Simulation d'hameçonnage pour les tests et la formation de cybersécurité
Enregistrement de noms de domaine .be pour des simulations d'hameçonnage : comment cela fonctionne-t-il ?
Nous avons établi des lignes directrices, ce sont des exigences à respecter pour que l'enregistrement d'un nom de domaine à des fins de cybersécurité se fasse sans problème.
Appliquez ces lignes directrices, ensuite DNS Belgium fera de son mieux pour que les noms de domaine .be ainsi signalés soient exclus :
- d'une vérification, de sorte que le nom de domaine .be puisse être activé.
- d'un screening manuel après l'activation du nom de domaine.
Les lignes directrices à respecter
- Avant le début d'une formation en cybersécurité ou en
phishing
, l'organisation concernée (ou son client) envoie un courriel à legal@dnsbelgium.be en mentionnant
- les caractéristiques principales et la durée de la formation prévue ;
- les noms de domaine .be à enregistrer pour cette formation.
- Les coordonnées correctes de la personne qui enregistre les noms de domaine (le titulaire du nom de domaine) sont obligatoires. Des coordonnées falsifiées ou inexistantes ne sont pas autorisées. La personne concernée choisit si les noms de domaine .be doivent être enregistrés au nom de l'organisation de cybersécurité ou du client final pour lequel la formation est organisée.
- L'organisation responsable de la formation en cybersécurité (ou son client) prépare un document (modèle NL, FR et EN) contenant des informations sur l'action et que DNS Belgium peut partager avec des tiers. Par exemple, si nous recevons des questions à ce sujet.
- L'organisation responsable de la formation en cybersécurité (ou son client) partage au moins une adresse mail comme contact. DNS Belgium peut y renvoyer les auteurs de plaintes spécifiques concernant les noms de domaine enregistrés. C'est par ce biais que l’on pourra donner suite à une plainte ou que les plaignants pourront recevoir des informations complémentaires.
- Avant d'enregistrer un nom de domaine, l'organisation responsable de la formation en cybersécurité effectue les recherches nécessaires sur l'utilisation possible de logos, de noms de marque et d'autres ressources en ligne de tiers. Par exemple des références à Office 365. L'organisation responsable de la formation prend les initiatives nécessaires pour prévenir les atteintes aux droits intellectuels de ces tiers.
Il est important que toutes les parties concernées appliquent ces lignes directrices. DNS Belgium décline toute responsabilité en cas de violations de droits intellectuels de tiers liées à l'utilisation de noms de domaine .be qui ont été préenregistrés auprès de DNS Belgium pour une formation spécifique en matière de cybersécurité. Ceci reste de la seule responsabilité du titulaire de ces noms de domaine.
DNS Belgium décline également toute responsabilité pour les conséquences négatives et les dommages éventuels causés par les actions qu'elle devrait entreprendre concernant les noms de domaine préenregistrés s'il s'avère que les lignes directrices ci-dessus n'ont pas été respectées.
Le respect correct des lignes directrices susmentionnées relève également de la seule responsabilité du titulaire de ces noms de domaine. Si les lignes directrices ci-dessus sont correctement suivies, DNS Belgium s'engage à agir en tant que trusted notifier auprès des organismes qui surveillent les abus dans la zone .be. DNS trusted notifier signalera de son mieux que les noms de domaine .be en question ne sont pas utilisés pour des pratiques illégales.
Bonnes pratiques pour éviter d'être qualifié de phishing
- Liste blanche dans les tests et simulations d'hameçonnage.
- Liste blanche dans les simulations d'hameçonnage sur Google.
Pourquoi avons-nous élaboré ces lignes directrices sur le phishing ?
DNS Belgium est souvent en contact avec des organisations qui proposent des formations à la cybersécurité. Elles organisent des actions pour leurs clients afin de les sensibiliser à la cybersécurité et au hameçonnage (phishing) en particulier. Pour mener à bien cette mission, elles doivent enregistrer des noms de domaine .be qui ressemblent étroitement à un nom de domaine existant. Par exemple, une variante d'un site web commercial existant ou d'un nom de domaine bien connu du gouvernement belge.
En général, ces enregistrements à des fins de formation et de test de cybersécurité doivent d'abord passer par notre procédure de vérification. Notre système de sécurité considère en effet un tel enregistrement comme suspect. C'est pourquoi le nom de domaine en question n'est souvent pas activé dans la zone .be, ce qui signifie que la formation ou la campagne de cybersécurité prévue ne peut avoir lieu. Nous voulons également éviter que ces noms de domaine soient inutilement qualifiés de "frauduleux". Cela aurait un impact négatif et injuste sur la réputation et le score de sécurité de la zone .be. Nous avons donc conçu une méthode spéciale pour aider les professionnels de la cybersécurité.
Version du document et applicabilité
Cette note (version 1.0) contient la politique actuelle de DNS Belgium en ce qui concerne les formations, tests et actions spécifiques en matière de cybersécurité qui requièrent l'enregistrement de noms de domaine .be et qui nous sont notifiés à l'avance.
DNS trusted notifier se réserve le droit d'adapter unilatéralement cette note et la politique y afférente en fonction de l'évolution des circonstances économiques, techniques ou légales. DNS Belgium annoncera toute adaptation sur son site web au moins un mois avant son entrée en vigueur. Nous communiquerons les changements prévus par mail et dans la mesure de nos possibilités aux organisations qui ont enregistré des campagnes dans le passé. Nous attirons l'attention sur le fait qu'il existe encore peu de lignes directrices et qu'il est possible que certains organismes développent à l'avenir des "bonnes pratiques" en la matière. Dans la mesure du possible, DNS Belgique alignera sa politique sur ces "bonnes pratiques".