Le DNS sous NIS2: pourquoi la sécurité du système de noms de domaine est fondamentale

NIS2 traite le DNS comme une infrastructure critique. Comprenez pourquoi la sécurité du système de noms de domaine est importante et ce que NIS2 exige des fournisseurs de DNS.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 19 Jun 2026 · 11 min de lecture
NIS2
Le DNS sous NIS2: pourquoi la sécurité du système de noms de domaine est fondamentale

Qui devrait lire ceci: les opérateurs DNS, les équipes d’infrastructure Internet, les opérateurs de registres TLD, les responsables techniques des FAI, les registraires de domaines, les équipes de conformité.

Le système de noms de domaine (DNS) est invisible pour la plupart des utilisateurs d’Internet, mais essentiel pour tous. Lorsque vous saisissez un nom de domaine dans un navigateur, le DNS le traduit en adresse IP du serveur que vous souhaitez atteindre. Cela se produit en quelques millisecondes, des milliards de fois par jour, à l’échelle mondiale. Malgré son rôle essentiel, le DNS a souvent été traité comme un détail administratif, important mais ne constituant pas une priorité en matière de sécurité. La directive NIS2 change la donne. La directive reconnaît que le DNS est une infrastructure fondamentale et soumet les opérateurs DNS à des exigences de sécurité strictes. Cet article explique pourquoi NIS2 considère le DNS comme essentiel, comment la directive s’applique aux opérateurs DNS et ce que signifie en pratique être prêt en matière de sécurité.

L’importance du DNS pour la stabilité et la sécurité d’Internet ne saurait être surestimée. Si le DNS est compromis, un attaquant peut détourner les utilisateurs de sites légitimes vers des sites frauduleux, intercepter le trafic destiné aux banques ou aux services publics, ou perturber des secteurs entiers en empoisonnant les enregistrements DNS. Une panne DNS à grande échelle n’a pas besoin d’être malveillante pour causer des dommages. Une erreur de configuration, un bogue logiciel ou une attaque par déni de service distribué peuvent mettre le DNS hors ligne, rendant de larges portions d’Internet inaccessibles. La cyberattaque Dyn de 2016, qui a exploité les faiblesses de l’infrastructure DNS, a démontré que même de brèves interruptions du DNS peuvent paralyser des services majeurs à l’échelle mondiale.

Conscient de cela, le considérant 32 de la directive NIS2 énonce: «Le maintien et la préservation d’un système de noms de domaine (DNS) fiable, résilient et sécurisé sont des facteurs clés pour préserver l’intégrité d’Internet et sont essentiels à son fonctionnement continu et stable, dont dépendent l’économie et la société numériques. Par conséquent, la présente directive devrait s’appliquer aux registres des noms de domaine de premier niveau (TLD) et aux fournisseurs de services DNS, qui doivent être compris comme des entités fournissant des services de résolution de noms de domaine récursifs accessibles au public pour les utilisateurs finaux d’Internet ou des services de résolution de noms de domaine faisant autorité destinés à un usage par des tiers.» La directive ne s’applique pas aux serveurs racines, qui fonctionnent selon une gouvernance distincte. Mais le champ d’application est par ailleurs complet: toute organisation qui exploite une infrastructure DNS accessible au public relève de NIS2.

Qui est concerné par les exigences DNS de NIS2?

La directive définit deux catégories d’opérateurs DNS soumis à NIS2:

  • Registres de noms de domaine de premier niveau (TLD): il s’agit des opérateurs d’extensions de domaine telles que .eu, .fr, .com, .org. Un registre TLD tient à jour les enregistrements faisant autorité pour tous les domaines de cette extension. Il gère la base de données, délègue les domaines aux registraires et gère l’infrastructure technique qui permet au reste du système DNS de fonctionner.
  • Fournisseurs de services DNS: il s’agit d’entités fournissant soit des services de résolution de noms de domaine récursifs accessibles au public (les systèmes qui résolvent les noms de domaine pour les utilisateurs finaux), soit des services de résolution de noms de domaine faisant autorité (les systèmes qui fournissent des réponses définitives pour des domaines spécifiques à d’autres serveurs DNS). Les principaux fournisseurs d’accès à Internet, les fournisseurs de cloud et les entreprises DNS spécialisées exploitent généralement ces services.

Le champ d’application est volontairement large car le DNS est une couche fondamentale. Même un petit fournisseur de services DNS desservant quelques milliers d’utilisateurs est inclus, car une compromission à ce niveau pourrait affecter ces utilisateurs et potentiellement se propager au-delà. À l’inverse, la directive exclut explicitement les serveurs racines, qui sont gérés selon des structures de gouvernance différentes et bénéficient d’un niveau de surveillance différent.

Pour les registres TLD, cela signifie que même si vous exploitez un TLD plus petit, qui dessert peut-être une région géographique ou une communauté spécifique, vous êtes désormais soumis à NIS2. Vous devez mettre en œuvre des mesures de sécurité, signaler les incidents significatifs, répondre aux cybermenaces et vous soumettre à des audits de sécurité. Il s’agit d’un changement majeur pour de nombreux registres qui n’avaient auparavant que peu d’interactions réglementaires avec les exigences en matière de cybersécurité.

Pour les fournisseurs de services DNS, le champ d’application inclut des acteurs mondiaux tels que Cloudflare, Google Public DNS et Quad9, mais aussi des fournisseurs plus modestes. Tout FAI proposant la résolution DNS à ses clients, tout fournisseur de services DNS gérés et tout fournisseur de cloud proposant le DNS dans son portefeuille de services entre dans le champ d’application.

Pourquoi le DNS est-il si essentiel?

Le DNS est essentiel pour plusieurs raisons que NIS2 reconnaît implicitement:

  • Dépendance universelle: presque toutes les communications Internet commencent par une requête DNS. Courriel, navigation Web, services cloud, appareils IoT, tout dépend du bon fonctionnement du DNS. Contrairement à des infrastructures plus spécialisées, le DNS est utilisé de manière omniprésente.
  • Ancre de confiance: les utilisateurs ont confiance dans le fait qu’en saisissant un nom de domaine, ils atteignent la destination prévue. Cette confiance est fragile. Si le DNS est compromis de manière silencieuse, les utilisateurs peuvent ne pas se rendre compte qu’ils interagissent avec une version malveillante d’un site Web. Les attaques par hameçonnage exploitent souvent les faiblesses du DNS en détournant des noms de domaine ou en utilisant des domaines similaires que le DNS n’empêche pas.
  • Charge de résilience: Internet a fait de la résilience du DNS une responsabilité partagée. Si un fournisseur DNS majeur tombe en panne, des millions d’utilisateurs perdent l’accès à Internet. Il existe des mécanismes de repli (les utilisateurs peuvent passer à un autre fournisseur DNS), mais ils nécessitent une action de l’utilisateur. Pendant ce temps, la perturbation est bien réelle.
  • Surface d’attaque: parce que le DNS est si largement utilisé, c’est une cible d’attaque tentante. Les attaquants peuvent empoisonner les caches DNS, détourner le trafic ou mener des attaques par déni de service contre l’infrastructure DNS. La sophistication technique requise est plus faible que pour de nombreuses autres attaques; les retombées, en termes de portée et d’impact, sont énormes.
  • Implications pour la chaîne d’approvisionnement: le DNS est profondément intégré aux chaînes d’approvisionnement des secteurs critiques. Les institutions financières s’appuient sur le DNS pour acheminer le trafic des clients vers leurs serveurs. Les systèmes de santé utilisent le DNS pour accéder aux dossiers des patients. Les réseaux électriques utilisent le DNS pour les communications opérationnelles. Une panne DNS se propage en cascade à travers ces secteurs.

Exigences de sécurité NIS2 pour les opérateurs DNS

NIS2 soumet les opérateurs DNS au même cadre de gestion des risques de cybersécurité que les autres entités importantes. L’article 21 de la directive exige des entités importantes qu’elles mettent en œuvre des mesures techniques, organisationnelles et opérationnelles pour gérer les risques de cybersécurité. Les exigences spécifiques dépendent du contexte, mais elles comprennent:

  • Contrôle d’accès et authentification: limiter qui peut modifier les enregistrements DNS, changer la configuration ou accéder à l’infrastructure DNS. Authentification multifacteur pour les administrateurs. Contrôle d’accès basé sur les rôles afin que le personnel ne puisse accéder qu’à ce dont il a besoin.
  • Chiffrement: utilisation du chiffrement pour les réponses aux requêtes DNS, notamment DNSSEC (Domain Name System Security Extensions), qui signe cryptographiquement les enregistrements DNS afin que les clients puissent vérifier qu’ils n’ont pas été falsifiés. Chiffrement en transit pour les communications administratives et le transfert de données.
  • Journalisation et surveillance: enregistrement de toutes les requêtes DNS et des modifications apportées aux enregistrements DNS. Détection des anomalies, telles que des pics soudains du volume de requêtes, des schémas suspects de modification d’enregistrements ou des connexions administratives inhabituelles.
  • Détection et réponse aux incidents: identifier quand le DNS est attaqué ou a été compromis. Disposer de procédures pour réagir rapidement, notamment en isolant l’infrastructure affectée, en restaurant à partir de sauvegardes propres et en informant les clients.
  • Infrastructure distribuée: placer les serveurs DNS géographiquement de sorte qu’une défaillance à un endroit ne paralyse pas l’ensemble du service. Utiliser le routage anycast afin que les utilisateurs soient dirigés vers le serveur fonctionnel le plus proche. Maintenir la redondance entre plusieurs points d’échange Internet et opérateurs.
  • Atténuation DDoS: protection de l’infrastructure DNS contre les attaques par déni de service distribué. Cela comprend la limitation de débit, le filtrage du trafic et la planification de la capacité afin que le trafic normal soit traité même pendant les attaques.
  • Mises à jour des logiciels et des micrologiciels: maintenir les logiciels DNS à jour afin que les vulnérabilités connues soient corrigées. Tester les mises à jour dans des environnements de préproduction avant de les déployer en production, afin que les mises à jour n’introduisent pas de nouveaux problèmes.
  • Gestion de la chaîne d’approvisionnement: évaluer la sécurité des fournisseurs de logiciels, de matériel ou de services DNS. S’assurer que les fournisseurs respectent les normes de sécurité de base et réagissent rapidement aux vulnérabilités.

Obligations de signalement pour les opérateurs DNS

L’article 23 de la directive NIS2 exige des entités essentielles et importantes, y compris les opérateurs DNS, qu’elles signalent les incidents significatifs sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l’incident. Un incident significatif est un incident qui «a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou une perte financière pour l’entité concernée» ou qui «a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant un préjudice matériel ou immatériel considérable.»

Pour un opérateur DNS, qu’est-ce qui constitue un incident significatif? Un service DNS complètement hors ligne ou gravement dégradé pendant des heures entrerait clairement dans cette catégorie. Une cyberattaque réussie qui aurait compromis les enregistrements DNS, même si elle est détectée et corrigée rapidement, entrerait probablement dans cette catégorie en raison du risque que les utilisateurs soient redirigés vers des sites frauduleux. Une attaque détectée et bloquée sans aucun impact sur les utilisateurs n’entrerait probablement pas dans cette catégorie. L’opérateur doit évaluer la situation en utilisant son jugement professionnel et des critères documentés.

L’obligation de signalement crée de la transparence sur les incidents de sécurité DNS. Les États membres et les agences de coordination savent quand des incidents DNS se produisent, comment ils ont été traités et s’ils ont eu un impact plus large. Cela permet aux autorités d’identifier des schémas: si plusieurs opérateurs DNS sont attaqués avec des techniques similaires, c’est le signe d’une menace plus large. Cela permet également aux opérateurs d’apprendre des incidents des uns et des autres.

Le signalement n’est pas punitif. La directive énonce explicitement que «le simple fait de la notification n’entraîne pas une responsabilité accrue pour l’entité notifiante.» Cela est important car les opérateurs pourraient autrement être tentés de dissimuler les incidents. La directive vise à encourager le signalement rapide et le partage d’informations, sachant que la rapidité de la réponse est essentielle pour limiter les dommages.

DNSSEC et signature cryptographique

L’une des mesures techniques les plus importantes pour les opérateurs DNS dans le cadre de NIS2 est DNSSEC (Domain Name System Security Extensions). DNSSEC permet aux opérateurs DNS de signer cryptographiquement les enregistrements DNS afin que les résolveurs et les clients puissent vérifier que les enregistrements n’ont pas été falsifiés. Sans DNSSEC, un attaquant qui obtient un accès réseau entre un client et un serveur DNS peut injecter de fausses réponses sans être détecté. Avec DNSSEC, une telle falsification est immédiatement évidente car la signature cryptographique ne sera pas validée.

DNSSEC n’est pas nouveau; il existe depuis des années, mais son déploiement a été lent. De nombreux registres TLD et opérateurs DNS l’ont mis en œuvre, mais l’adoption parmi les propriétaires de domaines reste à la traîne. NIS2 n’impose pas explicitement DNSSEC, mais il fait clairement partie des principes de «chiffrement» et de «sécurité dès la conception» que la directive met en avant. Les opérateurs DNS subiront la pression des régulateurs et des clients pour mettre en œuvre DNSSEC s’ils ne l’ont pas déjà fait. La directive positionne DNSSEC comme une bonne pratique alignée sur les objectifs de sécurité de NIS2.

Divulgation coordonnée des vulnérabilités pour le DNS

La directive NIS2 comprend des dispositions relatives à la divulgation coordonnée des vulnérabilités, un processus par lequel les chercheurs en sécurité peuvent signaler les vulnérabilités aux fournisseurs avant de les divulguer publiquement. Cela est essentiel pour les logiciels DNS. Les logiciels DNS fonctionnent sur des milliards d’appareils à travers le monde. Une vulnérabilité dans un logiciel DNS largement utilisé pourrait affecter des millions d’utilisateurs simultanément. La divulgation coordonnée permet au fournisseur de développer et de déployer des correctifs avant que les attaquants ne prennent connaissance de la vulnérabilité.

Pour les opérateurs DNS, cela signifie établir un processus pour recevoir les rapports de vulnérabilités des chercheurs en sécurité, les traiter de manière confidentielle, se coordonner avec les fournisseurs sur les correctifs et déployer les correctifs avant que la vulnérabilité ne devienne publique. Ce n’est pas un processus trivial; il nécessite une communication claire, des délais définis et la capacité à déployer rapidement des mises à jour sur les systèmes de production. Mais c’est essentiel pour maintenir la sécurité du DNS.

Points clés à retenir

  • NIS2 désigne le DNS comme une infrastructure critique, plaçant les registres TLD et les fournisseurs de services DNS directement dans le champ d’application de la directive en tant qu’entités importantes.
  • La sécurité du DNS est importante car le DNS est universellement utilisé; toute compromission ou perturbation se propage en cascade à travers les services Internet et les secteurs critiques.
  • Les opérateurs DNS doivent mettre en œuvre des mesures de cybersécurité complètes, notamment le contrôle d’accès, le chiffrement, la surveillance, la réponse aux incidents, l’architecture distribuée et l’atténuation des DDoS.
  • Les incidents DNS significatifs doivent être signalés dans les 24 heures aux autorités compétentes, le signalement créant de la transparence sur les menaces sans imposer de responsabilité aux opérateurs.
  • DNSSEC (signature cryptographique des enregistrements DNS) est une mesure technique clé alignée sur les principes de chiffrement et de sécurité dès la conception de NIS2.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.