La directive de l’Union européenne sur la sécurité des réseaux et de l’information (NIS2) manque une occasion d’encourager la responsabilité dans l’ensemble de la chaîne d’approvisionnement DNS. Au lieu de se concentrer sur le résultat pour le consommateur, NIS2 tente de réglementer des points spécifiques du réseau.
Les futures réglementations dans l’UE ou ailleurs peuvent faire mieux.
Permettez-moi de prendre du recul et d’expliquer la chaîne d’approvisionnement DNS.
Comment arrive-t-on à la bonne adresse sur Internet ?
Lorsque vous saisissez un texte comme « internetsociety.org » sur votre appareil, celui-ci utilise un serveur de noms récursif pour interroger le système de noms de domaine (DNS), une base de données hiérarchique distribuée à l’échelle mondiale qui traduit ce texte en une adresse ou une autre ressource. Cet acte de traduction permet à votre appareil d’atteindre la destination qui vous intéresse. Sans l’utilisation du service fourni par un serveur de noms récursif, vous n’auriez pas une expérience Internet utile.
Chaque fois que vous vous connectez à Internet, votre opérateur réseau (votre opérateur mobile, votre fournisseur d’accès à Internet à domicile ou votre opérateur de réseau d’entreprise) vous fournit automatiquement l’adresse à laquelle votre appareil peut trouver le serveur de noms récursif.
Les serveurs de noms récursifs étaient traditionnellement gérés par votre fournisseur d’accès Internet (FAI) ou votre opérateur de réseau d’entreprise. Mais au cours de la dernière décennie, ces services ont été de plus en plus externalisés auprès d’opérateurs de serveurs de noms récursifs comme Google, Cloudflare ou QUAD9.
Les raisons de ce choix sont principalement motivées par la nécessité de réduire le risque de continuité. Les dépenses d’investissement liées à l’exploitation de votre propre serveur de noms récursif peuvent être négligeables, car les serveurs de noms récursifs utilisent généralement des produits gratuits à code source ouvert qui fonctionnent sur du matériel de base ou standard.
De même, les dépenses opérationnelles sont généralement modestes et correspondent aux tâches d’administration système standard. Jusqu’à ce que… quelque chose se passe mal. Si votre serveur de noms récursif est en panne, votre réseau l’est aussi. Disposer d’un expert technique capable de résoudre ce problème devient rapidement onéreux étant donné la nécessité pour cette personne d’être disponible 24 heures sur 24 et 7 jours sur 7.
L’externalisation, pour cette raison, est attrayante en tant qu’option plus simple et moins chère. Un opérateur spécialisé fournira désormais le service, souvent même sans coût monétaire. C’est logique, mais qu’en est-il de la sécurité ?
Quels sont les risques de sécurité liés à l’externalisation des serveurs de noms récursifs ?
Examinons NIS2, une récente proposition de réglementation de l’UE, qui vise à imposer des exigences de sécurité aux opérateurs d’entités essentielles et importantes. Comme je l’ai écrit précédemment, NIS2 a une vision spécifique de l’endroit où les mesures de cybersécurité doivent être prises dans l’écosystème numérique. Le texte de la directive stipule :
« les mesures de gestion du risque de cybersécurité devraient consister en des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d’information que les entités concernées utilisent dans le cadre de la fourniture de leurs services.»
( Art 12a du 12019/2/21 Rev2 d.d. 25 octobre 2021, non disponible publiquement).
Je comprends cette vision et je suis d’accord pour dire que ces mesures devraient prendre en compte toutes les dépendances, y compris le réseau et les systèmes d’information, sur lesquels les entités s’appuient, ce que nous appelons une chaîne d’approvisionnement. En même temps, je pense que les entités devraient être responsables de la gestion du risque de cybersécurité au sein de leurs propres chaînes d’approvisionnement et faire preuve de diligence raisonnable lorsqu’elles envisagent d’externaliser les intrants qui entrent dans la composition de leurs services finaux. En substance, je pense qu’il n’est pas nécessaire de réglementer tous les points d’une chaîne d’approvisionnement tant que les entités finales sont censées assumer la responsabilité de leurs décisions.
NIS2 n’adopte pas cette approche et considère plutôt les opérateurs de serveurs de noms récursifs comme des entités indépendantes, leur imposant des exigences directes. En réglementant à tous les points en amont et en aval de la chaîne d’approvisionnement, NIS2 traite les résolveurs récursifs comme des services directement utilisés par les consommateurs et les entreprises, ce qui n’est pas le cas.
Les dépendances dans les chaînes d’approvisionnement des entités ne sont pas toujours apparentes. L’externalisation des serveurs de noms récursifs par les fournisseurs de réseaux a brouillé la chaîne de dépendance au fil du temps, car ces accords d’externalisation sont généralement conclus sans accords de niveau de service (SLA) ni contrats.
Les entités qui externalisent les serveurs de noms récursifs sont les mieux placées pour comprendre où se trouvent les dépendances. En réglementant exclusivement les entités finales plutôt que tous les niveaux de la chaîne d’approvisionnement, NIS2 pourrait inciter les entités à analyser elles-mêmes en profondeur les risques de leurs chaînes d’approvisionnement.
Avec cette approche, les entités qui ne procèdent pas à une analyse suffisante des risques s’exposeraient aux sanctions correspondantes. À long terme, cela favoriserait une culture de transparence et de responsabilité accrues parmi les entités essentielles et importantes, ce qui contribuerait grandement à une meilleure santé de la cybersécurité.
L’environnement DNS est en constante évolution. Par exemple, quelques nouveaux protocoles tels que le DNS sur le protocole de transfert hypertexte sécurisé (DoH) sont maintenant utilisés pour fournir des caractéristiques de sécurité et de confidentialité.
La réglementation qui cible les entités finales plutôt que l’ensemble de la chaîne d’approvisionnement s’adapterait à ces nouvelles initiatives, car les entités seraient responsables de la gestion des risques dans leurs propres chaînes d’approvisionnement.
Dans un environnement d’entreprise, les politiques de sécurité de l’entreprise devraient guider l’analyse des risques. Dans un réseau domestique, les fournisseurs de navigateurs ou d’autres applications seraient responsables de toute décision de configurer de manière permanente un fournisseur de DNS ou d’envisager un scénario dans lequel un utilisateur pourrait passer outre les paramètres standard d’un FAI. En fait, un groupe de travail entier de l’IETF (Internet Engineering Task Force) se consacre à la création des mécanismes techniques permettant de s’assurer que le serveur de noms récursif approprié peut être trouvé et configuré.
En traitant les serveurs de noms récursifs comme des acteurs indépendants, NIS2 incite les serveurs de noms récursifs à être ignorés dans l’analyse des dépendances de la chaîne d’approvisionnement. Cela ne manquera pas d’avoir des effets pervers et de manquer une occasion de favoriser la responsabilisation d’entités importantes et essentielles.
En concevant ce type de réglementation, il est sage d’identifier le service réel qui est fourni et d’y placer la responsabilité de la sécurité. Dans un monde idéal, j’aimerais que le NIS2 soit corrigé. Mais étant donné que le NIS2 est en phase finale de négociation, il serait sage que les autorités gouvernementales d’autres parties du monde prennent note afin de ne pas commettre les mêmes erreurs que l’UE.
Image : « Drapeau de l’Union Européenne » de CampusFrance, sous licence CC0 1.0