Comprendre les enjeux de cybersécurité liés au DNS n’a jamais été aussi vital. Depuis le début de la pandémie de COVID-19, les entreprises ont encore accéléré la transformation de leurs pratiques de travail numérique. Cela s’est traduit par le passage à des modes de travail à distance ou hybride, et par l’utilisation fréquente de produits et services fonctionnant essentiellement sur le cloud. Ce changement dans les paradigmes de télétravail a permis aux cyberattaquants d’élargir leurs méthodes pour réaliser des attaques cherchant soit à détourner le DNS, soit à véhiculer leur virus par ce dernier. Il est donc crucial que les entreprises s’adaptent et améliorent leurs connaissances sur la manière de sécuriser leurs réseaux et services.
Les menaces DNS nous concernent tous
D’après la dernière édition du DNS Threat Report, publiée en juin 2021 et réalisé avec IDC, les attaques DNS sont à la fois coûteuses et dommageables. Près de 90 % des organisations ont subi des attaques DNS au cours de l’année écoulée, le coût moyen de chaque attaque s’élevant à environ 87 1 267 euros au niveau mondial.
Le rapport montre que les entreprises, tous secteurs confondus, ont subi en moyenne 7,6 attaques au cours de cette dernière année, au cours desquelles le DNS a été utilisé soit pour propager l’attaque à travers tout le réseau, soit comme objectif en soi, attestant ainsi du rôle vital joué par le DNS dans la sécurisation des réseaux.
Le vol de données via le DNS a également connu une forte hausse au cours de l’année écoulée et touche désormais une entreprise sur quatre, ce qui prouve que les pare-feux ont du mal à détecter l’exfiltration de données et ne peuvent contrer la menace à eux seuls. D’autre part, les entreprises ont été plus vulnérables ces deux dernières années, dans la mesure où les 2 confinements les ont amenées à utiliser davantage de services cloud. Les cyberattaquants en ont profité ces dernières années, et près de la moitié des entreprises françaises ont subi des interruptions de leurs services utilisant le cloud.
Les menaces pour le secteur de la santé ont augmenté pendant le COVID-19
Les attaques DNS visent tous les secteurs d’activité, mais la pandémie COVID-19 a rendu certains secteurs plus vulnérables que d’habitude. Il est donc d’autant plus important que les chefs d’entreprise de ces secteurs comprennent où se situent leurs vulnérabilités. Le rapport souligne ainsi que le secteur de la santé a connu la plus forte augmentation du coût par attaque par rapport à l’année dernière (+12 %). Plus d’un tiers des entreprises du secteur de la santé interrogées ont dû suspendre partiellement, voire totalement, leurs infrastructures informatiques suite à une attaque DNS, ce qui a eu un effet destructeur sur les opérations clés pendant la pandémie. Alors que de nombreuses organisations de soins de santé se sont tournées vers l’utilisation de services numériques pendant la pandémie, le rapport indique que ce secteur est le plus susceptible de subir une interruption de leur infrastructure informatique à la suite d’une attaque (53 %).
Les cyberattaquants ont diversifié leurs modes opératoires
Au cours de l’année écoulée, les cyberattaquants ont eu recours à une grande variété de méthodes pour cibler les entreprises. Tous les types d’attaques figurant dans l’enquête du DNS Threat Report ont connu une augmentation par rapport à l’année dernière, parfois spectaculaire. Par exemple, le détournement de nom de domaine, méthode où l’utilisateur n’est pas connecté au service souhaité mais à un faux, a plus que doublé (125%) par rapport à l’année dernière. Les cas de mauvaise configuration dans le cloud ont également augmenté de 77 %. Cela est probablement dû à la dépendance accrue au cloud avec le boom du travail à distance. Le tunneling DNS et les vulnérabilités de type « Zero-Day » ont également augmenté de manière significative (41 % et 44 % respectivement). Le phishing reste la méthode préférée des pirates et près de la moitié des entreprises ont subi ce genre d’attaque. Les ransomwares restent également populaires (+38 %). La diversité des attaques possibles signifie que les entreprises doivent être mieux préparées à faire face aux différentes menaces.
Comment améliorer la sécurité DNS
Alors que les pirates ciblent de plus en plus le cloud, profitant de la dépendance au télétravail et de la difficile sécurisation des infrastructures multiclouds, on constate une prise de conscience croissante de la sécurité DNS et de la manière de combattre ces cyberattaques.
Près de trois quarts des personnes interrogées dans le cadre du rapport sur les menaces de 2021 considéraient la sécurité du DNS comme un élément essentiel de leur architecture réseau. Malgré cette sensibilisation croissante, les entreprises ne semblent pas assez nombreuses à utiliser une solution de sécurité DNS adaptée. Le DNS peut également servir de première ligne de défense car il permet d’analyser en un coup d’œil les connections au services IP, et les intentions des utilisateurs. L’automatisation devrait être un élément essentiel de toute stratégie de sécurité. En utilisant les données fournies par les analyses DNS, les entreprises peuvent alimenter une plateforme SOAR (Security Orchestration, Automation and Response).
Une entreprise sécurisée doit également analyser intelligemment le trafic réseau. L’envoi des informations véhiculées par le DNS aux plateformes de gestion des informations et des événements de sécurité (SIEM) pour analyse est précieux. Cependant, en raison des grands volumes de données, cette méthode peut s’avérer inefficace. Une option plus intelligente consisterait à ce que les DNS n’alimentent les SIEM qu’avec des données pertinentes et exploitables sur des comportements spécifiques. Cela permettrait de simplifier les mesures correctives pour les SOC et d’éviter la « lassitude face aux violations ».
Alors que le travail à distance et le travail hybride deviennent la norme, il est essentiel de protéger les salariéés en chiffrant le trafic à l’aide du chiffrement DNS avec DoH. 51% des entreprises préfèrent une solution DoH privée car cela protège mieux la vie privée des utilisateurs, en conservant les données relatives au trafic au sein de leur organisation.
Enfin, le DNS permet de combler les failles de sécurité souvent laissées par les pare-feux et les IPS, en particulier lorsqu’il est associé à d’autres composants de sécurité tels que la prévention des pertes de données (DLP) et le contrôle d’accès au réseau (NAC).
Alors que les entreprises cherchent à pérenniser le travail hybride, en utilisant le cloud, l’IoT, la périphérie et la 5G, elles devraient essayer de renforcer le DNS pour une stratégie de sécurité proactive, en en faisant la première ligne de défense pour arrêter la propagation des cyberattaques. C’est le meilleur moment pour donner la priorité à la cybersécurité, à la structure et à la logistique de l’architecture réseau de votre entreprise.
___________________
Par Ronan David, VP Business Development and Marketing, EfficientIP