7 min de lecture<\/p>\n
Avant qu’un malware n’atteigne son serveur de contr\u00f4le, il effectue une requ\u00eate DNS. Avant qu’un collaborateur n’atterrisse sur une page de connexion falsifi\u00e9e, son ordinateur r\u00e9sout le domaine correspondant. Presque chaque attaque s’arr\u00eate \u00e0 un endroit que de nombreuses entreprises ne filtrent jamais : le DNS. Le Protective DNS comble exactement cette faille et constitue l’une des couches de s\u00e9curit\u00e9 les moins co\u00fbteuses.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n \u00c0 lire aussi :<\/span>ITDR aux c\u00f4t\u00e9s de SIEM et EDR : architecture de d\u00e9tection 2026<\/a> \/<\/span> Un p\u00e9riph\u00e9rique Edge comme porte d’entr\u00e9e des ransomwares : pourquoi la MFA sur le VPN ne suffit pas<\/a><\/p>\n Le DNS est l’annuaire d’Internet. Chaque connexion commence par la traduction d’un nom en adresse. Cela vaut aussi bien pour l’appel d’un site web que pour un malware qui, apr\u00e8s infection, contacte son serveur de contr\u00f4le. C’est pr\u00e9cis\u00e9ment pour cette raison que le DNS constitue le point de passage oblig\u00e9 de presque toute cha\u00eene d’attaque, qu’il s’agisse de phishing, de chargement de code malveillant ou de fuite discr\u00e8te de donn\u00e9es.<\/p>\n La plupart des mesures de protection interviennent plus tard. L’antivirus analyse le fichier, le pare-feu contr\u00f4le le trafic, et l’EDR surveille le comportement sur le poste de travail. La requ\u00eate DNS qui pr\u00e9c\u00e8de ces \u00e9tapes transite souvent sans filtrage dans de nombreux r\u00e9seaux, directement vers un r\u00e9solveur public. Cela revient \u00e0 g\u00e2cher la chance d’arr\u00eater une attaque avant m\u00eame qu’elle n’\u00e9tablisse une connexion.<\/p>\n Ce niveau de d\u00e9tection n’est pas seulement pr\u00e9coce, il est aussi peu co\u00fbteux. Toute entreprise exploitant d\u00e9j\u00e0 le DNS (ce qui est le cas de toutes) peut souvent renforcer sa protection \u00e0 l’aide de son infrastructure existante. Cela fait du Protective DNS l’une des rares couches de s\u00e9curit\u00e9 offrant un excellent rapport effort\/efficacit\u00e9.<\/p>\n Qu’est-ce que le Protective DNS ?<\/strong> Le Protective DNS est un r\u00e9solveur DNS qui compare chaque r\u00e9solution de noms \u00e0 des donn\u00e9es sur les menaces et bloque ou redirige les requ\u00eates vers des domaines malveillants connus. Au lieu de renvoyer une adresse dangereuse, il r\u00e9pond par une page de blocage. Des autorit\u00e9s comme le BSI et des services de s\u00e9curit\u00e9 dans plusieurs pays recommandent express\u00e9ment cette approche.<\/p>\n Un service de DNS prot\u00e9g\u00e9 fonctionne avec des listes de blocage aliment\u00e9es par des donn\u00e9es de menace constamment mises \u00e0 jour. Techniquement, il utilise souvent les Response Policy Zones, c\u2019est-\u00e0-dire des r\u00e8gles qui emp\u00eachent la r\u00e9solution de domaines d\u00e9finis d\u00e8s le d\u00e9part. Le b\u00e9n\u00e9fice pratique r\u00e9side dans les cat\u00e9gories couvertes et dans les zones aveugles d\u00e9lib\u00e9r\u00e9ment laiss\u00e9es ouvertes.<\/p>\n Ce que fait le DNS prot\u00e9g\u00e9<\/p>\n O\u00f9 se trouvent les limites<\/p>\n Le DNS prot\u00e9g\u00e9 n\u2019est donc pas un rem\u00e8de universel, mais une couche dans la pile. Il soulage t\u00f4t et \u00e9conomiquement beaucoup de charge des \u00e9tapes ult\u00e9rieures, sans toutefois les remplacer. C\u2019est exactement cette \u00e9valuation qui d\u00e9terminera si son introduction constitue un gain en s\u00e9curit\u00e9 ou une tranquillit\u00e9 trompeuse.<\/p>\n Le plus grand obstacle pratique porte un nom peu spectaculaire : DNS over HTTPS. Les navigateurs modernes et nombreuses applications peuvent envoyer leurs requ\u00eates DNS chiffr\u00e9es et directement \u00e0 un fournisseur externe, en contournant le resolver de l\u2019entreprise. Du point de vue de la protection de la vie priv\u00e9e, c\u2019est souhaitable. Du point de vue de la d\u00e9fense, c\u2019est un trou, car le filtre DNS prot\u00e9g\u00e9 ne voit jamais ces requ\u00eates.<\/p>\n Les logiciels malveillants utilisent \u00e9galement de plus en plus ce chemin, notamment pour contourner les filtres. Celui qui introduit le DNS prot\u00e9g\u00e9 sans contr\u00f4ler le DNS chiffr\u00e9 ferme la porte d\u2019entr\u00e9e mais laisse la fen\u00eatre ouverte. C\u2019est pr\u00e9cis\u00e9ment \u00e0 cet endroit que j\u2019ai d\u00e9j\u00e0 vu des configurations qui semblaient propres sur papier, mais ne r\u00e9sistaient \u00e0 rien en pratique.<\/p>\n Les contre-mesures sont connues, mais n\u00e9cessitent de la discipline : imposer son propre resolver comme seul chemin autoris\u00e9 pour le DNS, bloquer le DNS chiffr\u00e9 externe sur le pare-feu et accorder des exceptions de mani\u00e8re consciente et document\u00e9e. Sans ce pas, le filtre le plus \u00e9l\u00e9gant reste inefficace.<\/p>\n L’activation est simple \u00e0 condition de respecter l’ordre. Celui qui commence par bloquer avant m\u00eame de conna\u00eetre ce qui est normal dans son r\u00e9seau g\u00e9n\u00e8re surtout des perturbations et une acceptation br\u00fbl\u00e9e.<\/p>\n Non. Protective DNS est une couche t\u00f4t et peu co\u00fbteuse qui arr\u00eate de nombreux attaques avant l’\u00e9tablissement de la connexion. La firewall, l’EDR, les mises \u00e0 jour et la segmentation restent n\u00e9cessaires. Protective DNS all\u00e8ge ces couches pr\u00e9cocement, avant que la connexion n’ait m\u00eame lieu.<\/p>\n Un r\u00e9solveur DNS normal r\u00e9sout toutes les requ\u00eates, m\u00eame celles vers des domaines malveillants. Un r\u00e9solveur DNS Protective compare chaque requ\u00eate aux donn\u00e9es de menace et refuse la r\u00e9solution des adresses dangereuses, souvent via des zones de politique de r\u00e9ponse.<\/p>\n DNS over HTTPS envoie les requ\u00eates directement vers des fournisseurs externes, passant outre le r\u00e9solveur de l’entreprise. Ainsi, le propre filtre ne voit plus ces requ\u00eates. Sans contr\u00f4le sur ce canal, Protective DNS peut \u00eatre contourn\u00e9, soit par les utilisateurs, soit par le logiciel malveillant.<\/p>\n Justement l\u00e0. Le travail est faible, souvent suffit l’infrastructure existante ou un service h\u00e9berg\u00e9. Pour les \u00e9quipes sans grand SOC, c’est l’une des rares mesures avec effet imm\u00e9diat et faible entretien.<\/p>\n En commen\u00e7ant l’activation en mode d’observation pur et en suivant le blocage progressivement. Une liste d’exclusions bien tenue et un chemin clair pour les faux positifs maintiennent l’acceptation au sein de l’organisation.<\/p>\n Plus d’articles du r\u00e9seau MBF Media<\/p>\n\n
Pourquoi les attaquants passent par le DNS<\/h2>\n
Ce qu\u2019un resolver renforc\u00e9 bloque<\/h2>\n
\n
\n
L\u2019ouverture cr\u00e9\u00e9e par le DNS chiffr\u00e9<\/h2>\n
Comment activer Protective DNS<\/h2>\n
Foire aux questions<\/h2>\n
Protective DNS remplace-t-il ma firewall ou mon EDR ?<\/h3>\n
Quelle est la diff\u00e9rence entre Protective DNS et un r\u00e9solveur DNS normal ?<\/h3>\n
Pourquoi le DNS chiffr\u00e9 est-il un probl\u00e8me ?<\/h3>\n
Protective DNS convient-il aussi aux petites entreprises ?<\/h3>\n
Comment \u00e9viter que des services l\u00e9gitimes soient bloqu\u00e9s ?<\/h3>\n
Les recommandations de la r\u00e9daction<\/h3>\n
\n