Proofpoint, Inc., l’un des leaders dans les domaines de la cybersécurité et de la conformité, publie aujourd'hui les résultats d'une nouvelle étude analysant le niveau de sécurité des courriels des ministères et principaux services publics français. L'étude révèle que 74% de ces organismes nationaux n’ont pas mis en place les mesures de sécurité nécessaires pour se protéger contre l’usurpation de nom de domaine, exposant ainsi les citoyens français au risque de fraude par courrier électronique.

Ces résultats sont basés sur l'analyse de l'adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) par les ministères et institutions publiques. DMARC est un protocole d'authentification des courriels, conçu pour protéger les noms de domaine contre les abus des cybercriminels. Une simple modification du DNS permet d’authentifier l'identité de l'expéditeur avant qu'un message n'atteigne sa destination. DMARC offre trois niveaux de protection : surveillance, quarantaine et rejet, ce dernier étant le plus sûr pour empêcher les messages suspects d'arriver en boîte de réception.

Les principales conclusions de l’étude sont les suivantes :

• Sur les 27 ministères et institutions publiques combinés qui ont été analysés, 21 (77%) ont publié un enregistrement DMARC.
• Cependant, seuls 7 des 27 ministères et institutions publiques analysés (26%) ont le niveau de protection DMARC le plus élevé ("rejet"). Cela signifie que 74% de ces organismes gouvernementaux n'empêchent pas activement les courriels frauduleux d'atteindre les boîtes de réception de leurs destinataires, les exposant ainsi à des tentatives d’hameçonnage, d’usurpation d’identité et autres attaques par courriels sous les couleurs du secteur public français.
• Parmi les 16 ministères uniquement, seuls 4 (25%) appliquent la politique DMARC "rejet", tandis que 75% ne la mettent pas en œuvre. Aussi, 25% n’appliquent aucune politique DMARC, laissant leur nom de domaine sans surveillance.
• Résultats similaires du côté des services publics, sur les 11 analysés, seuls 27% utilisent le niveau "rejet", indiquant que 73% restent vulnérables dont 18% n’ont même pas de politique DMARC.

Le secteur public : une cible de choix

Les organismes gouvernementaux sont une cible privilégiée des cybercriminels, en témoignent les nombreuses tentatives de cyberattaques sur le secteurs qui se sont succédé en 2024.

Ces portails nationaux, utilisés pour de nombreuses démarches administratives dématérialisées pour les citoyens français, détiennent des informations sensibles, voire critiques, sur l’ensemble du pays. Une attaque réussie peut dès lors avoir des conséquences graves, allant d’une simple perturbation des services publics, au vol de données. Une grande partie des communications initiées par les services publics et à destination des citoyens est faite par simple courriel. Dès lors, l'adoption généralisée de protection DMARC au niveau le plus stricte - "rejet" - est essentielle pour authentifier les communications officielles issues de ces sources autorisées et légitimes et ainsi atténuer les risques d’usurpation d’identités.

Plusieurs facteurs peuvent contribuer à la faible adoption de DMARC parmi les organisations publiques françaises. De prime abord, la mise en œuvre peut sembler complexe, d'autant plus qu'une sensibilisation insuffisante aux risques d'usurpation de domaine persiste. Modifier le DNS d'un service critique, par exemple celui d’un ministère, peut être intimidant. De plus, face à d'autres priorités en matière de cybersécurité et en l'absence de politiques nationales claires dédiées aux approches modernes de sécurité des courriels, le déploiement de DMARC reste encore souvent relégué au second plan.

« Il est crucial que les institutions publiques françaises renforcent leurs défenses en matière de courriel, pour protéger non seulement l’ensemble de l’infrastructure numérique du pays mais également ses citoyens. Une usurpation réussie de l’une de ces entités pourrait entraîner une perte de confiance général envers les service public français » explique Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint. « Le protocole DMARC à son plus haut niveau “rejet” est une mesure simple et efficace pouvant considérablement réduire le risque de fraude par courriel et sécuriser les échanges avec les citoyens. Certains services de l’état font déjà partie des marques les plus usurpées par les cybercriminels, leur sécurisation doit donc être une priorité politique pour protéger efficacement les citoyens français. » 

Alors que les institutions doivent mettre en place des mesures fortes pour protéger le public, les utilisateurs doivent également être extrêmement vigilants et garder à l'esprit les recommandations suivantes :

• Méfiez-vous des courriels, SMS ou appels non sollicités, surtout s'ils suggèrent de prendre des mesures "urgentes" ou demande un paiement.
• Ne partagez jamais d'informations financières ou de mots de passe par courriel ou SMS.
• Créer des mots de passe unique pour chaque compte en ligne que vous utilisez. Utilisez par exemple trois mots choisis pour créer un mot de passe fort et facile mémorisable, et activez l'authentification multi-facteurs (MFA) chaque fois que possible.

Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/threat-reference/dmarc

Méthodologie

Proofpoint a analysé les enregistrements DMARC des principaux domaines de 16 ministères et 11 institutions publiques françaises. L'analyse a été réalisée en janvier 2025.

Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/threat-reference/dmarc

### 

À propos de Proofpoint, Inc.    

Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les courriels, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.      

Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube   

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.