Ces résultats sont basés sur l’analyse de l’adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) par les ministères et institutions publiques. DMARC est un protocole d’authentification des courriels, conçu pour protéger les noms de domaine contre les abus des cybercriminels. Une simple modification du DNS permet d’authentifier l’identité de l’expéditeur avant qu’un message n’atteigne sa destination. DMARC offre trois niveaux de protection : surveillance, quarantaine et rejet, ce dernier étant le plus sûr pour empêcher les messages suspects d’arriver en boîte de réception.

Les principales conclusions de l’étude sont les suivantes :

• Sur les 27 ministères et institutions publiques combinés qui ont été analysés, 21 (77%) ont publié un enregistrement DMARC.

• Cependant, seuls 7 des 27 ministères et institutions publiques analysés (26%) ont le niveau de protection DMARC le plus élevé ("rejet"). Cela signifie que 74% de ces organismes gouvernementaux n’empêchent pas activement les courriels frauduleux d’atteindre les boîtes de réception de leurs destinataires, les exposant ainsi à des tentatives d’hameçonnage, d’usurpation d’identité et autres attaques par courriels sous les couleurs du secteur public français.

• Parmi les 16 ministères uniquement, seuls 4 (25%) appliquent la politique DMARC "rejet", tandis que 75% ne la mettent pas en œuvre. Aussi, 25% n’appliquent aucune politique DMARC, laissant leur nom de domaine sans surveillance.

• Résultats similaires du côté des services publics, sur les 11 analysés, seuls 27% utilisent le niveau "rejet", indiquant que 73% restent vulnérables dont 18% n’ont même pas de politique DMARC.

Le secteur public : une cible de choix

Les organismes gouvernementaux sont une cible privilégiée des cybercriminels, en témoignent les nombreuses tentatives de cyberattaques sur le secteurs qui se sont succédé en 2024.

Ces portails nationaux, utilisés pour de nombreuses démarches administratives dématérialisées pour les citoyens français, détiennent des informations sensibles, voire critiques, sur l’ensemble du pays. Une attaque réussie peut dès lors avoir des conséquences graves, allant d’une simple perturbation des services publics, au vol de données. Une grande partie des communications initiées par les services publics et à destination des citoyens est faite par simple courriel. Dès lors, l’adoption généralisée de protection DMARC au niveau le plus stricte - "rejet" - est essentielle pour authentifier les communications officielles issues de ces sources autorisées et légitimes et ainsi atténuer les risques d’usurpation d’identités.

Plusieurs facteurs peuvent contribuer à la faible adoption de DMARC parmi les organisations publiques françaises. De prime abord, la mise en œuvre peut sembler complexe, d’autant plus qu’une sensibilisation insuffisante aux risques d’usurpation de domaine persiste. Modifier le DNS d’un service critique, par exemple celui d’un ministère, peut être intimidant. De plus, face à d’autres priorités en matière de cybersécurité et en l’absence de politiques nationales claires dédiées aux approches modernes de sécurité des courriels, le déploiement de DMARC reste encore souvent relégué au second plan.

« Il est crucial que les institutions publiques françaises renforcent leurs défenses en matière de courriel, pour protéger non seulement l’ensemble de l’infrastructure numérique du pays mais également ses citoyens. Une usurpation réussie de l’une de ces entités pourrait entraîner une perte de confiance général envers les service public français » explique Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint. « Le protocole DMARC à son plus haut niveau “rejet” est une mesure simple et efficace pouvant considérablement réduire le risque de fraude par courriel et sécuriser les échanges avec les citoyens. Certains services de l’état font déjà partie des marques les plus usurpées par les cybercriminels, leur sécurisation doit donc être une priorité politique pour protéger efficacement les citoyens français. »
Alors que les institutions doivent mettre en place des mesures fortes pour protéger le public, les utilisateurs doivent également être extrêmement vigilants et garder à l’esprit les recommandations suivantes :
• Méfiez-vous des courriels, SMS ou appels non sollicités, surtout s’ils suggèrent de prendre des mesures "urgentes" ou demande un paiement.
• Ne partagez jamais d’informations financières ou de mots de passe par courriel ou SMS.
• Créer des mots de passe unique pour chaque compte en ligne que vous utilisez. Utilisez par exemple trois mots choisis pour créer un mot de passe fort et facile mémorisable, et activez l’authentification multi-facteurs (MFA) chaque fois que possible.

Méthodologie

Proofpoint a analysé les enregistrements DMARC des principaux domaines de 16 ministères et 11 institutions publiques françaises. L’analyse a été réalisée en janvier 2025.