Proofpoint a analysé les enregistrements DMARC de 297 organisations du secteur public français — conseils régionaux, départements, métropoles, préfectures, CHU et universités. Résultat : 88 % ne disposent pas de la politique de rejet DMARC, le niveau de protection le plus strict, qui seul permet de bloquer activement les courriels frauduleux avant qu’ils n’atteignent les boîtes de réception des destinataires.
DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d’authentification des expéditeurs qui s’appuie sur deux mécanismes complémentaires : SPF (Sender Policy Framework), qui définit les serveurs autorisés à émettre des messages au nom d’un domaine, et DKIM (DomainKeys Identified Mail), qui appose une signature cryptographique aux messages sortants. DMARC coordonne ces deux couches et indique aux serveurs destinataires comment traiter les messages qui échouent à cette vérification. Son implémentation se réduit à une modification d’enregistrement DNS — une opération que l’ANSSI classe dans son Guide d’hygiène informatique parmi les mesures fondamentales, aux côtés de SPF et DKIM.
Dans un contexte de tensions politiques et d’élections municipales, cette exposition des domaines officiels aux attaques d’hameçonnage et aux campagnes de désinformation constitue un angle mort opérationnel que les RSSI des collectivités et des administrations hospitalières ne peuvent plus ignorer.
L’étude de Proofpoint révèle que la chaîne de protection est rompue au dernier maillon. L’adoption de DMARC est relativement répandue : 92 % des départements, 88 % des CHU, 87 % des conseils régionaux et 86 % des universités disposent d’un enregistrement. Mais posséder un enregistrement DMARC ne protège pas les destinataires si la politique reste en mode surveillance. Or 51 % des organisations ayant déployé DMARC se limitent précisément à cette politique, qui génère des rapports sans bloquer aucun message frauduleux. Le taux de déploiement effectif de la politique « Rejet » — seul niveau qui crée une barrière opérationnelle — s’établit à 12 % sur l’ensemble du périmètre analysé.
Les métropoles et universités, expositions les plus critiques
La désagrégation par type d’entité révèle des niveaux d’exposition très contrastés. Les métropoles présentent le profil de risque le plus préoccupant : seulement 41 % disposent d’un enregistrement DMARC, et 18 % seulement ont activé la politique « Rejet ». Ce double déficit — taux d’adoption insuffisant et politique trop permissive — signifie que les domaines officiels de plus de la moitié des métropoles françaises peuvent être usurpés sans que leurs serveurs de messagerie ne déclenchent aucune alerte. Les préfectures affichent un taux d’adoption de 70 %, mais seulement 8 % de politique « Rejet ». Les universités, qui traitent des données personnelles de plusieurs millions d’étudiants, atteignent 86 % d’adoption DMARC, mais seulement 8 % de politique « Rejet » — l’écart le plus marqué entre couverture apparente et protection réelle.
Les CHU concentrent un double enjeu : la sensibilité des données de santé traitées — dossiers médicaux, numéros de sécurité sociale, informations financières — et la criticité de la confiance institutionnelle dans les communications avec les patients. 88 % d’entre eux ont déployé DMARC, mais 13 % seulement utilisent la politique « Rejet ». Cette configuration laisse ouverte la possibilité pour un attaquant d’envoyer des courriels apparemment émis depuis le domaine officiel d’un CHU — convocations médicales falsifiées, demandes de mise à jour de données personnelles, notifications de résultats d’examens — sans que le serveur destinataire ne soit en mesure de les distinguer des communications authentiques. Les attaques BEC (Business Email Compromise) ciblant les établissements de santé exploitent précisément ce vecteur pour déclencher des virements frauduleux ou soutirer des informations sensibles à des personnels soignants.
Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint, souligne le contexte électoral : à l’approche des élections municipales, les communes et métropoles françaises pourraient devenir des cibles privilégiées pour les cybercriminels cherchant à diffuser de la désinformation ou à tromper les citoyens via de faux courriels officiels. Une usurpation réussie d’un domaine municipal pourrait propager de fausses informations sur les inscriptions électorales, les bureaux de vote ou les résultats — un vecteur d’atteinte au processus démocratique que la politique « Rejet » permettrait de neutraliser à coût quasi nul.
L’absence de politique contraignante est pénalisant
Proofpoint identifie explicitement l’absence de politique nationale contraignante comme facteur déterminant de cette situation. La recommandation ANSSI existe, elle est claire, et le déploiement de DMARC en politique « Rejet » est techniquement accessible à toute organisation capable de modifier un enregistrement DNS. La barrière n’est donc pas technique ni budgétaire — l’implémentation de base est gratuite — mais organisationnelle et réglementaire. En l’absence d’obligation, chaque entité arbitre librement entre la priorité opérationnelle et la contrainte de mise en conformité, et la surveillance reste perçue comme un niveau suffisant alors qu’elle n’offre aucune protection aux destinataires.
Ce décrochage entre recommandation et déploiement effectif n’est pas propre à la France. Il illustre une tension structurelle dans la gouvernance de la cybersécurité publique : les référentiels existent — Guide d’hygiène ANSSI, référentiel général de sécurité — mais leur application reste largement volontaire hors périmètre NIS 2. La directive NIS 2, dont la transposition en droit français est en cours, étend les obligations de sécurité des réseaux et des systèmes d’information à un périmètre élargi d’entités publiques et privées, en introduisant des exigences de gestion des risques et de notification des incidents. Pour les collectivités territoriales qui entrent dans ce périmètre, la question du déploiement de DMARC en politique « Rejet » cessera d’être optionnelle dès lors que la messagerie électronique sera intégrée dans le périmètre d’audit de conformité.
Pour les RSSI des organisations concernées, trois actions opérationnelles découlent directement des données Proofpoint. La première est un audit immédiat de l’enregistrement DMARC actuel — politique en vigueur, couverture des sous-domaines, configuration des rapports RUA et RUF — pour identifier le delta entre la posture déclarée et la protection effective. La seconde est une migration progressive vers la politique « Rejet » via la politique intermédiaire de quarantaine, qui permet d’analyser les flux légitimes risquant d’être bloqués avant d’activer le niveau maximal. La troisième est l’activation des rapports DMARC agrégés (RUA) pour cartographier les tentatives d’usurpation en cours — une source de threat intelligence souvent inexploitée, qui permet d’identifier les domaines tiers abusivement utilisés pour émettre des messages au nom de l’organisation.
DMARC comme socle d’une architecture de confiance
L’enjeu dépasse la seule protection technique des messageries. La confiance des citoyens dans les communications officielles repose sur la certitude que le courriel émanant d’une préfecture, d’un CHU ou d’une université est authentique. DMARC en politique « Rejet » constitue le mécanisme qui ancre cette certitude dans l’infrastructure technique — il transforme la réputation institutionnelle d’un domaine en garantie cryptographique vérifiable par tout serveur de messagerie mondial. Son absence laisse cette réputation exposée à l’exploitation par des acteurs malveillants qui n’ont besoin d’aucun accès aux systèmes de l’organisation pour en usurper l’identité.
La question qui se posera aux directions informatiques des collectivités territoriales dans les prochains mois est celle du calendrier : anticiper le déploiement avant les élections municipales, dans un contexte où les campagnes de désinformation par courriel constituent un risque documenté, ou attendre l’obligation réglementaire. Le coût de la seconde option — en termes de crédibilité institutionnelle en cas d’incident et de conformité NIS 2 — est susceptible d’excéder largement celui d’une modification DNS.
