Ces nouvelles bonnes pratiques décrivent comment identifier les clients spammeurs ou criminels, les politiques visant à éviter les abus ainsi que les processus permettant de remédier aux menaces connues pour les communautés de fournisseurs de services d’hébergement, de DNS et d’enregistrement de domaines. La mise en œuvre de ces recommandations peut aider les sociétés d’hébergement à créer un environnement d’exploitation stable et à minimiser les coûts supplémentaires d’assistance à la clientèle découlant des blocages de service fréquents de la part des opérateurs réseau pour cause d’activités abusives, d’après Michael Adkins, président du conseil d’administration du M3AAWG.

" Le M3AAWG s’est attelé à cette tâche en raison du rôle essentiel joué par les sociétés d’hébergement au sein de l’écosystème. Les mêmes services de fournissant des domaines et des sites Internet pour les clients légitimes sont également nécessaires pour les spammeurs, hameçonneurs et autres malfaiteurs souhaitant mener leurs activités clandestines afin d’escroquer les utilisateurs finaux, d’encombrer les messageries de courriers indésirables ou de voler des renseignements personnels. Ces bonnes pratiques détaillent les politiques et technologies utilisées actuellement avec succès par des fournisseurs de services cloud et d’hébergement pour se débarrasser des criminels et résoudre d’autres problèmes courants causés par des clients bien intentionnés mais problématiques qui représentent une menace pour les utilisateurs finaux, où qu’ils se trouvent ", a déclaré M. Adkins.

Les bonnes pratiques anti-abus du M3AAWG pour les fournisseurs de services cloud et d’hébergement sont destinées au personnel technique à la fois des grandes organisations mais aussi des jeunes sociétés d’hébergement de plus petite taille. Ce document a été développé par des professionnels du secteur qui sont confrontés à ces défis au quotidien. Il présente les mesures raisonnables pouvant être intégrées aux opérations et aux politiques de base d’une entreprise, comme l’explique la vidéo Improving Your Business with the M3AAWG Anti-Abuse Best Common Practices for Hosting and Cloud Service Providers (Améliorez vos performances commerciales grâce aux bonnes pratiques anti-abus du M3AAWG pour les fournisseurs de services cloud et d’hébergement), accessible à l’adresse www.youtube.com/maawg.

Christian Dawson, président et co-fondateur de l’i2C, a indiqué : " En tant que groupe constitué d’organisations qui bâtissent l’infrastructure Internet, dont les services d’hébergement Web, nous avons l’honneur et la responsabilité de travailler ensemble afin qu’Internet devienne un endroit plus sûr. Nous sommes heureux de collaborer avec le M3AAWG sur cette importante initiative de bonnes pratiques et de nous concentrer sur leur mise en œuvre au sein de cette communauté. "

Pratiques d’hébergement visant à améliorer les performances commerciales et à protéger les utilisateurs finaux

Les nouvelles bonnes pratiques traitent à la fois de la prévention des abus et de la marche à suivre lorsqu’un client malhonnête est identifié sur le réseau. Par exemple, vu que les services d’hébergement Web souffrent souvent des actions négligentes de leurs clients, le document recommande d’instituer des processus de contrôle efficaces afin de vérifier la légitimité des nouveaux clients avant de les autoriser sur le réseau. Il préconise également aux entreprises que leurs conditions générales demandent aux clients de suivre toutes les mises à jour logicielles, car les versions plus anciennes peuvent être vulnérables aux attaques de programmes malveillants.

Parmi les autres bonnes pratiques recommandées, les sociétés d’hébergement devraient envisager d’employer des systèmes de détection d’intrusion (SDI) matériels leur permettant de se préparer et de traiter une attaque, d’utiliser des pare-feux et des balayages de sécurité logiciels et de mettre en œuvre des rapports de télémétrie des réseaux internes. Les boucles de rétroaction des opérateurs réseau fournissant aux sociétés d’hébergement des rapports sur les e-mails abusifs envoyés depuis leurs serveurs peuvent aussi aider à identifier des problèmes potentiels. En cas de détection d’un problème, les bonnes pratiques décrivent les processus permettant de remédier à une compromission, notamment quand suspendre le service ou résilier un client.

Le Groupe d’intérêt spécial (SIG) du M3AAWG dédié à l’hébergement a été formé l’année dernière afin de développer ces bonnes pratiques, comme l’explique la vidéo How the M3AAWG Hosting SIG Can Help You ; Fighting Spam, Phishing, Malware and Emerging Threats (Comment le SIG du M3AAWG dédié à l’hébergement peut vous aider à lutter contre les spams, l’hameçonnage, les logiciels malveillants et les menaces émergentes). Le SIG poursuit ses efforts visant à promouvoir la collaboration au sein du secteur et à développer les processus nécessaires pour identifier les clients d’hébergement illégitimes et faire face aux problèmes émergents.

M. Adkins a ajouté : " Nous travaillons en partenariat avec l’i2C sur ces bonnes pratiques car elle œuvre activement à la résolution des problèmes émergents liés aux abus dans l’environnement des fournisseurs de services cloud, tout en aidant ces services à améliorer leur modèle d’exploitation en réduisant le risque associé aux clients abusifs. Son soutien pour ce document reflète l’engagement du secteur de l’hébergement pour des pratiques sûres et pour son rôle en tant que partenaire de confiance au sein de l’écosystème d’Internet. "

Le document Bonnes pratiques communes anti-abus du M3AAWG pour les fournisseurs de services cloud et d’hébergement (https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Hosting_Abuse_BCPs-2015-03.pdf) est disponible sur le site Internet du M3AAWG à l’adresse www.m3aawg.org dans la rubrique Bonnes pratiques (Best Practices) ainsi que sur le site Internet de l’i2C à l’adresse https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Hosting_Abuse_BCPs-2015-03.pdf.