Rapport sur l'adoption des normes DMARC et MTA-STS en Australie en 2025

En 2024, l'Australian Signals Directorate (ASD) a répondu à plus de 1 200 incidents cybernétiques hautement prioritaires, soit une augmentation de 11 % qui souligne l'état d'urgence numérique dans lequel se trouve le pays. Fin 2025, le coût financier de cette offensive est devenu stupéfiant : le coût moyen d'un rapport de cybercriminalité pour les grandes entreprises australiennes a grimpé en flèche de 219 %, dépassant désormais 200 000 dollars par incident. Avec un nouveau rapport de cybercriminalité déposé toutes les six minutes, le gouvernement australien est passé de la recommandation à la réglementation.

L'entrée en vigueur des règles relatives à la sécurité des infrastructures critiques (SOCI) en avril 2025 marque un tournant décisif. La cybersécurité n'est plus une simple « case à cocher » facultative, mais une obligation légale en vertu de la Stratégie australienne de cybersécurité 2023-2030. Cependant, malgré cette impulsion réglementaire, un paradoxe fondamental subsiste : alors que la plupart des domaines australiens ont établi des normes de sécurité de base, près de la moitié d'entre eux ne les appliquent pas, laissant les « artères numériques » de l'économie nationale, à savoir ses systèmes de messagerie électronique, largement exposées à l'exploitation.

Ce rapport fournit une analyse technique secteur par secteur de la sécurité des e-mails et des domaines en Australie, mettant en évidence les lacunes structurelles dans l'application du DMARC et le chiffrement du transit qui continuent d'alimenter une épidémie annuelle d'escroqueries représentant 2 milliards de dollars.

Demande de rapport - Adoption du DMARC en Australie

"Les champs obligatoires sont indiqués par un astérisque(*)

Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
Nom*

Posture nationale globale : le fossé en matière d'application

L'Australie affiche un fort taux d'adoption « de base », presque tous les domaines disposant d'une forme ou d'une autre d'enregistrement SPF DMARC. Cependant, le « résultat net » révèle que la plupart des organisations se trouvent dans un état passif, surveillant les menaces plutôt que de les bloquer.

SPF

Australie SPF

DMARC

Australie-DMARC

MTA-STS

Australie MTA-STS

DNSSEC

Australie DNSSEC

Indicateurs nationaux en matière d'adoption

Composant du protocoleTauxImplications en matière de risque
Correction du SPF92.3%Faible risque que des courriers légitimes soient marqués comme spam.
Application de DMARC (p=rejet)46.7%CRITIQUE : 53,3 % des domaines ne peuvent pas empêcher l'usurpation d'identité.
Adoption de MTA-STS5.8%Risque élevé d'interception de type « Man-in-the-Middle ».
Adoption du DNSSEC6.8%Vulnérable au détournement DNS et à l'empoisonnement du cache.

Analyse : Alors que 9 domaines sur 10 disposent du protocole DMARC, seuls la moitié l'utilise pour bloquer les e-mails non autorisés. Cela crée un faux sentiment de sécurité, les équipes informatiques cochant la case DMARC mais restant vulnérables aux usurpations d'identité sophistiquées.

Démarrer l'essai de 15 jours

Vulnérabilités et performances spécifiques au secteur

Si l'Australie affiche un niveau élevé d'authentification des e-mails, un examen plus approfondi des différents secteurs révèle un énorme « déficit de mise en application ». Les secteurs qui protègent les données les plus sensibles du pays, des dossiers médicaux aux pièces d'identité gouvernementales, s'appuient souvent sur une surveillance passive plutôt que sur un blocage actif, ce qui ouvre la voie à des techniques sophistiquées de phishing et d'interception.

1. Soins de santé : protection de la vie privée des patients

La violation de Medibank en 2024 reste un rappel brutal de la façon dont les communications frauduleuses des fournisseurs peuvent entraîner des fuites de données catastrophiques. Alors que Le secteur de la santé dispose d'une SPF élevée, l'absence de chiffrement des transits et de sécurité DNS crée un angle mort important pour les dossiers des patients.

Indicateurs de sécurité des soins de santé

Métrique Taux d'adoption Statut
Correction du SPF 93.3% Haut
Application de DMARC (p=rejet) 46.7% Modéré
Pas d'enregistrement DMARC 6.7% Vulnérable
Adoption de MTA-STS 2.2% Négligeable
Adoption du DNSSEC 0% Inexistant
Santé SPF

La menace

Avec 97,8 % des domaines de santé dépourvus de MTA-STS, les données des patients envoyées par e-mail sont vulnérables aux attaques de type « Man-in-the-Middle » (MiTM). Les pirates peuvent intercepter ou modifier les dossiers médicaux en transit, ce qui peut entraîner des usurpations d'identité ou des facturations médicales erronées.

La solution PowerDMARC

  • DMARC hébergé :
    Permet aux hôpitaux de passer à p=reject sans compromettre la livraison des notifications automatisées critiques destinées aux patients.
  • MTA-STS & TLS-RPT :
    Automatise le chiffrement des e-mails en transit, garantissant la conformité avec la loi sur la protection de la vie privée et protégeant les informations médicales personnelles contre toute interception.

2. Banque et finance : lutter contre 1 milliard de dollars de pertes annuelles

Le secteur financier est en tête dans l'adoption du protocole DNSSEC pour prévenir le piratage de sites, mais il est toujours confronté à des problèmes liés aux politiques « passives » DMARC qui ne bloquent pas activement les e-mails frauduleux.

Indicateurs bancaires et financiers

Métrique Taux d'adoption Statut
Correction du SPF 95.3% Haut
Application de DMARC (p=rejet) 51.6% Modéré
Pas d'enregistrement DMARC 4.7% Vulnérable
Adoption de MTA-STS 3.1% Faible
Adoption du DNSSEC 14.1% En tête (relatif)

La menace

Étant donné que près de la moitié du secteur n'applique pas p=reject, les escrocs peuvent envoyer des e-mails qui imitent parfaitement le domaine d'une banque. Ces hameçonnages de « comptes mules » incitent les clients à transférer des fonds vers des comptes contrôlés par des criminels.

La solution PowerDMARC

  • SPF :
    Les institutions financières font souvent appel à plusieurs fournisseurs tiers (marketing, CRM). PowerDMARC empêche les erreurs SPF de recherches DNS », garantissant ainsi que les e-mails sont toujours authentifiés.
  • Renseignements sur les menaces liées à l'IA :
    Cartographie les sources mondiales envoyant des e-mails au nom de la banque, identifiant et bloquant les adresses IP non autorisées en temps réel.

3. Gouvernement : la référence en matière d'application stricte de la loi

Les agences numérisent les services aux citoyens plus rapidement qu'elles ne sécurisent les canaux de communication qui les fournissent.

Indicateurs gouvernementaux

Métrique Taux d'adoption Statut
Correction du SPF 97.7% Excellent
Application de DMARC (p=rejet) 70.5% Fort
Pas d'enregistrement DMARC 1.5% Sécurisé
Adoption de MTA-STS 18.2% Modéré
Adoption du DNSSEC 6.1% Faible

La menace

Malgré une application stricte du protocole DMARC, l'écart de 81,8 % dans le protocole MTA-STS permet aux pirates de réduire le niveau de cryptage des e-mails à du texte clair. Cela expose les communications sensibles entre les citoyens et les agences telles que l'ATO ou Centrelink.

La solution PowerDMARC

  • MTA-STS hébergé et DNSSEC :
    Simplifie le déploiement complexe de ces protocoles dans divers services gouvernementaux, conformément aux     niveaux de maturité ASD Essential Eight .
  • Rapports de conformité :
    Fournit des rapports automatisés aux auditeurs afin de prouver que les canaux de messagerie électronique sont sécurisés conformément aux normes fédérales.
Réservez une démo

4. Télécommunications : exposition élevée des données des abonnés

Les opérateurs télécoms sont les gardiens de l'identité, mais ils affichent actuellement les taux d'application DMARC les plus bas parmi les secteurs critiques, ce qui favorise le SIM swapping et le vol d'identifiants.

Mesures des télécommunications

Métrique Taux d'adoption Statut
Correction du SPF 84.3% Faible
Application de DMARC (p=rejet) 24.1% Risque critique
Pas d'enregistrement DMARC 12.0% Exposition élevée
Adoption de MTA-STS 1.2% Négligeable
Adoption du DNSSEC 10.8% Modéré

La menace

Une entreprise de télécommunications sur huit ne dispose pas d'enregistrement DMARC, ce qui facilite l'envoi de fausses alertes de facturation par les pirates informatiques. Lorsqu'un utilisateur clique sur un lien malveillant, ses identifiants sont volés, ce qui conduit souvent à des échanges de carte SIM qui contournent l'authentification multifactorielle (MFA) pour les comptes bancaires.

La solution PowerDMARC

  • Services DMARC gérés :
    Fournit une feuille de route par étapes pour faire passer les opérateurs télécoms de     p=none à p=reject, bloquant ainsi des millions d'e-mails usurpés à la source.
  • Rapports DMARC Forensic RUF:
    Permet aux opérateurs télécoms d'avoir une visibilité sur les campagnes de phishing spécifiques ciblant leurs abonnés.

5. Transport et logistique : mettre fin à la fraude à la facturation

Avec des volumes élevés de facturation internationale, le secteur des transports est une cible de choix pour les les attaques par compromission des e-mails professionnels (BEC), mais il accuse un retard important en matière d'authentification des e-mails.

Indicateurs de transport et logistique

Métrique Taux d'adoption Statut
Correction du SPF 90.2% Haut
Application de DMARC (p=rejet) 22.0% Risque critique
Pas d'enregistrement DMARC 17.1% Exposition élevée
Adoption de MTA-STS 1.2% Négligeable
Adoption du DNSSEC 4.9% Faible

La menace

Pas moins de 17,1 % des domaines ne disposent pas de DMARC. Cela permet aux pirates informatiques d'usurper l'identité de géants de la logistique (par exemple, Qantas Freight ou Toll) et d'injecter des factures frauduleuses dans la chaîne d'approvisionnement, ce qui entraîne des millions de dollars de fraude électronique.

La solution PowerDMARC

  • SPF automatisée SPF :
    Sécurise les réseaux logistiques complexes qui dépendent de transporteurs tiers, garantissant que tous les courriers légitimes sont livrés tandis que les usurpateurs sont bloqués.
  • BIMI (Indicateurs de marque pour l'identification des messages):
    Ajoute le logo de l'entreprise aux e-mails authentifiés dans la boîte de réception du destinataire, renforçant ainsi la confiance des clients qui paient leurs factures.

6. Médias : défendre la confiance à l'ère de l'information

Le secteur des médias est confronté à une menace unique : l'utilisation de ses domaines comme arme pour diffuser de la désinformation. Si l'adoption du DMARC est satisfaisante, l'absence de cryptage constitue un handicap pour la protection des sources.

Mesures des médias

Métrique Taux d'adoption Statut
Correction du SPF 91.2% Haut
Application de DMARC (p=rejet) 63.2% Fort
Pas d'enregistrement DMARC 5.9% Modéré
Adoption de MTA-STS 0% Inexistant
Adoption du DNSSEC 4.4% Faible
Logo BIMI

La menace

L'absence totale d'adoption du protocole MTA-STS signifie que les communications entre journalistes et sources sont vulnérables aux interceptions orchestrées par les États. De plus, les domaines non sécurisés peuvent être utilisés pour envoyer de faux communiqués de presse susceptibles de provoquer une volatilité des marchés boursiers ou une panique sociale.

La solution PowerDMARC

  • MTA-STS hébergé :
    Sécurise l'« empreinte numérique » du journaliste en garantissant le cryptage de toutes les communications, protégeant ainsi les sources des regards indiscrets.
  • Tableau de bord de niveau entreprise :
    Permet aux conglomérats médiatiques de gérer des centaines de sous-domaines et de rédactions internationales à partir d'un seul et même écran.
Démarrer l'essai de 15 jours

7. Éducation : protéger la propriété intellectuelle et la recherche

Les universités australiennes sont des leaders mondiaux dans le domaine de la recherche, ce qui en fait des cibles privilégiées pour le vol de propriété intellectuelle (PI) via des techniques sophistiquées de collecte d'identifiants.

Indicateurs de performance en matière d'éducation

Métrique Taux d'adoption Statut
Correction du SPF 91.4% Haut
Application de DMARC (p=rejet) 38.3% Modéré
Pas d'enregistrement DMARC 8.6% Modéré
Adoption de MTA-STS 3.7% Faible
Adoption du DNSSEC 6.2% Faible

La menace

Le faible niveau d'application (38,3 %) permet aux pirates de falsifier les e-mails de « réinitialisation du mot de passe informatique ». Lorsque les chercheurs ou les étudiants se connectent à ces faux portails, leurs identifiants sont utilisés pour accéder aux bases de données internes de l'université et voler des secrets commerciaux ou des données de recherche.

La solution PowerDMARC

  • Découverte de domaines :
    Recherche automatiquement tous les domaines « informatiques parallèles » enregistrés par les étudiants ou les enseignants qui pourraient ne pas disposer de contrôles de sécurité.
  • Services gérés :
    Allège la charge technique liée à la maintenance DMARC qui pèse sur les services informatiques universitaires déjà surchargés.

Sous le capot : quatre faiblesses structurelles

Au-delà des risques spécifiques au secteur, l'écosystème australien du courrier électronique est entravé par quatre vulnérabilités systémiques qui facilitent l' 2 milliards de dollars de pertes annuelles liées aux escroqueries.

1. Le « piège de la conformité » de p=none

Alors que 92,3 % des domaines australiens disposent du protocole DMARC, seuls 46,7 % appliquent une politique stricte. Il en résulte un énorme fossé de « simple surveillance » où les organisations peuvent voir les menaces, mais ne peuvent pas les arrêter.

« Une politique p=none revient à installer une caméra de sécurité tout en laissant la porte d'entrée ouverte. Vous pouvez voir les cambrioleurs entrer, mais vous êtes impuissant à les arrêter. Le taux d'adoption en Australie est élevé, mais le travail n'est qu'à moitié fait tant que la politique n'est pas modifiée pour refuser. »

Maitham Al Lawati, PDG, PowerDMARC

« Les grandes entreprises australiennes compromettent souvent leur propre sécurité à mesure qu'elles se développent. L'ajout d'un nouvel outil marketing peut vous faire dépasser la limite de 10 vérifications, ce qui fait que des factures importantes se retrouvent dans les spams. SPF n'est plus un luxe, c'est une exigence pour la stabilité opérationnelle. »

Yunes Tarada, responsable de la prestation de services, PowerDMARC

2. SPF et limite de 10 recherches

92,3 % des domaines australiens affichent SPF correct, mais les grandes entreprises atteignent souvent la « limite de recherche DNS » en raison de la multiplication des piles technologiques tierces (CRM, passerelles de paiement). Cela entraîne des échecs d'authentification aléatoires qui nuisent à la délivrabilité.

3. MTA-STS : la faille dans le cryptage

Avec seulement 5,8 % d'adoption nationale, l'Australie présente un angle mort quasi total en matière de sécurité des transports. Cela permet des « attaques par déclassement », dans lesquelles les criminels forcent les serveurs à abandonner le cryptage et à transmettre des e-mails sensibles en texte clair.

« Le chiffrement opportuniste (STARTTLS) ne suffit pas. Sans MTA-STS, il est facile pour un pirate informatique de contourner la sécurité et de lire les communications d'entreprise en transit. Il s'agit d'un risque majeur pour toute entité soumise à la réglementation SOCI. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

«Le détournement de DNS peut détruire en quelques minutes des décennies de confiance envers une marque. Le protocole DNSSEC est le gardien de l'identité numérique, garantissant à vos clients qu'ils se connectent à la véritable entité et non à un clone criminel. Il s'agit d'un élément fondamental de la gestion de la réputation d'une marque. »

Ahona Rudra, directeur marketing, PowerDMARC

4. DNSSEC : une base fragile

L'adoption du protocole DNSSEC se situe à un maigre 6,8 %. Sans cela, le système de répertoire Internet n'est pas protégé, ce qui permet aux pirates de détourner des flux de domaines entiers et de les rediriger vers des serveurs malveillants.

Contactez-nous

Benchmarking mondial : l'Australie dans son contexte

Si l'Australie affiche un niveau élevé de conformité fondamentale, ses taux d'application des lois sont très différents de ceux de ses homologues internationaux. L'Australie se classe parmi les « leaders passifs », avec une forte visibilité, mais à la traîne en matière de défense active.

Classement mondial : données 2025

PaysSPF CorrectAdoption de DMARCApplication de DMARC (p=rejet)MTA-STS (cryptage)
Australie 🇦🇺92.3%92.3%46.7%5.8%
Suède 🇸🇪85.0%77.9%29.9%2.9%
Japon 🇯🇵95.0%74.6%9.2%0.5%
Norvège 🇳🇴85.2%83.1%29.0%2.8%
Pérou 🇵🇪86.1%66.0%17.9%0.6%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%

Perspectives critiques depuis l'Australie

1. L'avantage australien

L'Australie affiche des taux d'adoption et d'application du DMARC nettement supérieurs à ceux du Japon et de nombreux pays européens, probablement en raison de la promotion agressive du ASD Essential Eight.

2. Le paradoxe de la visibilité

Malgré un taux d'adoption de DMARC de 92,3 %, 53 % des domaines non à p=reject sont toujours largement exposés à l'usurpation d'identité.

3. La crise du chiffrement

Même si l'Australie devance le Japon en matière de MTA-STS, un taux de 5,8 % reste une « porte ouverte » à l'interception, ce qui est nettement inférieur aux exigences de sécurité des économies numériques modernes.

Perspective PowerDMARC

« L'Australie a mis en place une infrastructure technique qui surpasse celle de la plupart des autres pays, mais le « déficit de mise en application » reste une vulnérabilité qui coûte plusieurs milliards de dollars. L'urgence pour 2026 est de passer d'une visibilité passive à une défense active. En convertissant l'adoption massive du DMARC en une application stricte du « p=reject » et en comblant le fossé en matière de cryptage MTA-STS, les organisations australiennes peuvent transformer leurs domaines de messagerie électronique, qui sont actuellement des cibles vulnérables, en canaux de communication sécurisés et fiables, conformes à la stratégie nationale en matière de cybersécurité. »

Conclusion : des indicateurs à l'action

Les données de 2025 confirment que l'Australie a posé les fondations (SPF), mais n'a pas encore terminé les murs (application DMARC) ni le toit (MTA-STS). Pour passer du statut de « leader passif » à celui de « défenseur actif », les organisations doivent :

Automatisez le parcours : Utilisez DMARC hébergé pour passer de p=none à p=reject sans perturber les flux de travail de l'entreprise.

Combler les lacunes en matière d'interception : Mettre en œuvre le protocole MTA-STS hébergé afin de garantir le cryptage de toutes les communications avec les citoyens et les partenaires.

Aplatir SPF: Évitez les erreurs de recherche DNS pour garantir une délivrabilité des e-mails à 100 %. Les services SPF hébergés peuvent vous aider à garantir SPF correcte.

Réserver une démo Contactez nous

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption élevés en Australie prouvent que les organisations reconnaissent la menace ; elles ont simplement besoin du bon partenaire pour passer à l'action. Ne laissez pas votre domaine rester un « tigre de papier » qui observe les attaques sans les empêcher. Passez d'une surveillance passive à une protection active avant que la prochaine violation majeure ne se produise.

Contactez-nous chez PowerDMARC pour commencer votre parcours vers la mise en application.

15 jours d'essaiRéservez une démo