Rapport sur l'adoption des protocoles DMARC et MTA-STS au Canada 2026

À une époque où les attaques de hameçonnage optimisées par l'IA et les attaques sophistiquées de type « Business Email Compromise » (BEC) atteignent des niveaux sans précédent, la sécurité des e-mails n'est plus une option pour les entreprises canadiennes. Selon le rapport IBM de 2025 sur le coût des fuites de données, le coût moyen d’une fuite de données au Canada a grimpé à 6,98 millions de dollars canadiens, les incidents liés au hameçonnage coûtant en moyenne 7,91 millions de dollars canadiens par fuite aux entreprises . L’impact financier est encore mis en évidence par une enquête réalisée en 2026 par KPMG Canada, qui a révélé que 72 % des entreprises canadiennes ont perdu jusqu’à 5 % de leurs bénéfices annuels à cause de la fraude alimentée par l’IA au cours des 12 derniers mois seulement.

La rapidité de ces attaques a atteint des niveaux sans précédent ; une étude d'IBM X-Force démontre que l'IA générative est désormais capable de créer un leurre de phishing convaincant en seulement cinq minutes, une tâche qui nécessitait auparavant 16 heures à des opérateurs humains. Malgré cette menace à grande vitesse, le Centre canadien de lutte contre la fraude signale que 638 millions de dollars ont été perdus à cause de la fraude en 2024, et la plupart des victimes ne signalent même pas ces crimes. 

Ce rapport PowerDMARC analyse le niveau de sécurité de 555 domaines canadiens, mettant en évidence une dangereuse « lacune dans l’application » : alors que l’adoption des protocoles de base est élevée, celle-ci est compromise par l’incapacité à assurer une protection complète (p=reject) et par l'absence quasi totale de technologies de chiffrement modernes telles que MTA-STS.

Indicateurs de sécurité des e-mails au Canada : aperçu

Le tableau suivant présente un aperçu des protocoles de sécurité fondamentaux mis en œuvre sur l'ensemble des domaines canadiens analysés en mars 2026.

Canada SPF

SPF – 94,2 %

Canada DMARC

Adoption du protocole DMARC – 88,7 %

DMARC p=reject (Protection totale) – 28,1 %

Canada MTA-STS

Adoption du MTA-STS – 3,2 %

Adoption du protocole DNSSEC – 9,4 %

Démarrer l'essai de 15 jours

Observations au niveau sectoriel

Le niveau de sécurité des e-mails varie considérablement d'un secteur clé à l'autre au Canada. Vous trouverez ci-dessous une analyse détaillée des performances des différents secteurs.

1. Secteur bancaire

Le secteur bancaire canadien est à la pointe du pays en matière de mise en œuvre du protocole DMARC, mais la majorité des établissements ne bénéficient toujours pas d'une protection totale.

Métrique Taux d'adoption
Correction du SPF 94.3%
DMARC p=rejeter 42.0%
Pas d'enregistrement DMARC 8.0%
Adoption de MTA-STS 2.3%
Adoption du DNSSEC 14.8%

Le risque critique :

Alors que 42,0 % des banques appliquent une politique de « rejet », les 58,0 % restants, y compris celles qui ont opté pour « Aucune » ou «Quarantine, restent vulnérables à des attaques sophistiquées d'usurpation d'identité pouvant entraîner des fraudes financières à grande échelle et une perte de confiance de la part des clients.

La solution PowerDMARC :

PowerDMARC offre aux banques une solution automatisée pour p=reject, garantissant ainsi que seuls les expéditeurs autorisés puissent utiliser leurs domaines, ce qui permet de mettre efficacement un terme au phishing par usurpation d'identité bancaire.

2. Éducation

Le secteur de l'éducation fait l'objet d'une surveillance intensive, mais il manque de la rigueur nécessaire pour protéger les élèves et le personnel.

Métrique Taux d'adoption
Correction du SPF 93.7%
DMARC p=rejeter 17.7%
Pas d'enregistrement DMARC 3.8%
Adoption de MTA-STS 3.8%
Adoption du DNSSEC 1.3%

Le risque critique :

Avec seulement 17,7 % de « Rejet », les écoles et les universités constituent des cibles de choix pour le vol d'identifiants et les tentatives d'hameçonnage liées aux frais de scolarité qui se font passer pour les services d'inscription.

La solution PowerDMARC :

Notre plateforme simplifie la gestion DMARC pour les établissements d'enseignement, leur permettant ainsi de mieux identifier les expéditeurs tiers et de mettre en place une politique de protection sans compromettre la livraison des communications légitimes du campus.

3. Gouvernement

Les domaines du secteur public représentent l'État et constituent des cibles privilégiées pour la désinformation et le phishing commandité par l'État.

Métrique Taux d'adoption
Correction du SPF 93.7%
DMARC p=rejeter 31.2%
Pas d'enregistrement DMARC 5.0%
Adoption de MTA-STS 6.2%
Adoption du DNSSEC 13.7%
Adoption du protocole MTA-STS par les pouvoirs publics - Canada

Le risque critique :

Avec un taux d'application de seulement 31,2 %, les organismes gouvernementaux canadiens sont en retard par rapport aux normes internationales, exposant ainsi les données personnelles identifiables des citoyens au risque d'être dérobées par le biais de communications officielles falsifiées.

La solution PowerDMARC :

PowerDMARC aide les organismes publics à se conformer aux exigences de sécurité actuelles en automatisant SPF et la génération de rapports DMARC, garantissant ainsi que les domaines gouvernementaux soient protégés contre l'usurpation d'identité.

Réservez une démo

4. Santé

À mesure que les prestataires de soins de santé numérisent leurs dossiers, la sécurité de leurs communications par courrier électronique devient un enjeu crucial en matière de protection de la vie privée.

Métrique Taux d'adoption
Correction du SPF 98.0%
DMARC p=rejeter 20.4%
Pas d'enregistrement DMARC 12.3%
Adoption de MTA-STS 0.0%
Adoption du DNSSEC 8.2%
Adoption du protocole DNSSEC dans le secteur de la santé - Canada

Le risque critique :

Le taux d'adoption du protocole MTA-STS, qui s'élève à un chiffre stupéfiant de 0 %, signifie que la quasi-totalité du trafic de messagerie dans le secteur de la santé est potentiellement vulnérable aux des attaques de type « Man-in-the-Middle » (MiTM), au cours desquelles les données des patients pourraient être interceptées en clair.

La solution PowerDMARC :

Les services hébergés de PowerDMARC MTA-STS hébergé et TLS-RPT de PowerDMARC permettent aux prestataires de soins de santé d'appliquer le chiffrement des e-mails en transit, protégeant ainsi les informations médicales protégées (PHI) contre toute interception.

5. Médias

Le secteur des médias jouit d'une grande visibilité et mise sur sa réputation d'objectivité, mais il reste vulnérable à l'usurpation d'identité.

Métrique Taux d'adoption
Correction du SPF 98.0%
DMARC p=rejeter 20.0%
Pas d'enregistrement DMARC 10.0%
Adoption de MTA-STS 0.0%
Adoption du DNSSEC 6.0%
SPF de Media SPF - Canada

Le risque critique :

Le faible taux d'application de la loi (20 %) permet à des acteurs malveillants de se faire passer pour des médias afin de diffuser de la désinformation ou de fausses alertes d'actualité, ce qui peut avoir des conséquences sociopolitiques immédiates.

La solution PowerDMARC :

PowerDMARC permet aux médias de sécuriser leurs domaines et de préserver la confiance du public grâce à :

  • Application de DMARC : Atteint p=reject pour bloquer les e-mails non autorisés contenant des « fausses informations ».
  • BIMI hébergé: Gestion et affichage simplifiés des logos de marque vérifiés dans les boîtes de réception. Cela fournit un gage visuel d'authenticité qui confirme que l'information provient d'une source légitime et vérifiée.

6. Télécommunications

Les opérateurs protègent leurs réseaux, mais laissent souvent leurs domaines de messagerie exposés aux abus.

Métrique Taux d'adoption
Correction du SPF 90.9%
DMARC p=rejeter 11.4%
Pas d'enregistrement DMARC 34.1%
Adoption de MTA-STS 4.5%
Adoption du DNSSEC 4.5%
Logo BIMI

Le risque critique :

Avec 34,1 % des domaines du secteur des télécommunications ne disposant d'aucun enregistrement DMARC, ce secteur est particulièrement exposé aux attaques d'ingénierie sociale utilisées pour provoquer des substitutions de carte SIM et des prises de contrôle de comptes.

La solution PowerDMARC :

PowerDMARC permet aux opérateurs de télécommunications de bloquer les alertes de facturation frauduleuses et les tentatives d'usurpation d'identité au service client grâce à :

  • DMARC hébergé: Simplifie la gestion complexe du DNS en permettant aux fournisseurs de mettre à jour et d'adapter leurs politiques DMARC directement depuis le tableau de bord PowerDMARC, sans avoir à saisir manuellement des entrées DNS.
  • Prévention de l'usurpation d'identité : Atteint p=reject pour garantir que les pirates informatiques ne puissent pas usurper l'identité de l'opérateur afin de voler les identifiants des abonnés.
Démarrer l'essai de 15 jours

7. Transports

Le secteur des transports constitue le pilier de la logistique, mais la sécurité de ses e-mails est dangereusement insuffisante.

Métrique Taux d'adoption
Correction du SPF 92.2%
DMARC p=rejeter 23.4%
Pas d'enregistrement DMARC 15.6%
Adoption de MTA-STS 5.2%
Adoption du DNSSEC 6.5%
Logo BIMI

Le risque critique :

Le faible taux d'adoption du protocole MTA-STS signifie que les manifestes de fret et les données logistiques sont transmis sans être chiffrés. De plus, le faible taux d'adoption du protocole DNSSEC expose ces domaines au détournement DNS.

La solution PowerDMARC :

PowerDMARC sécurise la chaîne logistique en empêchant le détournement de marchandises grâce à l'authentification des manifestes d'expédition et aux alertes de transport via DMARC et MTA-STS hébergé.

Dans les coulisses : les faiblesses structurelles du Canada

Si le taux élevé d'adoption du protocole DMARC au Canada (88,7 %) laisse supposer une base technique solide, une analyse plus approfondie des données révèle un « faux sentiment de sécurité ». Le pays est actuellement confronté à un déficit considérable en matière d'application de ces mesures et à un taux d'adoption très faible des protections modernes au niveau de la couche de transport.

1. SPF: l'identité fondamentale (mais fragile)

SPF de « liste d'invités » pour votre domaine, en précisant quelles adresses IP et quels services sont autorisés à envoyer des e-mails en votre nom. Bien qu'il s'agisse du protocole le plus largement adopté au Canada, son efficacité est souvent compromise par des erreurs de configuration technique.

  • Taux d'adoption : 94,2 %; Presque tous les domaines analysés disposent d'un SPF .
  • Le problème de l'« exactitude » : Bon nombre de ces enregistrements contiennent des erreurs, le plus souvent en dépassant la limite de 10 requêtes DNS. Lorsque cette limite est atteinte, les e-mails légitimes provenant de fournisseurs tiers autorisés (tels que les outils RH ou marketing) échouent à l’authentification et sont souvent rejetés.

L'avis d'un expert :

« SPF généralisée SPF au Canada est une arme à double tranchant. Bien que les bases soient en place, un SPF « corrompu » est souvent pire que l'absence totale d'enregistrement, car il entraîne des problèmes imprévisibles de délivrabilité. Chez PowerDMARC, nous utilisons « PowerSPF » pour harmoniser ces enregistrements, garantissant ainsi que même les écosystèmes d'entreprise les plus complexes restent dans les limites autorisées et soient authentifiés à 100 %. »

Yunes Tarada, gestionnaire de la prestation de services, PowerDMARC

L'avis d'un expert :

« Le “piège de la surveillance” est un phénomène mondial, mais il est particulièrement marqué au Canada. De nombreuses organisations pensent qu’il suffit d’avoir un enregistrement DMARC pour être protégées. En réalité, une politique p=none revient à inviter ouvertement les pirates à exploiter la réputation de votre marque à des fins de hameçonnage. Si vous ne passez pas à “Reject”, c’est comme si vous regardiez votre maison se faire cambrioler à travers une caméra de sécurité sans jamais fermer la porte à clé. »

Maitham Al Lawati, PDG, PowerDMARC

2. Diffusion des politiques DMARC : le piège de la « surveillance »

La principale faiblesse du paysage canadien réside dans le recours à une surveillance passive. Le simple fait de publier un enregistrement DMARC ne constitue pas une mesure de protection ; il s'agit d'un outil de diagnostic.

  • Aucun (p = aucun) : 37,9 %; Ces domaines sont en « mode surveillance ». Ils reçoivent des rapports sur l'identité des expéditeurs, mais la politique demande aux serveurs destinataires de ne rien faire avec les e-mails non autorisés.
  • Quarantine quarantine): 22,7 %; Phase transitoire au cours de laquelle les e-mails suspects sont redirigés vers le dossier spam du destinataire.
  • Rejet (p = rejet) : 28,1 %; La « référence absolue ». Seuls ces domaines bloquent activement les tentatives d'usurpation d'identité.

3. MTA-STS : le manque de chiffrement

Alors que SPF DMARC vérifient qui est l'expéditeur de l'e-mail, le MTA-STS garantit la confidentialité du message pendant son acheminement. Avec un taux d’adoption national de seulement 3,2 %, le Canada présente une énorme lacune en matière de sécurité des transports.

Le protocole STARTTLS traditionnel est « opportuniste », ce qui signifie qu’il ne procède au chiffrement que si les deux serveurs sont d’accord. Les pirates exploitent cette faille par le biais de des « attaques par rétrogradation », qui forcent l'envoi de l'e-mail en texte clair non chiffré.

  • 96,8 % des domaines canadiens analysés sont actuellement vulnérables à l'interception de type « Man-in-the-Middle » (MiTM).
  • Dans des secteurs tels que la santé et les médias, le taux d'adoption du protocole MTA-STS est de 0 %, ce qui signifie que les dossiers médicaux sensibles et les communications journalistiques sont transmis sans cryptage obligatoire.

L'avis d'un expert :

« En 2026, alors que l'IA sera capable d'intercepter et d'analyser d'énormes quantités de données en temps réel, l'envoi d'e-mails non chiffrés constituera un risque qu'aucune entreprise ne pourra se permettre. Le protocole MTA-STS comble la faille qui permet aux pirates de contourner le chiffrement. Il s'agit du deuxième volet indispensable de la sécurité des e-mails : si DMARC est la carte d'identité, MTA-STS est le fourgon blindé. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

L'avis d'un expert :

« Le DNSSEC est le pilier méconnu d’Internet. Sans lui, toutes les autres couches de sécurité, y compris le DMARC, reposent sur du sable. Si un pirate détourne votre DNS, il s’empare de votre identité. Pour les organisations canadiennes, le taux d’adoption du DNSSEC, qui n’atteint que 10,4 %, représente un risque systémique national qui nécessite une attention immédiate. »

Ahona Rudra, responsable marketing, PowerDMARC

4. DNSSEC : des fondements fragiles

DNSSEC ajoute des signatures numériques aux enregistrements DNS, garantissant ainsi que lorsqu'un utilisateur recherche votre domaine, il n'est pas redirigé vers un serveur malveillant.

Avec seulement un taux d'adoption de 9,4 %, la grande majorité de l'infrastructure numérique canadienne reste vulnérable à l' l'empoisonnement du cache DNS et au détournement. Cela est particulièrement dangereux pour la sécurité des e-mails, car un pirate qui contrôle votre DNS peut rediriger tous les e-mails entrants vers ses propres serveurs avant même qu'ils n'atteignent votre organisation.

Contactez-nous

Analyse comparative mondiale : le fossé en matière d'application de la loi (2025-2026)

Le tableau ci-dessous présente les chiffres précis relatifs à l'application des mesures de sécurité des e-mails au niveau national. Le « déficit de sécurité » correspond à la faille laissée par les organisations qui, bien qu'elles disposent d'un système de suivi, ne parviennent pas à bloquer les e-mails non autorisés.

PaysSPF correct)Application de DMARC (p=rejet)Adoption de MTA-STSAdoption du DNSSEC
États-Unis (2026)95.7%49.0%1.7%18.0%
Australie (2025)92.3%46.7%5.8%6.8%
Canada (2026)94.2%28.1%3.2%9.4%
Arabie saoudite (2026)80.6%18.4%0.2%11.9%
Italie (2025)91.0%16.7%1.0%3.5%
Pérou (2025)86.1%17.9%0.6%4.6%
Ouganda (2026)77.8%30.6%0.0%3.8%

Analyse : le coût de la politique « passive »

Les données mondiales de 2026 confirment une tendance dangereuse : L'adoption sans application est une illusion de sécurité. Une part considérable des domaines mondiaux reste en « mode surveillance » (p=none). Bien que cela offre une certaine visibilité, cela n'empêche pas l'envoi d'un seul e-mail usurpé. Des pays comme le le Japon (9,2 % d'application) et l'Italie (16,7 %) montrent qu’une forte sensibilisation technique ne se traduit pas par une protection active sans une changement de politique DMARC .

Le déficit de chiffrement

La sécurité au niveau de la couche de transport reste la « dernière frontière ». Avec un taux d'adoption du MTA-STS inférieur à 3,5 % dans la plupart des grandes économies, les e-mails authentifiés restent vulnérables aux « attaques par rétrogradation », dans lesquelles les pirates forcent les connexions à passer en texte clair non chiffré afin d’intercepter des données sensibles.

Facteurs réglementaires

Les taux élevés d'application de la loi aux États-Unis (49,0 %) sont le résultat direct de mandats fédéraux stricts et de réglementations spécifiques au secteur. La situation actuelle au Canada suggère que sans une initiative fédérale similaire en faveur de p=reject, le pays continuera à prendre du retard sur ses principaux partenaires commerciaux en matière de cyber-résilience.

Conclusion : des indicateurs à l'action

Les données sont sans équivoque : le Canada a mis en place une solide infrastructure technique, mais il lui reste encore à combler pleinement le fossé entre la surveillance passive et l'application active des règles de transport. Alors que SPF quasi omniprésent (94,2 %) et que l'adoption du DMARC est élevée (88,7 %), le fait que plus de 70 % du pays n'ait pas atteint une application complète (p = rejet) et le manque généralisé d'intégrité DNSSEC (écart de 90,6 %) constituent toujours une vulnérabilité nationale importante.

Les entreprises canadiennes ne peuvent pas se permettre d'attendre la prochaine faille majeure en matière de cybersécurité ou un incident catastrophique de type « Business Email Compromise » (BEC) pour passer de la surveillance à la protection. PowerDMARC comble ce « fossé de mise en œuvre » en proposant :

Parcours de mise en œuvre automatisée : Migration en toute sécurité des entreprises et des PME canadiennes depuis p=none vers p=reject sans bloquer les communications professionnelles essentielles ni le flux de courrier interne.

Simplification de l'infrastructure : Surmonter la « limite des 10 requêtes » grâce à SPF , héberger MTA-STS pour combler le déficit de chiffrement de 96,8 %, et la validation des enregistrements DNSSEC dans un tableau de bord unique et natif du cloud.

Préparation réglementaire : Assistance à la mise en conformité avec la LPRPDE, la Loi de mise en œuvre de la Charte numérique (projet de loi C-27) et la PCI-DSS 4.0 en simplifiant la protection anti-hameçonnage et en sécurisant les communications par e-mail sensibles.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Le Canada est actuellement une cible privilégiée des attaques de phishing et des fraudes à la facture orchestrées par l'IA. Si les équipes informatiques canadiennes excellent dans la publication de données de base, elles sont souvent paralysées par la crainte de bloquer des e-mails légitimes. En 2026, une approche « de surveillance uniquement » revient en substance à capituler face à des techniques d'usurpation d'identité sophistiquées. Le passage à une défense active n'est pas seulement une mise à niveau de la sécurité ; c'est une mesure essentielle pour se protéger contre les violations qui visent le cœur même de l'économie numérique canadienne. »

Équipe PowerDMARC

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption au Canada montrent que les bases sont en place ; il est désormais temps de passer à la vitesse supérieure. Dans un contexte où l'IA est capable d'imiter à la perfection le ton d'un dirigeant, se fier uniquement à la « visibilité » ne suffit pas.

Ne laissez pas votre domaine rester une « frontière non protégée ». Passez d'une surveillance passive à une protection active avant que la prochaine vague d'attaques coordonnées ne frappe votre secteur.

Contactez PowerDMARC pour vous lancer dans la mise en œuvre.

15 jours d'essaiRéservez une démo