Mais, 74 % ministères et services publics français n’ont toujours pas mis en place les mesures de sécurité nécessaires pour se protéger contre l’usurpation de nom de domaine. C’est ce qui ressort d’une étude de Proofpoint qui a examiné les enregistrements DMARC (Domain-based Message Authentication, Reporting & Conformance) des ministères et principaux services publics français.
Ce protocole permet à une organisation de définir le traitement à appliquer aux messages électroniques utilisant son nom de domaine ainsi que la politique à appliquer en cas d’échec de la vérification.
Or, cette enquête constate que :
- Seuls 26 % des 27 ministères et institutions publiques analysés ont mis en place le niveau de protection DMARC le plus élevé (« rejet »), empêchant activement les courriels frauduleux d’atteindre les boîtes de réception.
- Un quart des ministères (25 %) n’appliquent aucune politique DMARC, laissant leur nom de domaine sans surveillance.
- 73 % des principaux services publics français n’appliquent pas le niveau de protection recommandé et restent donc vulnérables, et 18 % sont sans aucune politique DMARC.
« rejet », tandis que 75 % ne la mettent pas en œuvre. Aussi, 25 % n’appliquent aucune politique DMARC, laissant leur nom de domaine sans surveillance.
Une mise en œuvre complexe
Résultats similaires du côté des services publics, sur les 11 analysés, seuls 27 % utilisent le niveau « rejet », indiquant que 73 % restent vulnérables dont 18 % n’ont même pas de politique DMARC. Ces portails nationaux sont pourtant utilisés pour de nombreuses démarches administratives dématérialisées pour les citoyens français, détiennent des informations sensibles, voire critiques, sur l’ensemble du pays.Une attaque réussie peut dès lors avoir des conséquences graves, allant d’une simple perturbation des services publics, au vol de données. Une grande partie des communications initiées par les services publics et à destination des citoyens est faite par simple courriel. Pourquoi une si faible adoption de DMARC ? La mise en œuvre peut sembler complexe, d’autant plus qu’une sensibilisation insuffisante aux risques d’usurpation de domaine persiste.
Autre explication : face à d’autres priorités en matière de cybersécurité et en l’absence de politiques nationales claires dédiées aux approches modernes de sécurité des courriels, le déploiement de DMARC reste encore souvent relégué au second plan.