Le phishing cible toujours les plus gros domaines

Les domaines de messagerie électronique à fort trafic restent insuffisamment protégés

Si vous dirigez une entreprise à forte visibilité, votre système de messagerie électronique est probablement soumis à une pression constante. La vérité, c’est que 92 % des 1,8 million de domaines de messagerie électronique les plus importants au monde n’utilisent pas les solutions les plus efficaces : 92 % des 1,8 million de domaines de messagerie électronique les plus importants au monde n’utilisent pas la protection la plus efficace contre l’hameçonnage. protection la plus efficace contre le phishingL’hameçonnage est une pratique courante qui consiste à régler DMARC sur « reject » (rejet). Il s’agit du paramètre qui bloque activement les faux courriels malveillants.

La plupart des organisations utilisent encore « p=none ». Ce paramètre ne bloque pas les attaques, il se contente de les observer. D’autres n’ont pas du tout mis en œuvre DMARC, et c’est un problème. Ces domaines sont exposés et les attaquants le savent. Ils n’ont pas besoin de tactiques avancées, ils exploitent l’absence de défenses de base pour se faire passer pour des marques et des partenaires de confiance.

Si vous êtes à la tête d’une entreprise ou d’une société numérique à croissance rapide, il ne s’agit pas d’un problème d’opérations informatiques, mais d’un problème de confiance des clients et de protection des revenus. Chaque fois qu’un courriel d’hameçonnage est envoyé sous votre nom, votre crédibilité en prend un coup. Pire encore, les attaquants ne se contentent pas de cibler vos clients. Ils s’en prennent à vos fournisseurs. Vos employés. Il s’agit de dommages latéraux, dans toutes les directions.

Cette question nécessite l’attention de la direction, et pas seulement l’adhésion des services d’infosécurité. La mise à jour de votre politique DMARC n’est pas complexe. Il s’agit d’une décision stratégique qui présente des avantages en termes de protection de la marque, de sécurité des données et de confiance à long terme.

Les configurations DMARC incomplètes entravent la visibilité des menaces

Avoir une politique DMARC et ne pas activer le reporting, c’est comme avoir des caméras de sécurité au bureau qui n’enregistrent pas. Vous vous sentez peut-être plus en sécurité, mais ce n’est pas le cas.

Voici ce que les données montrent : Plus de 40 % des domaines qui ont mis en œuvre DMARC n’ont pas inclus de balises de signalement. Ces balises sont essentielles. Elles vous envoient des rapports d’authentification, c’est-à-dire qu’elles vous indiquent quand quelqu’un tente d’envoyer un courrier électronique au nom de votre entreprise, qu’il ait été approuvé ou non. Sans ces informations, vous ne pouvez pas vous attaquer au problème à grande échelle. Vous êtes à l’aveuglette, et les menaces de phishing ne sont pas immobiles.

Il s’agit d’un défaut de visibilité et, dans le paysage actuel, la visibilité est un levier. Vous voulez savoir quand l’authentification échoue. Vous voulez savoir qui envoie des courriers prétendant être vous. Si vous ne recevez pas ces rapports, vous n’apprenez pas, vous ne vous adaptez pas et vous ne vous défendez pas.

Du point de vue de la direction, il s’agit d’un problème de système qui affecte la conformité, la posture de sécurité et le temps de réponse aux incidents. Une véritable capacité d’atténuation des menaces commence par la connaissance de ce qui se passe au niveau du périmètre. Le reporting DMARC vous donne cette vision.

Si votre organisation veut vraiment mettre fin aux intrusions par courrier électronique, et elle devrait le faire, une mise en œuvre partielle ne suffira pas. Il ne s’agit pas d’une question d’optique ou d’audit. Il s’agit d’une infrastructure opérationnelle pour la confiance numérique.

Les idées fausses sur DMARC engendrent un faux sentiment de sécurité

La publication d’un enregistrement DMARC n’empêchera pas les attaques. L’avantage en termes de sécurité vient de l’application, plus précisément de la définition de votre politique de « mise en quarantaine » ou de « rejet ». C’est là que la plupart des organisations se trompent. Un paramètre passif tel que « p=none » n’offre aucune protection réelle. Il enregistre l’activité, certes, mais il ne bloque pas les menaces.

Certaines équipes dirigeantes pensent qu’il suffit de mettre en place une politique pour cocher la case. Ce n’est pas le cas. Sans application de la loi, les courriels d’hameçonnage continuent d’arriver dans les boîtes de réception. Employés, clients, partenaires, tous sont exposés. Lorsque ce faux sentiment de sécurité s’installe, c’est dangereux. Les équipes cessent de poser les bonnes questions et les attaquants prennent l’avantage.

Les dirigeants doivent comprendre que la publication d’une politique faible équivaut à annoncer aux acteurs de la menace qu’une surveillance est en cours, mais que rien ne sera fait pour y répondre. Ce n’est pas le bon message.

Il ne s’agit pas de perfection, mais de progrès. Il est facile de passer de « aucun » à « quarantaine » puis à « rejet » au fur et à mesure que vous gagnez en visibilité. Plus important encore, c’est une décision qui doit venir d’en haut, afin que les équipes techniques et de direction soient alignées sur la priorité à donner à la défense réelle.

Les mandats réglementaires entraînent des améliorations significatives de la sécurité du courrier électronique

La pression réglementaire fonctionne. Lorsque les mandats sont appliqués, l’adoption s’améliore et les résultats suivent. Ce modèle est visible aux États-Unis, au Royaume-Uni et en République tchèque, régions où le gouvernement et les principaux fournisseurs de technologie exigent l’utilisation de DMARC avec des paramètres d’application. Il ne s’agit pas d’une simple mise à jour des politiques. Il s’agit d’avancées mesurables en matière de résistance à l’hameçonnage.

Aux États-Unis, l’impact est spectaculaire. Le taux d’acceptation des courriels d’hameçonnage est passé de 68,8 % en 2023 à seulement 14,2 % en 2025. Cette réduction n’est pas théorique, elle reflète le blocage réel des messages malveillants ciblant les personnes et les entreprises. Elle prouve que la conformité en matière de sécurité, lorsqu’elle est appliquée à grande échelle, permet de protéger l’ensemble de l’écosystème.

Comparez ces chiffres à ceux de pays qui n’imposent aucune exigence, comme les Pays-Bas ou le Qatar, où les taux d’acceptation de l’hameçonnage n’ont pratiquement pas changé. Le contraste est saisissant. Il nous montre que l’adoption volontaire ne suffit pas. Une politique sans obligation de rendre des comptes conduit à la stagnation. La mise en œuvre conduit au progrès.

Les dirigeants de haut niveau qui travaillent sur ou à travers des marchés réglementés doivent considérer les mandats comme des avantages stratégiques et non comme des obstacles. Ils sont à la fois une urgence et une orientation. Si les régulateurs n’ont pas encore agi dans votre région, n’attendez pas. Agissez avant que la pression ne se fasse sentir. Votre organisation aura une longueur d’avance sur les risques et ne se contentera pas d’y réagir.

La sophistication croissante des attaques par hameçonnage amplifie les risques en matière de cybersécurité

L’hameçonnage n’a pas diminué. Il évolue. Les attaquants utilisent des tactiques plus intelligentes, améliorées par l’IA, pour contourner les filtres et tromper même les utilisateurs bien formés. Il ne s’agit pas de tentatives d’hameçonnage génériques, elles sont de plus en plus personnalisées et exploitent des données accessibles au public, des styles de langage internes et des canaux de distribution compromis.

Les attaques récentes visant de grands détaillants tels que M&S et Co-op montrent l’impact financier direct. Il ne s’agissait pas de violations de logiciels ou d’infrastructures. Il s’agissait d’exploiter des systèmes d’authentification du courrier électronique déficients, en particulier des domaines sans paramètres DMARC appliqués. Le résultat ? Des pertes financières importantes. Pour les entreprises opérant à grande échelle, cela se traduit par des centaines de milliers de dollars perdus par incident, si ce n’est plus.

Aujourd’hui, le phishing est stratégique. Les attaquants ne ciblent pas seulement les clients, mais aussi les fournisseurs, les vendeurs et les parties prenantes internes. S’il n’est pas contrôlé, il perturbe les opérations, la confiance et la continuité des activités. Ce risque est aggravé lorsque les domaines ne sont pas correctement protégés ou visibles dans le cadre du dispositif de sécurité plus large de l’organisation.

Au niveau de la direction, il est essentiel de comprendre que menaces basées sur le courrier électronique sont des menaces opérationnelles. Elles ont un impact sur la réputation de la marque, la fidélité des clients et même les relations contractuelles. Comme les tactiques de phishing évoluent, les stratégies de réponse doivent évoluer plus rapidement. Cela commence par un contrôle rigoureux des personnes autorisées à envoyer des messages en votre nom et par une visibilité totale de l’utilisation de votre domaine.

Bien que l’adoption de DMARC soit en hausse, il n’y a pas de mise en œuvre et de rapport significatifs.

Les statistiques d’adoption peuvent sembler encourageantes à première vue. Les initiatives réglementaires et les mandats d’entreprises telles que Google, Yahoo et Microsoft ont entraîné une augmentation mesurable du nombre d’organisations publiant des enregistrements DMARC. Mais la réalité sous-jacente aux données est plus complexe. L’adoption n’est pas la même chose que la mise en œuvre. La plupart des organisations s’arrêtent avant d’appliquer pleinement la réglementation, et nombre d’entre elles omettent encore d’établir des rapports.

C’est là que les dirigeants doivent aller plus loin. Publier un enregistrement DMARC sans l’appliquer ni analyser ses rapports ne protégera pas votre entreprise. Il est possible de cocher une case de conformité, mais cela n’empêchera pas l’envoi de faux courriels. Et sans rapport sur les balises, votre équipe ne saura pas clairement qui abuse de votre domaine, ce qui passe ou ce qu’il faut corriger ensuite.

Une véritable protection nécessite une combinaison d’application (« p=quarantaine » ou « p=rejet ») et de visibilité (rapports activés). Il ne s’agit pas de paramètres facultatifs, mais bien des fondements de la sécurité moderne de la messagerie électronique. En l’absence de ces paramètres, votre organisation reste vulnérable à l’usurpation d’identité, à la fraude interne et à la propagation des menaces par le biais de canaux fiables.

Du point de vue de la direction, il ne s’agit pas d’une question purement technique. Elle est directement liée au contrôle des coûts, au risque réglementaire, à la fidélisation de la clientèle et à l’intégrité de la marque. Les dirigeants doivent aller au-delà des mesures d’adoption superficielles et exiger des résultats mesurables : menaces bloquées, rapports exploitables et déploiement complet dans les domaines critiques de l’entreprise.

Principaux enseignements pour les dirigeants

La plupart des domaines ne disposent pas d’une véritable protection contre l’hameçonnage : 92 % des principaux domaines de messagerie électronique n’utilisent pas une application DMARC stricte, ce qui les rend vulnérables. Les dirigeants devraient donner la priorité à la mise en œuvre complète des politiques « p=reject » pour bloquer activement les menaces.
Les lacunes en matière de visibilité affaiblissent les efforts de réponse : Plus de 40 % des domaines dotés de DMARC n’ont pas de rapport, ce qui signifie que les organisations ne peuvent pas voir les abus ou y répondre. Les décideurs doivent exiger des configurations de reporting afin d’obtenir une meilleure visibilité et un contrôle plus strict.
L’adoption au niveau de la surface crée une fausse sécurité : La publication d’un enregistrement DMARC sans mise en application donne un faux sentiment de protection. Les dirigeants doivent veiller à ce que les équipes dépassent le stade des paramètres passifs pour passer à une application réelle afin d’améliorer la sécurité de manière significative.
La pression réglementaire accélère les résultats : Les régions dotées de mandats, comme les États-Unis, le Royaume-Uni et la République tchèque, ont vu l’acceptation des courriels d’hameçonnage chuter. S’ils opèrent sur des marchés non réglementés, les dirigeants doivent agir en amont de la politique pour renforcer leur position.
Les tactiques de phishing évoluent rapidement : Les campagnes de phishing pilotées par l’IA ciblent les fournisseurs, les partenaires et les employés en utilisant des méthodes plus personnalisées. Les chefs d’entreprise doivent considérer la sécurité du courrier électronique comme une menace pour les opérations et la résilience financière, et pas seulement pour l’informatique.
L’adoption sans la mise en œuvre n’est pas suffisante : Alors que l’utilisation de DMARC augmente, la plupart des implémentations ne parviennent pas à assurer une protection réelle. Les dirigeants doivent suivre et appliquer le déploiement complet de DMARC, y compris les politiques actives et les rapports, afin de combler les lacunes en matière de sécurité.

Alexander Procter

juin 24, 2025

11 Min

Leadership et management
SLOs et efficacité métier vont de pair
Juil 15, 2025
14 min
Leadership et management
Cinq mauvais réflexes qui sabotent vos OKR
Juil 15, 2025
9 min
Leadership et management
Ce que les entreprises ratent encore avec l’agile
Juil 15, 2025
19 min

Le phishing cible toujours les plus gros domaines

Les domaines de messagerie électronique à fort trafic restent insuffisamment protégés

Les configurations DMARC incomplètes entravent la visibilité des menaces

Les idées fausses sur DMARC engendrent un faux sentiment de sécurité

Les mandats réglementaires entraînent des améliorations significatives de la sécurité du courrier électronique

La sophistication croissante des attaques par hameçonnage amplifie les risques en matière de cybersécurité

Bien que l’adoption de DMARC soit en hausse, il n’y a pas de mise en œuvre et de rapport significatifs.

Principaux enseignements pour les dirigeants

SLOs et efficacité métier vont de pair

Cinq mauvais réflexes qui sabotent vos OKR

Ce que les entreprises ratent encore avec l’agile

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !