Sécurité des e-mails au Japon : rapport sur l'adoption des normes DMARC et MTA-STS en 2025

Au cours du seul premier semestre 2025, l'Agence nationale de police japonaise a signalé le nombre stupéfiant de 1,2 million de cas d'hameçonnage, ce qui place le pays en passe de battre tous les records précédents. Ce siège numérique a un coût dévastateur : en 2024, les pertes financières liées à la fraude et aux cyberescroqueries ont atteint environ 3 220 milliards de yens (22 milliards de dollars américains), touchant près d'un citoyen sur trois. Cette escalade n'est pas passée inaperçue auprès des autorités.

En réponse à cette crise, le ministère de l'Économie, du Commerce et de l'Industrie (METI) a annoncé la mise en place d'un système de notation de la cybersécurité des entreprises d'ici l'exercice 2025. Cette mesure marque un tournant décisif : la cybersécurité au Japon n'est plus seulement une case à cocher dans le domaine informatique, mais une priorité économique nationale.

Ce rapport fournit une analyse technique de la sécurité des e-mails et des domaines dans les principaux secteurs d'activité au Japon. Il examine le paradoxe d'une conformité élevée mais d'une faible application, mettant en évidence les lacunes structurelles qui rendent les organisations vulnérables aux violations qui font actuellement la une des journaux.

Demande de rapport - Adoption du DMARC au Japon

"Les champs obligatoires sont indiqués par un astérisque(*)

Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
Nom*

Aperçu : le Japon en chiffres

Le tableau suivant regroupe les données provenant de 422 principaux domaines japonais, mettant en évidence la disparité entre l'adoption du protocole et la protection active.

SPF

DMARC

Japon DMARC

MTA-STS

DNSSEC

Logo BIMI

Mesure de sécuritéPourcentageInterprétation
SPF Correct95.0%Excellente adoption fondamentale.
Adoption de DMARC74.6%Très connu, mais souvent mal configuré.
Application DMARC (Rejet)9.2%Lacune critique : seul environ 1 domaine sur 10 bloque les imposteurs.
Surveillance DMARC uniquement (aucune)55.0%La majorité des domaines sont visibles mais vulnérables.
Validité du MTA-STS0.5%Absence quasi totale de chiffrement de la couche transport.
DNSSEC activé16.4%Grande vulnérabilité au détournement DNS.

Démarrer l'essai de 15 jours

Radar sectoriel : qui est à risque et pourquoi

Les chiffres globaux masquent certaines vulnérabilités spécifiques au sein d'industries japonaises critiques. Vous trouverez ci-dessous une analyse détaillée des menaces par secteur.

1. Secteur bancaire : cibles de grande valeur, blindage partiel

Le secteur financier est en première ligne face à la fraude, mais seul un domaine bancaire sur trois bloque activement les e-mails falsifiés.

Les données

Métrique Valeur
SPF Correct 93.9%
Enregistrement DMARC existant 97.0%
DMARC p=reject (Protégé) 33.3%
DMARC p=none (Vulnérable) 39.4%
MTA-STS Valide 1.5%
SPF bancaire

L'analyse des risques

Le secteur bancaire japonais est mieux protégé que la plupart des autres, mais il reste encore une importante faille de vulnérabilité. Près de deux domaines bancaires sur trois (66,7 %) ne sont pas à p=reject. Cela permet à des attaquants sophistiqués de contourner les filtres et d'envoyer des e-mails frauduleux intitulés « Virement bancaire urgent » ou « Alerte de sécurité » directement dans les boîtes de réception des clients fortunés et du personnel interne.

De plus, avec seulement 1,5 % utilisant le protocole MTA-STS, la grande majorité des correspondances financières, y compris les confirmations de transactions et les données sensibles des clients, sont transmises sans cryptage renforcé, ce qui les rend vulnérables aux attaques de type « Man-in-the-Middle » (MitM) et aux exploits de déclassement.

La solution PowerDMARC

  • Mise en œuvre progressive :
    Transition guidée de     p=none à p=reject à l'aide d'une modélisation des menaces basée sur l'IA afin de garantir que les e-mails de transaction légitimes ne soient jamais bloqués.
  • MTA-STS hébergé :
    Déploiement rapide du chiffrement des transports pour répondre aux normes mondiales de conformité financière sans alourdir la charge de travail des équipes informatiques internes.

2. Éducation : un domaine propice à la collecte de diplômes

Les universités sont des cibles privilégiées pour l'espionnage industriel et l'usurpation d'identité, mais les mesures de protection sont quasi inexistantes.

Les données

Métrique Valeur
SPF Correct 96.0%
Pas d'enregistrement DMARC 32.0%
DMARC p=none 57.3%
DMARC p=reject 6.7%
MTA-STS Valide 0.0%

L'analyse des risques

Le secteur de l'éducation est dangereusement exposé. Un domaine sur trois ne dispose d'aucun enregistrement DMARC, et plus de la moitié sont bloqués en mode surveillance. Cela ouvre la voie à des campagnes de phishing déguisées en « réinitialisations de mots de passe informatiques », « demandes de subventions » ou « résultats d'examens ».

Les conséquences sont graves : un seul compte étudiant ou enseignant compromis peut entraîner une fuite massive de données de recherche exclusives ou le détournement des ressources informatiques de l'université à des fins de cryptomining. Le 0,0 % de l'adoption du protocole MTA-STS signifie que la propriété intellectuelle partagée par e-mail traverse souvent le web en texte clair.

La solution PowerDMARC

  • Gestion multi-locataires :
    Visibilité centralisée sur l'ensemble des facultés, départements et systèmes de messagerie des anciens élèves.
  • Politique en tant que service :
    Un modèle simplifié permettant aux institutions d'atteindre un niveau de sécurité de classe entreprise sans avoir besoin d'un centre d'opérations de sécurité (SOC) dédié.

3. Gouvernement : services numériques aux contours flous

Les agences numérisent les services aux citoyens plus rapidement qu'elles ne sécurisent les canaux de communication qui les fournissent.

Les données

Métrique Valeur
SPF Correct 95.8%
Pas d'enregistrement DMARC 26.3%
DMARC p=none 61.1%
DMARC p=reject 4.2%
MTA-STS Valide 0.0%

L'analyse des risques

Alors que le Japon promeut la « Société 5.0 » et la numérisation accrue des services gouvernementaux, l'infrastructure de sécurité des e-mails est à la traîne. Avec plus de 60 % des domaines à p=none et 26 % n'ayant aucun DMARC, les citoyens sont très vulnérables aux e-mails frauduleux concernant le paiement des impôts, les notifications de retraite ou les secours en cas de catastrophe.

Absence totale (0,0 %) de MTA-STS expose les communications officielles du gouvernement à l'interception. Cela érode la confiance du public dans les portails administratifs en ligne, car les citoyens ne peuvent pas vérifier si un e-mail provient réellement d'une agence gouvernementale ou si son contenu a été modifié pendant son acheminement.

La solution PowerDMARC

  • Guides nationaux de déploiement :
    Stratégies adaptées pour mettre en œuvre des portefeuilles de domaines vastes et complexes conformément aux normes nationales en matière de cybersécurité.
  • DNSSEC et MTA-STS :
    Cadres de mise en œuvre rationalisés conçus pour s'adapter aux processus d'approvisionnement et de contrôle des changements du secteur public.
Réservez une démo

4. Santé : communications vitales

Dans secteur de la santé, un e-mail frauduleux peut avoir des répercussions non seulement sur les finances, mais aussi sur la sécurité et la confidentialité des patients.

Les données

Métrique Valeur
SPF Correct 95.2%
Pas d'enregistrement DMARC 42.8%
DMARC p=none 52.4%
DMARC p=reject 0.0%
DNSSEC activé 4.8%
Adoption du protocole DNSSEC dans le secteur de la santé

L'analyse des risques

Il s'agit peut-être là de l'ensemble de données le plus alarmant. Aucun domaine du secteur de la santé n'applique la règle p=reject. Cela signifie que tous les domaines liés à la santé analysés sont techniquement susceptibles d'être victimes d'une usurpation directe de domaine.

Les pirates peuvent se faire passer pour des administrateurs hospitaliers ou des assureurs afin d'envoyer de faux « avis de résultats d'examens » ou « rappels de paiement », incitant ainsi les patients à divulguer des données médicales et financières sensibles. L'absence de cryptage (MTA-STS) compromet davantage la conformité aux réglementations en matière de confidentialité des patients.

La solution PowerDMARC

  • Accélération en tenant compte des risques :
    Une transition prudente vers l'application qui donne la priorité à la livraison des e-mails cliniques critiques (rapports de laboratoire, rappels de rendez-vous) tout en bloquant les menaces.
  • Chiffrement transparent :
    MTA-STS hébergé pour crypter les flux d'e-mails sans nécessiter de reconfigurations complexes des serveurs de messagerie hospitaliers existants.

5. Médias : désinformation et divulgation des sources

Les médias japonais défendent la démocratie et l'opinion publique, mais les pirates peuvent toujours usurper facilement leur identité.

Les données

Métrique Valeur
SPF Correct 89.7%
Pas d'enregistrement DMARC 24.1%
DMARC p=none (Vulnérable) 69.0%
DMARC p=reject (Protégé) 5.2%
MTA-STS Valide 0.0%
SPF par les médias

L'analyse des risques

Le secteur des médias affiche le taux SPF le plus faible (89,7 %) de toutes les industries analysées, ce qui indique des difficultés à gérer des infrastructures d'expéditeurs complexes (newsletters, marketing, outils tiers).

Plus grave encore, près de 70 % des domaines se trouvent à p=none. Cela permet à des acteurs malveillants d'usurper l'identité de médias de confiance pour diffuser de « fausses informations », faire circuler de la désinformation pendant les élections ou envoyer de faux avis de renouvellement d'abonnement afin de récolter des informations de carte de crédit.

Avec un taux d'adoption du protocole MTA-STS de 0,0 %, les communications entre les journalistes et leurs sources confidentielles ne sont pas cryptées, ce qui représente un risque grave pour la protection des sources et la liberté de la presse.

La solution PowerDMARC

  • Protection des journalistes :
    Passage rapide en     quarantine et p=rejet pour garantir que personne ne puisse se faire passer pour un journaliste ou un rédacteur.
  • Visibilité de l'informatique fantôme :
    Identification des services de messagerie tiers non autorisés souvent utilisés par les services marketing ou régionaux.

6. Télécommunications : des gardiens aux portes ouvertes

Les opérateurs télécoms assurent la connectivité nationale, mais laissent la porte ouverte dans leur propre infrastructure de messagerie électronique.

Les données

Métrique Valeur
SPF Correct 95.5%
Pas d'enregistrement DMARC 17.9%
DMARC p=none (Vulnérable) 49.3%
DMARC p=reject (Protégé) 9.0%
DNSSEC activé 9.0%
Logo BIMI

L'analyse des risques

Les fournisseurs de télécommunications sont des cibles de grande valeur pour les attaques par « échange de carte SIM » et les prises de contrôle de comptes. Avec près de la moitié (49,3 %) des domaines à p=none et près de 20 % n'ayant aucun DMARC, les pirates peuvent facilement usurper des e-mails de « mise à jour de facturation », « avertissement de limite de données » ou « mise à niveau de carte SIM » pour inciter les clients à leur communiquer leurs identifiants.

Le faible taux d'adoption du protocole DNSSEC (9,0 %) est ironique pour les fournisseurs d'accès Internet, car cela rend leur propre infrastructure vulnérable à l'usurpation DNS qui peut rediriger le trafic des clients.

La solution PowerDMARC

  • Gestion des politiques à haut volume :
    Stratégies d'application spécialisées qui traitent des millions de notifications clients sans déclencher de faux positifs.
  • Contrôles centrés sur le DNS :
    Renforcement de la couche DNS afin de protéger à la fois les portails destinés aux clients et les domaines opérationnels internes.
Démarrer l'essai de 15 jours

7. Transport : billets, fret et confiance en mouvement

Des compagnies aériennes aux entreprises de logistique, les organisations de transport fonctionnent grâce aux e-mails, et trop nombreuses sont celles qui continuent à faire confiance aux messages non authentifiés.

Les données

Métrique Valeur
SPF Correct 98.4%
Pas d'enregistrement DMARC 39.7%
DMARC p=none (Vulnérable) 55.6%
DMARC p=reject (Protégé) 0.0%
MTA-STS Valide 0.0%

L'analyse des risques

Le secteur des transports affiche le taux SPF le plus élevé (98,4 %), mais aussi le niveau d'application le plus faible. Aucun domaine de transport n'applique la règle p=reject.

Cette faille incite les pirates à envoyer de faux e-mails intitulés « Annulation de vol », « Facture douanière » ou « Modification de livraison ». Dans le domaine de la logistique, cela peut entraîner le vol de marchandises ou le détournement de la chaîne d'approvisionnement. Pour les voyages touristiques, cela ouvre la voie à une collecte massive d'identifiants et à la fraude à la carte de crédit.

Comme dans les autres secteurs, le score MTA-STS de 0,0 % signifie que les manifestes de marchandises sensibles, les itinéraires des passagers et les données relatives aux passeports sont souvent transmis sans cryptage vérifié.

La solution PowerDMARC

  • Intégrité de la chaîne logistique :
    Déploiement rapide des     politiques DMARC adaptées aux moteurs de réservation, aux systèmes mondiaux de distribution (GDS) et aux intégrations des partenaires logistiques.
  • Protection B2B et B2C :
    Protection simultanée pour les notifications grand public à haut volume (billets/cartes d'embarquement) et les communications B2B sensibles relatives au fret.

Sous le capot : quatre faiblesses structurelles

Au-delà des risques spécifiques au secteur, quatre faiblesses systémiques affectent l'écosystème japonais du courrier électronique.

1. Le « piège du confort » de p=none

55,0 % des domaines japonais disposent du protocole DMARC, mais ne l'appliquent pas. Ce mode « surveillance uniquement » offre une visibilité, mais aucune protection. Il s'agit d'un faux sentiment de sécurité qui permet aux pirates de continuer à usurper l'identité de marques de confiance, tandis que l'organisation se contente d'observer la situation dans les journaux.

« Une politique de p=none revient à installer une caméra de sécurité tout en laissant la porte d'entrée ouverte. Vous pouvez voir les cambrioleurs entrer, mais vous êtes impuissant à les arrêter. Le taux d'adoption élevé au Japon est prometteur, mais sans passer à p=reject, le travail n'est qu'à moitié fait. »

Maitham Al Lawati, PDG, PowerDMARC

« Nous constatons régulièrement ce phénomène dans les grandes entreprises : elles ajoutent un nouvel outil marketing et soudainement, leurs e-mails de facturation commencent à être rejetés. La limite de 10 recherches est un plafond strict dans le DNS. Sans technologie «SPF Flattening » » pour compresser ces enregistrements, l'expansion de votre pile numérique perturbe inévitablement la délivrabilité de vos e-mails. »

Yunes Tarada, responsable de la prestation de services, PowerDMARC

2. SPF à grande échelle

Alors que 95,0 % des domaines ont un SPF, les 5,0 % restants présentent des erreurs de configuration critiques. Dans les organisations complexes, cela provient souvent du dépassement de la « limite de 10 recherches » pour les requêtes DNS, ce qui entraîne l'échec de l'authentification et la disparition des e-mails légitimes provenant de fournisseurs tiers (CRM, systèmes RH).

3. MTA-STS : l'angle mort

Avec un taux de validité global de seulement 0,5 %, le Japon présente un angle mort quasi total en matière de sécurité des transports. Sans MTA-STS, les attaquants peuvent mener des « attaques par rétrogradation », forçant les serveurs de messagerie à abandonner le cryptage et à transmettre les messages en texte clair, lisibles par toute personne surveillant le réseau.

« Le chiffrement standard des e-mails (STARTTLS) est opportuniste : il demande le chiffrement, mais ne l'impose pas. Le protocole MTA-STS est le seul moyen de forcer ce verrouillage. Avec 99,5 % des domaines japonais qui ne disposent pas de ce protocole, il est facile pour un pirate informatique de supprimer le chiffrement et de lire les communications sensibles des entreprises en transit. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

« Les organisations investissent massivement dans la construction de la confiance envers leur marque, mais un seul détournement DNS peut tout détruire en quelques secondes. Le protocole DNSSEC agit comme le gardien de votre identité numérique, garantissant que lorsque les clients vous contactent, ils se connectent bien au vrai . Ce n'est plus seulement un protocole informatique, c'est une couche fondamentale de la gestion de la réputation de la marque. »

Ahona Rudra, directeur marketing, PowerDMARC

4. DNSSEC : une base fragile

Le protocole DNSSEC n'est activé que sur 16,4 % des domaines. Sans cela, le système de répertoire de l'Internet (DNS) n'est pas protégé. Des pirates informatiques sophistiqués peuvent détourner le DNS et rediriger l'ensemble du flux de courriels d'une entreprise vers un serveur malveillant sans que l'expéditeur ou le destinataire ne s'en aperçoivent.

Contactez-nous

Benchmarking mondial : le Japon dans son contexte

Pour bien comprendre le « paradoxe japonais », il faut mettre en parallèle les données de 2025 avec les récentes conclusions de PowerDMARC concernant l'Europe, l'Afrique, l'Amérique du Sud et l'Océanie.

Les données révèlent une réalité surprenante : le Japon a le taux de conformité de base (SPF) le plus élevé au monde, mais se classe dangereusement bas en matière d'application réelle application effective (p = rejet).

Alors que des pays comme Suède et Norvège ont réussi à transformer l'adoption en protection (blocage des attaques), le Japon reste bloqué en « mode surveillance ». Le plus alarmant est peut-être que le Pérou, Nigeriaet l' Italie appliquent tous des politiques de sécurité strictes à des taux nettement supérieurs à ceux du Japon.

Classement mondial : données 2025

Données issues des rapports régionaux sur l'adoption de PowerDMARC 2025.

PaysSPF (Identité)Adoption du DMARC (visibilité)Application de DMARC (p=rejet)MTA-STS (cryptage)
Suède 🇸🇪85.0%77.9%29.9%2.9%
Norvège 🇳🇴85.2%83.1%29.0%2.8%
Belgique 🇧🇪90.1%79.1%24.7%<1.0%
Pérou 🇵🇪86.1%66.0%17.9%0.6%
Italie 🇮🇹91.0%74.0%16.7%~1.0%
Nouvelle-Zélande 🇳🇿81.2%62.5%16.7%1.3%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%
Japon 🇯🇵95.0%74.6%9.2%0.5%
Maroc 🇲🇦71.3%36.5%7.5%0.0%
Tunisie 🇹🇳76.4%30.1%4.8%0.0%

Perspectives critiques : où en est le Japon ?

1. La norme nordique (Suède et Norvège)

  • La référence : Les pays scandinaves ont établi la norme mondiale en matière de « défense active ». Avec des taux d'application avoisinant les 30 %, environ 1 domaine sur 3 bloque activement les tentatives d'usurpation.
  • Le fossé japonais : Le Japon a considérablement plus élevéSPF (95 % contre environ 85 %), SPF 3 fois moins . Cela confirme que les équipes informatiques japonaises sont excellentes en matière de conformité (cocher la case) mais hésitent à activer la protection.

2. Les challengers « surprenants » (Pérou et Nigeria)

  • La réalité : Il est alarmant de constater que Pérou (17,9 %) et le Nigeria (14,2 %) ont des taux d'application de la loi nettement plus élevés que le Japon (9,2 %).
  • Le contexte : Le Nigeria, souvent confronté à une réputation de fraude par e-mail, a pris des mesures énergiques pour verrouiller ses domaines d'entreprise. L'approche conservatrice du Japon, qui privilégie la prudence plutôt que le blocage, l'a rendu plus vulnérable que ces économies numériques émergentes.

3. La lutte commune (Tunisie et Maroc)

  • Comparaison : Le taux d'application de la loi au Japon (9,2 %) est dangereusement proche de celui des marchés en phase initiale comme le le Maroc (7,5 %) et la la Tunisie (4,8 %).
  • L'analyse : Malgré une infrastructure digne d'un pays développé ( SPF élevé), le Japon affiche en réalité un niveau de sécurité comparable à celui d'un pays en développement en matière de lutte contre les attaques. L'écart entre disposer disposer des outils et les utiliser est plus grand au Japon que dans tout autre pays analysé.

Le verdict PowerDMARC

« Le Japon est une anomalie mondiale. Dans la plupart des pays, la difficulté consiste à convaincre les entreprises de publier un enregistrement DMARC. Au Japon, les enregistrements existent, la sensibilisation est élevée, mais le commutateur reste « éteint ».

Quand on regarde la Suède ou Belgique, nous voyons l'avenir : un taux d'adoption élevé associé à une application stricte. Le Japon est actuellement un « tigre de papier » : il semble formidable sur une liste de contrôle de conformité (95 % SPF), mais dans la pratique, il offre peu de résistance à un attaquant. »

Équipe de veille stratégique PowerDMARC

Conclusion : des indicateurs à l'action

Les données sont claires : le Japon a posé les fondations (SPF), mais n'a pas encore construit les murs (application DMARC) ni le toit (MTA-STS).

Les organisations japonaises n'ont pas besoin d'un nouveau signal d'alarme sous la forme d'une violation faisant la une des journaux. Elles ont besoin d'une voie contrôlée et guidée vers la mise en application. PowerDMARC transforme cette vulnérabilité en résilience en :

Simplification du cryptage avec MTA-STS hébergé et DNSSEC.

Automatisation du parcours depuis p=none à p=reject.

Se conformer aux réglementations grâce à des guides de conformité spécifiques à chaque secteur.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Le Japon dispose des bases techniques nécessaires pour devenir un leader mondial dans le domaine de l'authentification des e-mails. Il est désormais urgent de passer d'une visibilité passive à une défense active, en convertissant SPF exceptionnelle SPF en une application stricte du DMARC. Les secteurs actuellement à la traîne en matière de protection, tels que les transports et la santé, ont la possibilité d'améliorer rapidement leur posture, en transformant leurs domaines de messagerie électronique de cibles vulnérables en canaux de communication fiables. »

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption élevés au Japon prouvent que les organisations sont prêtes à assurer leur sécurité. Elles ont simplement besoin du bon partenaire pour passer à l'action. Ne laissez pas votre domaine rester un « tigre de papier ». Passez d'une surveillance passive à une protection active avant que la prochaine vague d'attaques ne frappe.

Contactez PowerDMARC pour commencer votre parcours vers la mise en application.

15 jours d'essaiRéservez une démo