un vecteur d’attaque très plébiscité.
Gérer un portefeuille de noms de domaine, c’est avoir un regard sur un nombre considérable de paramètres qui coexistent, et qui font qu’une entreprise ou une organisation peut exister sur internet ; ils sont juridiques, techniques, marketing et informatiques. Un bon gestionnaire de noms de domaine est curieux, il maîtrise les principes clés de fonctionnement du DNS et il sait également réagir lorsque l’entreprise est attaquée (phishing, slamming, etc.).
Quels sont les principaux risques auxquels les noms de domaine d’une organisation peuvent être soumis ?
Le risque premier est la négligence dans le suivi des renouvellements. Un nom de domaine qui expire (ou qui est perdu), c’est l’accident industriel ; tout s’arrête immédiatement. L’éducation, l’organisation, la responsabilisation et la gouvernance autour des noms de domaine sont des éléments primordiaux. D’autres risques sont également à prendre en considération. Tout d’abord celui de se faire hacker ou voler ses noms de domaine ; des méthodes existent pour s’en protéger mais il faut les connaître. Le nom de domaine peut également servir de vecteur d’attaques de la part de tiers, comme le phishing ou le cybersquatting qui sont des techniques très répandues et pour lesquelles il convient de s’organiser afin de se défendre. L’utilisation de noms de domaine dans le cadre d’attaques de phishing figure par ailleurs dans le top 10 des méthodes qui seront pratiquées en 20231.
Quels sont les différents types de protection que les organisations peuvent mettre en place pour sécuriser leur portefeuille de noms de domaine ?
Le danger vient souvent d’une trop grande automatisation des registrars couplée à une faiblesse de protection des consoles d’administration des noms de domaine. Un login et un mot de passe pour sécuriser ses actifs digitaux n’est pas suffisant. Donc si le choix du registrar est primordial, la mise en place de dispositifs de protection l’est tout autant. Le service de verrouillage .FR Lock proposé par l’Afnic constitue une excellente méthode pour lutter contre le « domain hijacking ». C’est d’ailleurs la première recommandation de l’ANSSI en matière de sécurité des noms de domaine.
Certains grands groupes possèdent des filiales et des marques autonomes. Comment une organisation ayant une culture décentralisée peut-elle sécuriser son portefeuille tout en laissant de l’autonomie à ses branches en matière d’achat de noms de domaine ?
La centralisation de la gestion du portefeuille de noms de domaine est un doux rêve que toutes les entreprises ne peuvent malheureusement pas atteindre. En cause, la culture d’entreprise et les velléités des différentes parties prenantes qui n’arrivent pas à se mettre d’accord ou à lâcher leur responsabilité sur ces actifs qu’elles savent hautement critiques pour l’entreprise. Certaines organisations règlent le problème en déployant des politiques internes plus ou moins denses et contraignantes. D’autres utilisent des outils techniques de délégation qui permettent à plusieurs utilisateurs de se connecter à une plateforme en bénéficiant de droits différents pour réaliser leurs opérations sur des périmètres de noms de domaine bien déterminés. Les solutions sont bien souvent multiples et s’implémentent au cas par cas au sein des organisations. L’intérêt de travailler avec un registrar corporate est de permettre cette souplesse et l’adaptation à ces différents modèles.
Quels rôles jouent les partenaires d’une entreprise dans la sécurisation d’un portefeuille de noms de domaine ?
Ils jouent un rôle capital puisque le niveau de sécurité qu’une organisation peut atteindre correspond généralement à celui du maillon le plus faible de la chaîne. On en revient encore au choix du registrar, mais également au choix de l’extension et donc du registre puisque certains TLDs n’offrent pas suffisamment de mécanismes de protection. Choisir une extension inhabituelle pour communiquer sur internet revient parfois à prendre un risque, là où certains TLDs sont d’ores et déjà en mesure d’offrir des services de sécurité et donc de la confiance.
L’Afnic propose dans son catalogue une nouvelle formation intitulée « Gérer et sécuriser un portefeuille de noms de domaine – Grands Comptes » pour accompagner spécifiquement ces structures, et dont la prochaine session est dispensée les 28 et 29 septembre 2023 par Patrick Hauss, formateur et Responsable Corporate Development chez CSC Digital Brand Services.
1 – Security Boulevard