Le NIST publie le SP 800-81r3, première mise à jour de son guide DNS en douze ans, faisant du DNS un pilier actif de la stratégie de cybersécurité.
En bref
- Le NIST publie le SP 800-81 Revision 3, première mise à jour de son guide de sécurité DNS depuis 2013.
- Le DNS passe du statut de simple infrastructure réseau à celui de pilier actif de la stratégie de cybersécurité.
- Nouvelles recommandations sur le DNS protecteur (PDNS), le DNS chiffré (DoH, DoT) et l'intégration des logs DNS dans les SIEM.
Ce qui s'est passé
Le National Institute of Standards and Technology (NIST) a publié le 21 mars 2026 la révision 3 du Special Publication 800-81, intitulée « Secure Domain Name System (DNS) Deployment Guide ». Cette mise à jour est la première depuis 2013, soit douze ans d'écart pendant lesquels le paysage des menaces et les usages du DNS ont radicalement évolué.
Le document couvre trois axes principaux : l'utilisation du DNS comme contrôle de sécurité actif, la sécurisation du protocole DNS lui-même, et la protection des serveurs et infrastructures qui font tourner les services DNS. Le changement de philosophie est marquant : là où la version 2013 traitait le DNS comme une simple « plomberie réseau », la révision 3 le positionne comme une couche d'enforcement de sécurité devant bloquer les menaces, alimenter les SIEM et être auditée au même titre que les règles de pare-feu.
Parmi les évolutions majeures, le NIST endosse officiellement le DNS protecteur (Protective DNS ou PDNS) comme contrôle de sécurité recommandé pour les entreprises. Le PDNS inspecte les requêtes DNS en temps réel et bloque la résolution de domaines associés aux malwares, au phishing, aux infrastructures de commande et contrôle et à l'exfiltration de données. Les protocoles DNS chiffrés (DoT, DoH, DoQ) font l'objet d'une couverture détaillée pour la première fois, avec des mises en garde sur les applications qui contournent les contrôles DNS d'entreprise.
Pourquoi c'est important
Le DNS est sollicité par quasiment chaque interaction réseau, ce qui en fait un point d'observation et de contrôle stratégique. De nombreuses attaques modernes, du phishing au ransomware en passant par les communications C2, dépendent du DNS à un moment ou un autre de leur chaîne d'exécution. Positionner le DNS comme un capteur de sécurité de premier ordre permet de détecter et bloquer des menaces avant qu'elles n'atteignent les endpoints.
Le guide met également à jour les recommandations cryptographiques pour DNSSEC, privilégiant désormais ECDSA et Ed25519 avec des fenêtres de validité de signature raccourcies à cinq à sept jours. Les enregistrements CNAME orphelins (dangling CNAMEs) et les délégations invalides sont désormais explicitement identifiés comme des risques de niveau entreprise, une reconnaissance attendue par la communauté sécurité depuis plusieurs années.
Ce qu'il faut retenir
- Évaluer le déploiement d'un service PDNS (Protective DNS) si ce n'est pas déjà fait, conformément aux nouvelles recommandations du NIST.
- Intégrer les logs DNS comme source de télémétrie dans le SIEM et les workflows de réponse à incident.
- Auditer les zones DNS pour identifier les enregistrements CNAME orphelins et les délégations invalides.
Qu'est-ce que le DNS protecteur (PDNS) recommandé par le NIST ?
Le Protective DNS est un service de sécurité qui analyse les requêtes DNS en temps réel et bloque automatiquement l'accès aux domaines malveillants connus. Il agit comme un filtre entre l'utilisateur et Internet, empêchant les connexions vers des sites de phishing, des serveurs de commande et contrôle de malwares ou des domaines utilisés pour l'exfiltration de données, sans nécessiter d'agent sur le poste de travail.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
FortiGate : campagne active de vol de credentials ciblant santé et gouvernement
Une campagne active cible les FortiGate pour extraire des credentials LDAP et infiltrer les réseaux santé, gouvernement et MSP. 14 700 équipements déjà compromis dans le monde.
n8n : CISA alerte sur une RCE exploitée, 24 700 instances exposées
CISA ajoute la faille RCE n8n CVE-2025-68613 à son catalogue KEV. 24 700 instances restent exposées sur Internet. Une seconde vulnérabilité CVE-2026-27577 aggrave le risque.
CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC
Le ransomware Interlock exploite la faille critique CVE-2026-20131 (CVSS 10.0) dans Cisco Secure Firewall Management Center comme zero-day depuis janvier 2026. Correctif disponible, application urgente recommandée.
Commentaires (1)
Laisser un commentaire