La confiance des domaines, expliquée
Des guides clairs sur les signaux de confiance selon lesquels les navigateurs, les messageries et les auditeurs jugent vos domaines — ce qu'est chacun, comment lire votre résultat et comment le corriger. Sans inscription.
SPF, DKIM & DMARC
SPF, DKIM et DMARC indiquent aux serveurs de messagerie destinataires qu'un message provient réellement de vous. Sans eux, n'importe qui peut envoyer des e-mails au nom de votre domaine — et les messageries rejettent ou mettent de plus en plus en quarantaine les domaines qui les laissent non configurés.
Pourquoi c'est important
Une authentification e-mail faible est le moyen le plus courant d'usurper une marque par hameçonnage, et une politique DMARC en p=none vous donne de la visibilité sans aucune protection. Les fournisseurs de messagerie attendent désormais une application stricte.
Comment lire votre résultat SkyQon
SkyQon affiche la présence et la politique de chaque enregistrement, signale les recherches SPF qui dépassent la limite de 10 requêtes DNS et avertit lorsque DMARC reste en p=none ou que l'alignement échoue.
Comment le corriger
Publiez SPF et DKIM, puis faites passer DMARC de p=none à quarantine, et enfin reject une fois que vos expéditeurs légitimes réussissent. SkyQon vous fournit les enregistrements exacts et revérifie après application.
Erreurs fréquentes
Un second enregistrement SPF (un seul est autorisé), une politique p=reject sans adresse de rapport, et des sous-domaines non protégés — les attaquants usurpent volontiers celui que vous avez oublié.
DNS signé et infalsifiable
Le DNS est le carnet d'adresses de tout ce que fait votre domaine. DNSSEC signe cryptographiquement vos réponses DNS afin que les résolveurs puissent détecter toute altération ou empoisonnement de cache.
Pourquoi c'est important
Un DNS non signé permet à un attaquant de falsifier les réponses et de rediriger discrètement votre messagerie ou votre site. Les enregistrements CAA, MTA-STS et TLS-RPT ajoutent des garde-fous que beaucoup de domaines ne configurent jamais.
Comment lire votre résultat SkyQon
SkyQon indique si DNSSEC est activé et valide, si un enregistrement CAA limite qui peut émettre des certificats pour vous, et si MTA-STS et TLS-RPT sont présents et cohérents.
Comment le corriger
Activez DNSSEC chez votre fournisseur DNS et publiez l'enregistrement DS chez votre registrar ; ajoutez un enregistrement CAA nommant votre autorité de certification ; publiez des politiques MTA-STS et TLS-RPT. SkyQon fournit chaque enregistrement et peut appliquer les correctifs pris en charge pour vous.
Erreurs fréquentes
Signer le DNS sans jamais ajouter l'enregistrement DS chez le registrar (rien n'est donc réellement validé), et un enregistrement CAA qui exclut accidentellement votre propre autorité de certification.
Des certificats qui n'expirent jamais
Vos certificats TLS et leur configuration de chiffrement sont ce qu'un navigateur vérifie avant d'afficher le cadenas. Un certificat expiré ou mal émis est une panne instantanée et visible.
Pourquoi c'est important
L'expiration des certificats reste l'une des pannes auto-infligées les plus courantes, et les versions TLS ou les chiffrements faibles font échouer discrètement les audits et érodent la confiance bien avant de tomber en panne.
Comment lire votre résultat SkyQon
SkyQon suit l'expiration, la chaîne et la robustesse de clé de chaque certificat sur vos domaines, note la configuration TLS et signale tout ce qui expire dans votre fenêtre d'alerte.
Comment le corriger
Renouvelez avant l'expiration (ou automatisez-le), supprimez les anciens TLS 1.0/1.1 et les chiffrements faibles, et servez la chaîne complète. SkyQon vous prévient jusqu'à 30 jours à l'avance et peut surveiller les renouvellements pour vous.
Erreurs fréquentes
Renouveler le certificat feuille en oubliant un intermédiaire, ne surveiller que le domaine racine pendant qu'un sous-domaine expire, et des certificats internes que personne ne gère.
Des preuves, pas des promesses
NIS2, DORA et eIDAS vous demandent de plus en plus de démontrer que vos contrôles de confiance des domaines fonctionnent réellement — pas seulement de l'affirmer. Cela suppose des preuves datées et vérifiables.
Pourquoi c'est important
Les auditeurs et les régulateurs veulent des preuves plutôt que des promesses. Les captures d'écran vieillissent mal et sont faciles à contester ; un enregistrement signé et horodaté de votre posture, non.
Comment lire votre résultat SkyQon
SkyQon transforme la surveillance continue en un rapport de preuve signé, aligné sur les attentes de contrôle pertinentes, avec une empreinte de contenu que chacun peut vérifier de façon indépendante.
Comment le corriger
Générez le rapport de preuve pour la période examinée et remettez-le à votre auditeur ; le vérificateur public confirme qu'il n'a pas été modifié. SkyQon fournit la preuve — présentée honnêtement comme « alignée sur », jamais « certifiée ».
Erreurs fréquentes
Prendre une capture d'écran de scan pour une preuve, et confondre « aligné sur NIS2 » avec « certifié NIS2 » — SkyQon fait clairement la différence.
Repérez les imitations tôt
Les attaquants enregistrent des domaines sosies — lettres permutées, tirets supplémentaires, autres extensions — pour hameçonner vos clients et vos équipes. Vous ne l'apprenez généralement qu'après les dégâts.
Pourquoi c'est important
Un sosie convaincant doté d'un certificat valide suffit à une campagne d'hameçonnage. Les journaux de Certificate Transparency rendent ces enregistrements observables tôt — à condition de les surveiller.
Comment lire votre résultat SkyQon
SkyQon surveille Certificate Transparency à la recherche de certificats émis sur des noms ressemblant aux vôtres et fait remonter les nouveaux sosies afin que vous puissiez agir avant qu'une campagne ne débute.
Comment le corriger
Triez chaque sosie, demandez le retrait des domaines malveillants et préenregistrez les variantes les plus à risque. L'option Brand Protection de SkyQon suit les dossiers et les contacts d'abus de bout en bout.
Erreurs fréquentes
Ne surveiller que votre domaine exact, ignorer les autres extensions (.io / .co / .app), et supposer qu'un sosie est inoffensif jusqu'à ce qu'il soit exploité.
Lancez le compte à rebours de la migration
Un futur ordinateur quantique pourrait casser le chiffrement RSA et ECC qui protège le trafic d'aujourd'hui. « Récolter maintenant, déchiffrer plus tard » signifie que des données captées aujourd'hui pourront être déchiffrées ultérieurement — le compte à rebours a donc déjà commencé.
Pourquoi c'est important
Les régulateurs et les organismes de normalisation publient déjà des calendriers post-quantiques. Savoir où se trouve la cryptographie classique dans votre parc est la première étape, et cela prend du temps.
Comment lire votre résultat SkyQon
SkyQon évalue la préparation post-quantique de votre pile TLS et de vos certificats et inventorie les endroits où des algorithmes vulnérables au quantique sont encore utilisés.
Comment le corriger
Constituez un inventaire cryptographique, priorisez les secrets à longue durée de vie et les services exposés, et planifiez l'adoption hybride/PQC au fur et à mesure que vos fournisseurs la proposent. L'outillage de feuille de route PQC de SkyQon structure la transition.
Erreurs fréquentes
Traiter le post-quantique comme un problème pour plus tard, et négliger les données à longue durée de vie qu'un attaquant « récolter maintenant » cible en premier.
La check-list de confiance des domaines dans l'UE
Une check-list d'une page des contrôles de certificats, DNS, e-mail et preuves que nous vérifions — avec le correctif pour chacun. Utilisez-la pour vous auto-évaluer avant de lancer un scan.
Glossaire
Les acronymes derrière les constats, en une ligne chacun.
- SPF
- Sender Policy Framework — liste les serveurs autorisés à envoyer des e-mails pour votre domaine.
- DKIM
- DomainKeys Identified Mail — une signature cryptographique prouvant qu'un message n'a pas été altéré en transit.
- DMARC
- Indique aux messageries que faire des e-mails qui échouent à SPF ou DKIM, et où envoyer les rapports.
- DNSSEC
- Signe vos enregistrements DNS afin que les résolveurs puissent détecter des réponses falsifiées ou altérées.
- CAA
- Un enregistrement DNS nommant les autorités de certification autorisées à émettre des certificats pour votre domaine.
- MTA-STS
- Impose l'acheminement du courrier entrant vers votre domaine via un TLS authentifié et chiffré.
- TLS-RPT
- Fournit des rapports lorsque la remise TLS vers vos serveurs de messagerie échoue.
- CT
- Certificate Transparency — journaux publics de chaque certificat émis, utilisés pour repérer les sosies et les émissions frauduleuses.
- OV / EV
- Certificats à validation d'organisation et à validation étendue qui lient une identité légale vérifiée à un domaine.
- QWAC
- Qualified Website Authentication Certificate — un certificat qualifié eIDAS attestant l'identité d'un site web dans l'UE.
- PQC
- Post-Quantum Cryptography — des algorithmes conçus pour résister aux attaques des ordinateurs quantiques.
- OCSP
- Online Certificate Status Protocol — une vérification en direct de la révocation éventuelle d'un certificat.