{"id":162647,"date":"2021-12-17T21:28:07","date_gmt":"2021-12-17T21:28:07","guid":{"rendered":"https:\/\/www.internetsociety.org\/blog\/2021\/12\/incoherence-de-la-directive-nis2-le-point-de-vue-de-la-chaine-dapprovisionnement-dns\/"},"modified":"2022-09-30T17:39:14","modified_gmt":"2022-09-30T17:39:14","slug":"incoherence-de-la-directive-nis2-le-point-de-vue-de-la-chaine-dapprovisionnement-dns","status":"publish","type":"post","link":"https:\/\/www.internetsociety.org\/fr\/blog\/2021\/12\/incoherence-de-la-directive-nis2-le-point-de-vue-de-la-chaine-dapprovisionnement-dns\/","title":{"rendered":"Incoh\u00e9rence de la directive NIS2 – le point de vue de la cha\u00eene d’approvisionnement DNS"},"content":{"rendered":"\n

La directive de l’Union europ\u00e9enne sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information (NIS2) manque une occasion d’encourager la responsabilit\u00e9 dans l’ensemble de la cha\u00eene d’approvisionnement DNS. Au lieu de se concentrer sur le r\u00e9sultat pour le consommateur, NIS2 tente de r\u00e9glementer des points sp\u00e9cifiques du r\u00e9seau.<\/p>\n\n\n\n

Les futures r\u00e9glementations dans l’UE ou ailleurs peuvent faire mieux.<\/p>\n\n\n\n

Permettez-moi de prendre du recul et d’expliquer la cha\u00eene d’approvisionnement DNS.<\/p>\n\n\n\n

Comment arrive-t-on \u00e0 la bonne adresse sur Internet ?<\/h2>\n\n\n\n

Lorsque vous saisissez un texte comme \u00ab internetsociety.org \u00bb sur votre appareil, celui-ci utilise un serveur de noms r\u00e9cursif pour interroger le syst\u00e8me de noms de domaine (DNS), une base de donn\u00e9es hi\u00e9rarchique distribu\u00e9e \u00e0 l’\u00e9chelle mondiale qui traduit ce texte en une adresse ou une autre ressource. Cet acte de traduction permet \u00e0 votre appareil d’atteindre la destination qui vous int\u00e9resse. Sans l’utilisation du service fourni par un serveur de noms r\u00e9cursif, vous n’auriez pas une exp\u00e9rience Internet utile.<\/p>\n\n\n\n

Chaque fois que vous vous connectez \u00e0 Internet, votre op\u00e9rateur r\u00e9seau (votre op\u00e9rateur mobile, votre fournisseur d’acc\u00e8s \u00e0 Internet \u00e0 domicile ou votre op\u00e9rateur de r\u00e9seau d’entreprise) vous fournit automatiquement l’adresse \u00e0 laquelle votre appareil peut trouver le serveur de noms r\u00e9cursif.<\/p>\n\n\n\n

Les serveurs de noms r\u00e9cursifs \u00e9taient traditionnellement g\u00e9r\u00e9s par votre fournisseur d’acc\u00e8s Internet (FAI) ou votre op\u00e9rateur de r\u00e9seau d’entreprise. Mais au cours de la derni\u00e8re d\u00e9cennie, ces services ont \u00e9t\u00e9 de plus en plus externalis\u00e9s aupr\u00e8s d’op\u00e9rateurs de serveurs de noms r\u00e9cursifs comme Google, Cloudflare ou QUAD9.<\/p>\n\n\n\n

Les raisons de ce choix sont principalement motiv\u00e9es par la n\u00e9cessit\u00e9 de r\u00e9duire le risque de continuit\u00e9. Les d\u00e9penses d’investissement li\u00e9es \u00e0 l’exploitation de votre propre serveur de noms r\u00e9cursif peuvent \u00eatre n\u00e9gligeables, car les serveurs de noms r\u00e9cursifs utilisent g\u00e9n\u00e9ralement des produits gratuits \u00e0 code source ouvert qui fonctionnent sur du mat\u00e9riel de base ou standard.<\/p>\n\n\n\n

De m\u00eame, les d\u00e9penses op\u00e9rationnelles sont g\u00e9n\u00e9ralement modestes et correspondent aux t\u00e2ches d’administration syst\u00e8me standard. Jusqu’\u00e0 ce que… quelque chose se passe mal. Si votre serveur de noms r\u00e9cursif est en panne, votre r\u00e9seau l’est aussi. Disposer d’un expert technique capable de r\u00e9soudre ce probl\u00e8me devient rapidement on\u00e9reux \u00e9tant donn\u00e9 la n\u00e9cessit\u00e9 pour cette personne d’\u00eatre disponible 24 heures sur 24 et 7 jours sur 7.<\/p>\n\n\n\n

L’externalisation, pour cette raison, est attrayante en tant qu’option plus simple et moins ch\u00e8re. Un op\u00e9rateur sp\u00e9cialis\u00e9 fournira d\u00e9sormais le service, souvent m\u00eame sans co\u00fbt mon\u00e9taire. C’est logique, mais qu’en est-il de la s\u00e9curit\u00e9 ?<\/p>\n\n\n\n

Quels sont les risques de s\u00e9curit\u00e9 li\u00e9s \u00e0 l’externalisation des serveurs de noms r\u00e9cursifs ?<\/h2>\n\n\n\n

Examinons NIS2, une r\u00e9cente proposition de r\u00e9glementation de l’UE<\/a>, qui vise \u00e0 imposer des exigences de s\u00e9curit\u00e9 aux op\u00e9rateurs d’entit\u00e9s essentielles et importantes. Comme je l’ai \u00e9crit pr\u00e9c\u00e9demment<\/a>, NIS2 a une vision sp\u00e9cifique de l’endroit o\u00f9 les mesures de cybers\u00e9curit\u00e9 doivent \u00eatre prises dans l’\u00e9cosyst\u00e8me num\u00e9rique. Le texte de la directive stipule :<\/p>\n\n\n\n

\u00ab les mesures de gestion du risque de cybers\u00e9curit\u00e9 devraient consister en des mesures techniques et organisationnelles appropri\u00e9es et proportionn\u00e9es pour g\u00e9rer les risques pos\u00e9s \u00e0 la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d’information que les entit\u00e9s concern\u00e9es utilisent dans le cadre de la fourniture de leurs services.\u00bb<\/em>
( Art 12a du 12019\/2\/21 Rev2 d.d. 25 octobre 2021, non disponible publiquement).<\/p>\n\n\n\n

Je comprends cette vision et je suis d’accord pour dire que ces mesures devraient prendre en compte toutes les d\u00e9pendances, y compris le r\u00e9seau et les syst\u00e8mes d’information, sur lesquels les entit\u00e9s s’appuient, ce que nous appelons une cha\u00eene d’approvisionnement. En m\u00eame temps, je pense que les entit\u00e9s devraient \u00eatre responsables de la gestion du risque de cybers\u00e9curit\u00e9 au sein de leurs propres cha\u00eenes d’approvisionnement et faire preuve de diligence raisonnable lorsqu’elles envisagent d’externaliser les intrants qui entrent dans la composition de leurs services finaux. En substance, je pense qu’il n’est pas n\u00e9cessaire de r\u00e9glementer tous les points d’une cha\u00eene d’approvisionnement tant que les entit\u00e9s finales sont cens\u00e9es assumer la responsabilit\u00e9 de leurs d\u00e9cisions. <\/p>\n\n\n\n

NIS2 n’adopte pas cette approche et consid\u00e8re plut\u00f4t les op\u00e9rateurs de serveurs de noms r\u00e9cursifs comme des entit\u00e9s ind\u00e9pendantes, leur imposant des exigences directes. En r\u00e9glementant \u00e0 tous les points en amont et en aval de la cha\u00eene d’approvisionnement, NIS2 traite les r\u00e9solveurs r\u00e9cursifs comme des services directement utilis\u00e9s par les consommateurs et les entreprises, ce qui n’est pas le cas.<\/p>\n\n\n\n

Les d\u00e9pendances dans les cha\u00eenes d’approvisionnement des entit\u00e9s ne sont pas toujours apparentes. L’externalisation des serveurs de noms r\u00e9cursifs par les fournisseurs de r\u00e9seaux a brouill\u00e9 la cha\u00eene de d\u00e9pendance au fil du temps, car ces accords d’externalisation sont g\u00e9n\u00e9ralement conclus sans accords de niveau de service (SLA) ni contrats.<\/p>\n\n\n\n

Les entit\u00e9s qui externalisent les serveurs de noms r\u00e9cursifs sont les mieux plac\u00e9es pour comprendre o\u00f9 se trouvent les d\u00e9pendances. En r\u00e9glementant exclusivement les entit\u00e9s finales plut\u00f4t que tous les niveaux de la cha\u00eene d’approvisionnement, NIS2 pourrait inciter les entit\u00e9s \u00e0 analyser elles-m\u00eames en profondeur les risques de leurs cha\u00eenes d’approvisionnement.<\/p>\n\n\n\n

Avec cette approche, les entit\u00e9s qui ne proc\u00e8dent pas \u00e0 une analyse suffisante des risques s’exposeraient aux sanctions correspondantes. \u00c0 long terme, cela favoriserait une culture de transparence et de responsabilit\u00e9 accrues parmi les entit\u00e9s essentielles et importantes, ce qui contribuerait grandement \u00e0 une meilleure sant\u00e9 de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

L’environnement DNS est en constante \u00e9volution. Par exemple, quelques nouveaux protocoles tels que le DNS sur le protocole de transfert hypertexte s\u00e9curis\u00e9 (DoH) sont maintenant utilis\u00e9s pour fournir des caract\u00e9ristiques de s\u00e9curit\u00e9 et de confidentialit\u00e9.<\/p>\n\n\n\n

La r\u00e9glementation qui cible les entit\u00e9s finales plut\u00f4t que l’ensemble de la cha\u00eene d’approvisionnement s’adapterait \u00e0 ces nouvelles initiatives, car les entit\u00e9s seraient responsables de la gestion des risques dans leurs propres cha\u00eenes d’approvisionnement.<\/p>\n\n\n\n

Dans un environnement d’entreprise, les politiques de s\u00e9curit\u00e9 de l’entreprise devraient guider l’analyse des risques. Dans un r\u00e9seau domestique, les fournisseurs de navigateurs ou d’autres applications seraient responsables de toute d\u00e9cision de configurer de mani\u00e8re permanente un fournisseur de DNS ou d’envisager un sc\u00e9nario dans lequel un utilisateur pourrait passer outre les param\u00e8tres standard d’un FAI. En fait, un groupe de travail entier de l’IETF (Internet Engineering Task Force)<\/a> se consacre \u00e0 la cr\u00e9ation des m\u00e9canismes techniques permettant de s’assurer que le serveur de noms r\u00e9cursif appropri\u00e9 peut \u00eatre trouv\u00e9 et configur\u00e9.<\/p>\n\n\n\n

En traitant les serveurs de noms r\u00e9cursifs comme des acteurs ind\u00e9pendants, NIS2 incite les serveurs de noms r\u00e9cursifs \u00e0 \u00eatre ignor\u00e9s dans l’analyse des d\u00e9pendances de la cha\u00eene d’approvisionnement. Cela ne manquera pas d’avoir des effets pervers et de manquer une occasion de favoriser la responsabilisation d’entit\u00e9s importantes et essentielles.<\/p>\n\n\n\n

En concevant ce type de r\u00e9glementation, il est sage d’identifier le service r\u00e9el qui est fourni et d’y placer la responsabilit\u00e9 de la s\u00e9curit\u00e9. Dans un monde id\u00e9al, j’aimerais que le NIS2 soit corrig\u00e9. Mais \u00e9tant donn\u00e9 que le NIS2 est en phase finale de n\u00e9gociation, il serait sage que les autorit\u00e9s gouvernementales d’autres parties du monde prennent note afin de ne pas commettre les m\u00eames erreurs que l’UE. <\/p>\n\n\n\n

\n\n\n\n

Image : \u00ab Drapeau de l’Union Europ\u00e9enne \u00bb<\/a> de CampusFrance<\/a>, sous licence CC0 1.0<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

La directive de l’Union europ\u00e9enne sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information (NIS2) manque une occasion d’encourager la responsabilit\u00e9 dans l’ensemble de la cha\u00eene d’approvisionnement DNS. Au lieu de se concentrer sur le r\u00e9sultat pour le consommateur, NIS2 tente de r\u00e9glementer des points sp\u00e9cifiques du r\u00e9seau. Les futures r\u00e9glementations dans l’UE ou ailleurs peuvent […]<\/p>\n","protected":false},"author":866,"featured_media":161798,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_uag_custom_page_level_css":"","footnotes":""},"categories":[4903],"tags":[5834],"region_news_regions":[5931],"content_category":[6101],"ppma_author":[4140],"class_list":["post-162647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-le-mode-de-fonctionnement-du-reseau-internet","tag-presentations-de-limpact-sur-internet","region_news_regions-global","content_category-blog-type"],"acf":[],"uagb_featured_image_src":{"full":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"thumbnail":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-150x150.jpg",150,150,true],"medium":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-450x243.jpg",450,243,true],"medium_large":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-768x415.jpg",768,415,true],"large":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-1024x553.jpg",1024,553,true],"1536x1536":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"2048x2048":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",1280,691,false],"post-thumbnail":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-250x135.jpg",250,135,true],"square":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o-600x600.jpg",600,600,true],"gform-image-choice-sm":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",300,162,false],"gform-image-choice-md":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",400,216,false],"gform-image-choice-lg":["https:\/\/www.internetsociety.org\/wp-content\/uploads\/2021\/12\/eu_flag_campusfrance_18898145409_9954d49d83_o.jpg",600,324,false]},"uagb_author_info":{"display_name":"Olaf Kolkman","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/kolkman\/"},"uagb_comment_info":0,"uagb_excerpt":"La directive de l’Union europ\u00e9enne sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l’information (NIS2) manque une occasion d’encourager la responsabilit\u00e9 dans l’ensemble de la cha\u00eene d’approvisionnement DNS. Au lieu de se concentrer sur le r\u00e9sultat pour le consommateur, NIS2 tente de r\u00e9glementer des points sp\u00e9cifiques du r\u00e9seau. Les futures r\u00e9glementations dans l’UE ou ailleurs peuvent\u2026","authors":[{"term_id":4140,"user_id":866,"is_guest":0,"slug":"kolkman","display_name":"Olaf Kolkman","avatar_url":{"url":"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2022\/06\/Olaf-Kolkman.jpg","url2x":"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2022\/06\/Olaf-Kolkman.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/posts\/162647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/866"}],"replies":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/comments?post=162647"}],"version-history":[{"count":0,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/posts\/162647\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media\/161798"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=162647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=162647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=162647"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=162647"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=162647"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=162647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}