Les établissements bancaires français arrivent en tête du classement national avec un taux de déploiement rigoureux du protocole DMARC de 63,3 %. Cependant, 100,0 % des établissements financiers analysés ne disposent pas d’enregistrements MTA-STS fonctionnels. De plus, 7,6 % de ces organisations, qui sont particulièrement ciblées, ne possèdent aucun enregistrement DMARC, tandis que 8,9 % ont défini la valeur « p=none » et 20,2 % utilisentquarantine ». Seules 12,7 % ont activé le protocole DNSSEC (ce qui signifie que 87,3 % ne l'ont pas activé).
Les domaines officiels de l'État présentent une configuration de base solide, avec 97,2 % SPF corrects et un taux d'activation du protocole DNSSEC de 16,9 %. Cependant, la mise en œuvre effective des politiques est lente : seuls 26,8 % sont passés au niveau p=reject, tandis que 32,4 % restent au niveau p=none, 22,5 % utilisentquarantine et 17,6 % ne disposent pas du tout du protocole DMARC. Seuls 0,7 % ont adopté le protocole MTA-STS.
Le secteur de la santé est de loin le leader national en matière d'adoption du protocole DNSSEC, avec un taux d'activation de 32,4 %. Cependant, ce secteur est fortement exposé à l'usurpation d'identité : 40,2 % des prestataires de soins de santé restent en mode passif (p=none), 25,5 % enquarantine, 12,7 % ne disposent d'aucun DMARC et seuls 17,7 % sont en mode rejet (p=reject). Seuls 3,9 % disposent d'une implémentation MTA-STS valide.
Les réseaux universitaires sont ceux qui recourent le plus à la surveillance passive à l'échelle nationale, 52,4 % des établissements restant bloqués au niveau « p=none ». À cela s'ajoute le fait que seuls 11,1 % appliquent une politique stricte de « p=reject » et que 13,7 % ne disposent d'aucune configuration DMARC ; les bases de données de recherche universitaire, la propriété intellectuelle et l'identité des étudiants restent donc fortement exposées. Seuls 9,5 % ont activé le protocole DNSSEC et 1,1 % utilisent le protocole MTA-STS.
Les infrastructures critiques affichent des résultats de référence solides, avec SPF de 97,0 % et un taux d'application de la règle « p=reject » de 34,2 %. Cependant, avec 27,4 % des systèmes conservant des politiques passives « p=none », 12,2 % ne disposant d'aucune configuration DMARC et 96,3 % ne bénéficiant d'aucun chiffrement MTA-STS (seuls 3,7 % sont valides), les réseaux électriques et les communications logistiques restent vulnérables à l'interception en transit. Le taux d'adoption du protocole DNSSEC s'élève à 27,4 %.
Alors que les rédactions sont en tête du classement national en matière de déploiement du protocole MTA-STS (5,6 % de messages valides), leur niveau global de protection de l’identité reste faible. Avec 38,3 % des médias utilisant le paramètre passif « p=none », 20,4 % le paramètrequarantine et 14,8 % ne disposant d’aucune protection DMARC, les acteurs malveillants peuvent facilement usurper l’identité de médias de confiance. Seuls 14,2 % ont activé le protocole DNSSEC et 26,5 % appliquent le paramètre « p=reject ».
Les opérateurs de télécommunications français affichent les plus mauvais résultats du secteur en matière de configurations de base, avec un taux d’erreur de 11,1 % sur SPF et un faible taux d’adoption du protocole DNSSEC de 8,9 %. De plus, un recours massif à la surveillance passive « p=none » (40,0 %), àquarantine(28,9 %) et une adoption très limitée du protocole MTA-STS (2,2 %) font des domaines des principaux opérateurs des cibles faciles pour les escroqueries axées sur les abonnements. Seuls 22,2 % appliquent activement le paramètre « p=reject ».
Les prestataires logistiques affichent une mise en œuvre active solide, avec un taux de rejet de 37,9 %. Cependant, 31,1 % d'entre eux en restent au stade de la simple surveillance, 11,7 % ne disposent pas du protocole DMARC et 97,2 % ne bénéficient pas du chiffrement de la couche de transport MTA-STS (seuls 2,8 % sont conformes). Le taux d'adoption du protocole DNSSEC s'élève à 18,6 %, ce qui laisse les canaux de transit exposés aux interceptions.