Le guide NIST de déploiement DNS sécurisé : bonnes pratiques

Résumé exécutif : Le NIST a publié le SP 800-81r3 le 19 mars 2026, sa première mise à jour du Secure DNS Deployment Guide en 13 ans. Le nouveau document est plus court (50 pages, contre 120 auparavant) et passe de conseils de configuration spécifiques à des plateformes à un cadre stratégique pour la sécurité DNS en entreprise.

Le guide divise la sécurité DNS en trois piliers. D'abord, considérer le DNS comme un composant de l'architecture de sécurité en centralisant la résolution pour permettre la journalisation des requêtes (utile pour la recherche d'incidents et la détection de menaces) et le filtrage des résolutions de noms (DNS protecteur). Ensuite, sécuriser les serveurs récursifs en fournissant un service récursif interne chiffré, en restreignant l'accès aux DNS publics, en utilisant la minimisation QNAME et en validant DNSSEC. Enfin, sécuriser les serveurs autoritatifs selon cinq axes : protéger les interfaces de gestion, limiter les fuites d'informations, maintenir l'hygiène DNS (les enregistrements NS/CNAME obsolètes sont un risque de détournement), surveiller les domaines ressemblants et déployer DNSSEC pour l'intégrité cryptographique.

Le 19 mars 2026, le NIST a publié une mise à jour très attendue de son Secure DNS Deployment Guide (SP 800-81r3). La sécurité DNS est un sujet qui me tient particulièrement à cœur et j'étais très curieux de découvrir les nouveautés. La réponse rapide est — tout. Surprenant ? Pas vraiment, car la version précédente de ce document date de 2013, soit il y a 13 ans, ce qui est notable. Le document de 2013 était le reflet de son époque. Celui de 2026 l'est aussi, mais le paysage de la sécurité a profondément changé. Cela explique les grandes différences. Voyons cela de plus près.

Le plus grand changement est conceptuel. Avec environ 120 pages, la version précédente était plus longue et beaucoup plus détaillée techniquement, axée sur les paramètres de configuration et les détails spécifiques aux plateformes. La nouvelle version a été allégée, environ 50 pages, et se concentre sur la stratégie globale de sécurisation du DNS d'entreprise.

En réalité, la sécurisation du DNS est désormais répartie en trois aspects :

• Le DNS comme partie intégrante de l'architecture de sécurité
• Sécurité des serveurs récursifs de l'organisation
• Sécurité des serveurs autoritatifs de l'organisation

Bien qu’il n’ait jamais été conçu comme un mécanisme de sécurité, le DNS est devenu au fil des années un élément clé de l’architecture de sécurité de toute organisation, du fait que chaque service réseau s’en sert. L’immense majorité des services doivent résoudre des noms de domaine en adresses IP. De nombreuses menaces utilisent le DNS comme vecteur de diffusion.

Ainsi, si l’utilisation du DNS est centralisée au sein d’une organisation, on obtient deux bénéfices essentiels :

• La journalisation des requêtes DNS fournit des enregistrements de résolution très utiles pour la recherche numérique et la réponse aux incidents, ce qui est crucial pour renforcer la sécurité et répondre aux exigences réglementaires. La surveillance des usages DNS permet également de détecter des fuites de données et de réagir en temps réel face aux menaces.
• Le filtrage de résolution de noms offre un pare-feu côté client multifonctionnel. D'une part, il garantit l'application uniforme des politiques de contenu de l'entreprise. D'autre part, et surtout, il protège les utilisateurs des menaces telles que le phishing et les malwares. Le concept central ici est parfois qualifié de DNS protecteur.

Une fois que le DNS fait partie de votre infrastructure de sécurité, la prochaine étape consiste à sécuriser la résolution DNS dans l’ensemble de votre parc. C’est là que les choses se compliquent, car il faut s’assurer que tous les appareils de l’organisation respectent les règles. Cela se décline en deux étapes :

• Fournir un service récursif officiel à usage interne. Mettre en place un service centralisé vous permet de tirer parti des choix d’architecture précédents. Pour un résultat optimal, ce service récursif devrait être chiffré, afin de protéger le trafic DNS potentiellement sensible contre des acteurs malveillants présents sur vos réseaux internes.
• Restreindre l’accès aux services DNS publics pour garantir que seul le service officiel soit utilisé. Cette étape passe souvent par une plateforme de gestion des appareils mobiles (MDM), permettant de contrôler les paramètres essentiels du système d’exploitation et des applications. Bloquer certains ports DNS est simple : le port 53 est utilisé pour le DNS en clair, et le port 853 pour DNS-over-TCP (DoT) et DNS-over-QUIC (DoQ). Bloquer DNS-over-HTTPS (DoH) est en revanche beaucoup plus complexe, car il s’appuie sur le port 443, commun au reste du Web. Bien que la tâche soit difficile, les organisations se tournent généralement vers leurs fournisseurs pour une solution.

Votre service récursif peut provoquer des fuites d’informations via le trafic sortant vers Internet. Il est recommandé d’utiliser des fonctionnalités telles que le chiffrement du trafic DNS sortant et la minimisation QNAME pour renforcer la confidentialité. La validation DNSSEC est nécessaire pour s’assurer que les informations reçues n’ont pas été modifiées.

Vos serveurs récursifs peuvent être la cible d’attaques, comme toute autre partie de votre infrastructure. Les attaques d'empoisonnement du cache DNS ont connu un regain en 2025 et 2026, et représentent toujours un vecteur de menace à ne pas négliger.

La dernière étape pour assurer la robustesse du DNS consiste à protéger vos serveurs autoritatifs. Cinq axes distincts sont à considérer :

• Protéger les interfaces de gestion. Vos serveurs autoritatifs doivent être accessibles sur Internet pour être utiles, mais les interfaces de gestion doivent être sécurisées. Certaines fonctionnalités comme les transferts de zone et les mises à jour dynamiques ne devraient pas être exposées publiquement afin de réduire la surface d’attaque. Si vous externalisez la gestion DNS à un fournisseur, c’est lui qui prend en charge la sécurité. Si vous conservez votre serveur principal, il est préférable qu’il soit totalement caché du public et accessible uniquement aux secondaires. Cela réduit le risque d’être victime d'une attaque par déni de service (DoS).
• Limiter les fuites d’informations. Par nature, le DNS sert à divulguer des informations au public, mais les zones DNS contiennent souvent des éléments qui ne sont pas indispensables et peuvent être exploités. Passez en revue ce contenu régulièrement et supprimez ce qui n’est pas crucial à vos services. En raison de services comme la surveillance DNS passive et Certificate Transparency, vos sous-domaines sont peut-être plus exposés que vous ne le pensez. Séparez autant que possible les domaines publics des internes, et gardez ces derniers privés.
• Maintenir l’hygiène DNS. A minima, assurez-vous du bon fonctionnement du DNS. Il se peut que votre DNS fonctionne tout en fournissant des informations obsolètes — situation fréquemment exploitée. Par exemple, des enregistrements NS périmés peuvent permettre le détournement de tout un domaine ; des CNAME périmés permettent le détournement de services individuels. Les problèmes peuvent être nombreux, liés à la mauvaise configuration ou au « drift » des zones où les secondaires ne sont plus synchronisés sur le primaire.
• Surveiller les domaines ressemblants. En matière de cybercriminalité, il est courant d’enregistrer des noms de domaine similaires au vôtre afin de piéger vos employés, clients, fournisseurs et partenaires. Surveiller ces noms et agir rapidement pour les supprimer est essentiel pour la sécurité.
• Utiliser DNSSEC pour garantir l’intégrité. Le DNS n’est pas sécurisé intrinsèquement. Les paquets peuvent être interceptés et modifiés durant leur transit. Des attaques comme l’empoisonnement de cache DNS injectent de fausses données dans les serveurs récursifs. Pour chiffrer le trafic DNS, on emploie DoT, DoH et DoQ. Pour une véritable intégrité basée sur la cryptographie, il faut DNSSEC.

Chez Red Sift, notre priorité est la défense cybersécurité, et le DNS en est une composante majeure. Nous proposons une découverte et une surveillance continue de l’infrastructure via notre produit Attack Surface Management, qui assure la surveillance de l’hygiène DNS (ou DNS Posture Management, si vous préférez). Notre solution Brand Trust propose une surveillance globale des noms de domaine ressemblants. Contactez-nous pour voir comment nous pouvons renforcer votre posture de sécurité.

1. Considérez le DNS comme partie de l’architecture de sécurité

• Maintenez un journal d’audit DNS pour la recherche d’incidents et la détection des menaces
• Créez une couche de protection via le filtrage de résolution de noms

2. Sécurisez les serveurs récursifs

• Fournissez un service récursif interne
• Chiffrez votre trafic DNS sortant
• Utilisez la minimisation QNAME
• Validez DNSSEC
• Bloquez l’accès aux services DNS publics

3. Sécurisez les serveurs autoritatifs

• Protégez les interfaces de gestion
• Cachez vos serveurs de noms principaux
• Réduisez les fuites d’information
• Maintenez l’hygiène DNS
• Surveillez les domaines ressemblants
• Utilisez DNSSEC pour assurer l’intégrité