Selon CSC, une entreprise spécialisée dans la sécurisation des actifs en ligne, la majorité des plus grandes sociétés énergétiques aux États-Unis semblent avoir négligé la sécurité de leurs noms de domaine.

L’administration Biden est préoccupée par les cyberattaques potentiellement dommageables visant les infrastructures critiques du pays et prend des mesures pour aider les services publics d’électricité, les usines de traitement de l’eau et d’autres industries à protéger leurs systèmes.

Les données collectées par le CSC la semaine dernière montrent que près de 80% des principales organisations énergétiques américaines sont exposées à des cyberattaques ciblant leurs noms de domaine DNS et Internet. Les données couvrent les 30 plus grandes entreprises américaines (par capitalisation boursière) qui produisent et fournissent de l’énergie.

Plus précisément, CSC a constaté que près de 80% des entreprises énergétiques n’utilisent pas de verrouillage de registre, ce qui peut empêcher le piratage de noms de domaine et les modifications non autorisées du DNS. Plus des deux tiers des domaines analysés sont enregistrés auprès de bureaux d’enregistrement grand public au lieu de bureaux d’enregistrement d’entreprise, qui offrent généralement une meilleure sécurité.

L’analyse a également révélé qu’en matière de sécurité DNS, seuls 3% utilisent DNSSEC, qui fournit une authentification cryptographique et une intégrité aux données DNS. De plus, seulement 17% utilisent la redondance d’hébergement DNS, qui est un mécanisme de sauvegarde pour les pannes DNS pouvant résulter d’erreurs de configuration, de défaillances d’infrastructure ou d’attaques DDoS.

Le SCC a également examiné l’utilisation du protocole d’authentification de courrier électronique DMARC et a constaté que 73% des 30 plus grandes sociétés d’énergie aux États-Unis avaient un enregistrement DMARC en place.

Les organisations peuvent définir la politique DMARC sur «aucun» pour ne surveiller que les e-mails non authentifiés, «mettre en quarantaine» pour les envoyer vers le dossier spam ou courrier indésirable, ou «rejeter» pour bloquer complètement leur diffusion. Pour que le DMARC soit considéré comme pleinement mis en œuvre, les organisations doivent établir une politique de «rejet» – cela a été exigé des agences fédérales.