La surveillance DNS consiste à vérifier en continu (de toutes les minutes à toutes les heures selon le besoin) que les enregistrements DNS d'un domaine — A, AAAA, MX, CNAME, NS, TXT — n'ont pas été modifiés sans autorisation, et à alerter immédiatement en cas de changement. Sans elle, vous découvrez les incidents quand vos clients vous appellent.
Le DNS est la couche la plus invisible de votre infrastructure web, et probablement la plus critique. Une seule modification — volontaire, accidentelle ou malveillante — peut couper votre site, bloquer vos emails, faire chuter votre SEO ou rediriger votre trafic vers un site pirate. Pourtant, la majorité des entreprises ne surveille jamais activement ses enregistrements DNS.
Voici pourquoi modifier vos DNS sans dispositif de surveillance est une erreur stratégique en 2026, et ce qu'il faut mettre en place pour reprendre le contrôle.
Ce que fait vraiment le DNS dans votre infrastructure
Le DNS (Domain Name System) est le système qui traduit les noms de domaine humainement lisibles (votre-site.fr) en adresses IP machine (51.158.43.12). Sans lui, internet tel qu'on le connaît n'existe pas.
Sur votre infrastructure, les enregistrements DNS contrôlent quatre fonctions critiques :
- Accès au site web via les enregistrements A et AAAA. Ils pointent votre domaine vers le serveur qui héberge votre site. Une mauvaise valeur = site inaccessible.
- Réception des emails via les enregistrements MX. Ils indiquent quel serveur reçoit le courrier de votre domaine. Une erreur = vous ne recevez plus rien.
- Authentification anti-spam via SPF, DKIM et DMARC (TXT records). Indispensables à la délivrabilité. Une suppression accidentelle et vos emails partent en spam chez tout le monde.
- Services tiers via les CNAME et sous-domaines : CRM, plateforme e-commerce, outils marketing, statut page. Une rupture casse l'intégration.
Selon Verisign, le système DNS mondial traite plus de 500 milliards de requêtes par jour en 2025. C'est l'épine dorsale silencieuse du web — et personne ne le surveille jusqu'à ce qu'il tombe.
Les 5 risques majeurs d'un changement DNS non surveillé
1. L'erreur humaine
La cause la plus fréquente d'incident DNS reste l'erreur de saisie. Un caractère manqué dans une IP, un point oublié, un TTL trop court qui propage une mauvaise valeur en quelques minutes. L'incident Facebook d'octobre 2021 — 6 heures de panne mondiale — venait précisément d'une mise à jour BGP/DNS mal validée.
À votre échelle, l'effet est moins spectaculaire mais tout aussi gênant : site inaccessible quelques heures, emails perdus, factures non envoyées, support submergé.
2. Le prestataire ou collaborateur qui modifie sans prévenir
Dans une entreprise ou une agence, plusieurs personnes ont accès au panneau de gestion DNS : équipe technique interne, agence web prestataire, intégrateur d'outils tiers, registrar lui-même. Sans audit ni alerte, impossible de savoir qui a modifié quoi, quand et pourquoi.
« Mais qui a changé l'enregistrement MX hier à 14h27 ? » devient une enquête de plusieurs heures, à l'aveugle, alors que vos emails clients tombent.
3. Le DNS hijacking ciblé
Les attaques par détournement DNS exploitent une faille chez votre registrar, votre fournisseur DNS ou un compte avec mot de passe faible. L'attaquant modifie discrètement vos enregistrements pour rediriger votre trafic vers un site cloné qui collecte des identifiants ou des paiements.
D'après le rapport Cisco Talos 2024, les attaques DNS ont augmenté de +22 % sur les 12 derniers mois, principalement contre des PME qui n'ont aucune visibilité sur leurs zones DNS.
4. La fuite de zone via sous-domaines oubliés
Les sous-domaines créés pour des projets ponctuels (staging, beta, ancienne campagne) restent souvent actifs après l'arrêt du projet. Si le service derrière disparaît mais que le CNAME reste, un attaquant peut récupérer le sous-domaine sur le service tiers (subdomain takeover) et l'utiliser pour du phishing ciblé sur votre marque.
OWASP recense ce vecteur dans son top des risques infrastructure 2024.
5. La dérive lente (DNS drift)
Sans dispositif de comparaison, les enregistrements DNS peuvent dériver lentement entre la documentation interne et la réalité. Un nameserver modifié il y a six mois, une IP changée pour un test puis oubliée, un TXT obsolète mais conservé. Cette dette DNS s'accumule jusqu'à provoquer un incident inexplicable.
Le coût réel d'un incident DNS non surveillé
Mesurer ce que coûte une panne DNS est difficile parce que les pertes sont diffuses. Voici ce qu'on observe concrètement :
- Perte de chiffre d'affaires proportionnelle à la durée de l'incident (un site e-commerce qui fait 10 000 € / jour perd ~417 € par heure d'indisponibilité, hors coûts indirects).
- Emails critiques perdus : confirmations de commande, résets de mot de passe, factures, échanges commerciaux en cours.
- Détérioration durable de la délivrabilité si SPF/DKIM/DMARC sont touchés. Récupérer la réputation prend des semaines.
- Déclassement SEO : Googlebot rencontre des erreurs lors du crawl, dé-indexe des pages, et la position dégringole. Récupération : 2 à 8 semaines.
- Perte de confiance client, particulièrement coûteuse pour les agences dont la réputation repose sur la fiabilité.
- Coût de l'investigation : sans historique DNS natif, le diagnostic prend des heures à comparer des captures et interroger des prestataires.
La règle empirique acceptée par l'industrie monitoring : un incident DNS non détecté coûte en moyenne 10 fois plus qu'un incident détecté en moins de 5 minutes. Le facteur amplificateur, c'est le temps avant détection.
Comment surveiller vos DNS en pratique
Quatre méthodes existent, par ordre croissant de fiabilité :
1. Vérification manuelle ponctuelle
Lancer dig ou nslookup de temps en temps depuis le terminal, ou utiliser un outil DNS Lookup en ligne. Suffit pour vérifier ponctuellement, ne détecte rien entre deux vérifications.
2. Documentation de la zone DNS
Maintenir un fichier (Notion, wiki interne, Git) qui documente l'état attendu de chaque enregistrement. Bonne hygiène, mais aucune alerte automatique. Les drifts sont découverts uniquement quand quelqu'un compare manuellement.
3. Monitoring DNS automatisé
Une solution spécialisée vérifie périodiquement chaque enregistrement et envoie une alerte au moindre changement. La fréquence de vérification détermine le délai de détection :
| Fréquence | Délai max de détection | Cas d'usage |
|---|---|---|
| Quotidienne | ~24 h | Sites peu critiques, blogs personnels |
| Toutes les 6 h | ~6 h | Sites professionnels, e-commerce |
| Toutes les heures | ~1 h | Infrastructure critique, agences multi-clients |
| Toutes les minutes | ~1 min | SaaS, services à forte SLA |
4. Combinaison monitoring + threat intelligence
Au-delà de la détection de changement, croiser vos enregistrements avec des bases de menaces publiques (URLhaus, Google Safe Browsing) permet d'être alerté si un de vos sous-domaines apparaît sur une liste de malware ou phishing connu. Recommandé pour les infrastructures sensibles.
Cas concret : ce que ça donne en pratique
Une agence digitale gère 38 domaines clients. Un mardi à 17 h 12, son outil de monitoring DNS détecte que l'enregistrement MX du client X a été modifié — le serveur de réception passe de mail.client-x.fr à mx.unknown-provider.com. Une alerte email part dans la minute.
Le chef de projet vérifie immédiatement, contacte le client : son responsable IT a en fait migré son fournisseur email mais n'a prévenu personne. Faux positif, mais la mécanique a fonctionné. Six mois plus tard, sur un autre client, la même alerte révèle une vraie compromission de compte registrar — l'agence intervient en moins d'une heure et évite un détournement complet du domaine.
Sans monitoring, dans les deux cas, le problème aurait été découvert plusieurs jours plus tard, par un client mécontent.
Ce qu'il faut retenir
- Le DNS est la couche la plus critique et la moins surveillée d'une infrastructure web.
- Cinq risques majeurs : erreur humaine, prestataire non prévenu, DNS hijacking, fuite de sous-domaine, drift lent.
- Le coût d'un incident DNS non détecté est environ 10 fois supérieur à celui d'un incident détecté en moins de 5 minutes.
- Quatre méthodes de surveillance existent, du
digmanuel au monitoring automatique toutes les minutes. - Pour les agences et freelances multi-clients, un monitoring centralisé est devenu une exigence professionnelle, pas un confort.
Questions fréquentes
À quelle fréquence faut-il vérifier ses enregistrements DNS ?
Pour un site personnel, une vérification quotidienne suffit. Pour un site professionnel ou e-commerce, vises toutes les 6 heures minimum. Pour une agence multi-clients ou un SaaS, toutes les heures voire toutes les minutes selon la criticité du domaine.
Quels enregistrements DNS sont les plus critiques à surveiller ?
Par ordre d'importance : NS (vos nameservers — un changement = perte de contrôle complet), MX (vos emails), A et AAAA (votre site web), TXT (SPF/DKIM/DMARC pour la délivrabilité), CNAME (vos services tiers).
Comment détecter un DNS hijacking en cours ?
Trois signaux à monitorer : changement non documenté d'un enregistrement NS, apparition de votre domaine sur une base de threat intelligence (URLhaus, Safe Browsing), divergence entre la résolution DNS depuis différentes régions du monde. Un outil de monitoring DNS combinant ces trois vérifications les détecte automatiquement.
Faut-il surveiller les sous-domaines en plus du domaine principal ?
Oui, c'est même là que se logent la majorité des risques (subdomain takeover, sous-domaines abandonnés). Une bonne pratique consiste à surveiller au minimum le domaine racine, www, et tous les sous-domaines exposés publiquement (mail, api, admin, support, etc.).
Le monitoring DNS impacte-t-il les performances de mon site ?
Non. Les vérifications interrogent les serveurs DNS publics (faits pour gérer des milliards de requêtes), pas votre serveur web. L'impact est nul.
Que faire en cas de détection d'un changement non autorisé ?
Quatre actions immédiates : connectez-vous à votre registrar pour vérifier qui a fait la modification, restaurez la valeur précédente, changez les mots de passe d'accès au panneau DNS et activez le 2FA, contactez votre prestataire DNS pour comprendre comment l'accès a été obtenu.
Reprendre le contrôle, en continu
La sécurité d'un nom de domaine ne se limite pas à un mot de passe fort sur le compte registrar. Elle passe aussi par la visibilité sur ce qui change, et quand. Un dispositif de monitoring DNS donne cette visibilité, sans configuration complexe et sans alourdir vos process internes.
Domains Defender vérifie vos enregistrements DNS toutes les heures (plan Pro) ou toutes les minutes (plan Enterprise), envoie une alerte email au moindre changement, conserve l'historique daté de chaque modification et croise vos sous-domaines avec les bases threat intelligence URLhaus et Google Safe Browsing. Hébergé en France, conforme RGPD, à partir de 4,99€ HT par mois avec essai gratuit 7 jours.
Tester votre DNS gratuitement maintenant — ou voir les plans de surveillance complète.