DMARC pour les agences gouvernementales et du secteur public

En tant que citoyens, lorsque nous recevons un courriel du gouvernement de l'État, notre premier réflexe est d'agir. Qu'il s'agisse d'avertissements en cas de catastrophe, d'avis d'imposition ou de confirmations de rendez-vous médicaux, ce ne sont là que quelques exemples de notifications émanant du gouvernement qui attirent notre attention. Imaginez maintenant une campagne d'hameçonnage qui usurpe ces messages. Elle peut provoquer une panique et un chaos à l'échelle nationale ! C'est exactement ce que le DMARC (Domain-based Message Authentication, Reporting & Conformance) a été conçu pour éviter cela.

Ce guide explique aux organismes du secteur public pourquoi la sécurité du courrier électronique est importante et quels sont les risques potentiels d'une faible adoption de DMARC par les organismes publics. 

Pourquoi la sécurité des courriels est essentielle pour les domaines du secteur public

Contrairement aux entreprises privées, les gouvernements :

• Posséder des "domaines de confiance universels". Les citoyens peuvent choisir d'ignorer un courriel de commerce électronique suspect, mais ils n'ignoreront généralement pas un message provenant d'un domaine gouvernemental.
• Opérer à grande échelle. Une alerte sanitaire ou un avertissement fiscal falsifié peut avoir un impact sur des millions de personnes en une seule journée.
• Porter un poids géopolitique. Les messages gouvernementaux usurpés peuvent être utilisés par les attaquants pour diffuser des informations erronées ou même pour simuler de fausses instructions en cas de crise.
• Impact sur les services essentiels. Dans les domaines de la santé, de la fiscalité, de la défense, de l'immigration ou des interventions en cas de catastrophe, un seul courriel malveillant peut perturber la stabilité nationale.

Les adresses électroniques gouvernementales ont du poids. Les citoyens, les entreprises et les autres organismes publics considèrent que les messages provenant de .gov, .gov.uk, .eu ou de domaines similaires font autorité. Cela en fait des cibles de grande valeur pour les attaquants qui se font passer pour des expéditeurs officiels :

• Voler les données sensibles des citoyens 
• Tromper les employés pour qu'ils transfèrent des fonds ou révèlent des informations d'identification.
• Diffuser des informations erronées qui nuisent à la sécurité publique ou entraînent une perte de confiance.

Un seul message usurpé réussi peut déclencher une réaction en chaîne, comme la confusion en cas d'urgence, l'usurpation d'identité, la fraude et l'atteinte à la réputation. DMARC, utilisé avec SPF et DKIMpermet aux destinataires de vérifier si un courriel prétendant provenir d'une adresse officielle émane effectivement d'un expéditeur autorisé et indique aux serveurs de messagerie destinataires comment traiter les messages qui échouent aux vérifications. Cela réduit l'impact des attaques par usurpation d'identité.

Risques d'une mauvaise adoption de DMARC dans les administrations publiques

Lorsque les institutions gouvernementales n'ont pas de politique DMARC ou configurent mal DMARC, les conséquences peuvent être les suivantes :

• Hameçonnage et fraude : Les attaquants peuvent convaincre les destinataires qu'un courriel malveillant est légitime, ce qui augmente le nombre de clics et le vol de données d'identification.
• Perturbation des opérations : Les courriels frauduleux peuvent déclencher des services d'urgence, des interruptions de paiement d'impôts ou de prestations sociales et des demandes de services d'assistance en grand nombre.
• Perte de confiance des citoyens : L'usurpation répétée fait que les citoyens commencent peu à peu à perdre confiance dans les communications officielles, ce qui a un effet coûteux à long terme.
• Impacts réglementaires : De nombreux domaines du secteur public sont désormais tenus par l'État d'adopter des politiques de sécurisation du courrier électronique. Si l'on n'applique pas appliquer DMARC peut conduire à la non-conformité.
• Désinformation armée : Les attaquants falsifient les alertes gouvernementales lors de catastrophes naturelles, de pandémies ou d'élections, créant ainsi un chaos qui se propage rapidement.
• Retombées économiques : Les fausses demandes d'impôts ou les factures gouvernementales frauduleuses peuvent causer des dommages financiers dans tous les secteurs d'activité.
• Risques internationaux : De nombreuses agences gouvernementales interagissent au niveau international. Un domaine gouvernemental compromis peut éroder la confiance dans les relations étrangères ou le commerce mondial.

Exigences et recommandations du gouvernement en matière de DMARC

Différents pays ont émis des mandats différents ou des directives strictes pour l'authentification du courrier électronique dans le secteur public. Voici quelques exemples notables : 

• États-Unis : Directive opérationnelle contraignante du DHS (BOD) 18-01 a demandé aux agences fédérales civiles de mettre en œuvre SPF, DKIM et DMARC et d'utiliser des rapports agrégés.
  
• Royaume-Uni : Le gouvernement britannique a fait œuvre de pionnier en 2016 en imposant une politique DMARC p=reject dans tous ses domaines afin d'endiguer les menaces d'usurpation d'identité. Cependant, avec le NCSC ayant mis fin aux rapports agrégés Mail Check en mars 2025, les agences ont perdu une couche critique de visibilité sur l'activité d'authentification des courriels, ce qui augmente le risque d'erreurs de configuration ou de problèmes de délivrabilité non détectés.
  
• Allemagne: Depuis juin 2018, l'Allemagne a pris mesures proactives pour limiter la propagation des logiciels malveillants et du spam, en exhortant les fournisseurs de services Internet à adopter SPF, DKIM et DMARC, les normes fondamentales d'authentification des courriels conçues pour vérifier la légitimité de l'expéditeur et améliorer la confiance dans la communication numérique.
• Nouvelle-Zélande: Dans le cadre du programme Secure Government Email (SGE) Framework, tous les domaines gouvernementaux pouvant envoyer des courriels doivent adopter une politique DMARC de p=reject, mettre en œuvre SPF avec hard-fail (-all), et assurer la signature DKIM sur tous les courriels sortants.
• Les Pays-Bas: Les Néerlandais Forum Standaardisatie (Forum de normalisation) a intégré le DMARC dans les "normes ouvertes" et l'a inclus dans la liste "Pas toe of leg uit" ("se conformer ou expliquer"). Selon la "Déclaration d'ambition commune" et les accords connexes, toutes les organisations gouvernementales des Pays-Bas devaient mettre en œuvre les normes anti-phishingSPF, DKIM, DMARC) et les normes de sécurité du courrier électronique (comme STARTTLS et DANE) d'ici la fin de l'année 2019.

En outre, plusieurs secteurs, dont la finance et les soins de santé, font de plus en plus souvent référence à DMARC ou à l'authentification du courrier électronique en tant que sécurité de base. 

Comment configurer DMARC pour les domaines du gouvernement et du secteur public ? 

Vous trouverez ci-dessous une approche simple, étape par étape, de la mise en œuvre de DMARC pour un domaine gouvernemental. Vous pouvez remplacer les noms de domaine et les adresses par d'autres, le cas échéant.

1. Inventaire : cartographier chaque expéditeur

• Dressez un inventaire de tous les services, y compris les fournisseurs de services en nuage et les expéditeurs tiers qui utilisent votre domaine ou vos sous-domaines.
• Notez les adresses IP et les sources de signature DKIM.

2. Assurer la ligne de base SPF et DKIM

• Publier un enregistrement SPF précis qui ne répertorie que les IP/services d'envoi autorisés et évite les inclusions excessives.
• Assurez-vous que la signature DKIM est activée pour les courriels sortants ; publiez les clés publiques DKIM (DNS TXT) et effectuez une rotation périodique des clés pour renforcer la sécurité.
• Testez SPF pour chaque source à l'aide de notre vérificateurSPF et notre vérificateur DKIM outils.

3. Publier un enregistrement DMARC contrôlé

Commencez par la surveillance afin de pouvoir collecter des rapports en toute sécurité :

Nom : _dmarc.example.gov

Type : TXT

Valeur : "v=DMARC1 ; p=none ; rua=mailto:[email protected] ; ruf=mailto:[email protected] ; pct=100 ; adkim=s ; aspf=s ; fo=1"

• p=none collecte les rapports sans affecter la livraison.
• Utilisez rua pour les rapports XML agrégés et ruf pour les informations sur les défaillances (vérifiez d'abord les politiques juridiques).
• Utiliser adkim=s et aspf=s pour un alignement strict dans des environnements sensibles (facultatif au début).

4. Collecter et analyser les rapports

• Centraliser les rapports agrégés (rua) dans un tableau de bord géré par l'analyse des rapports, comme notre analyseur de rapports DMARC. Les rapports indiquent les adresses IP qui envoient du courrier, les taux de réussite/échec et les échecs d'alignement.
• Classer les expéditeurs légitimes par rapport aux sources non autorisées et mettre à jour les inclusions SPF en conséquence. Pour les problèmes liés au courrier transféré, il convient de s'appuyer sur DKIM, d'autoriser les serveurs de transfert ou de configurer ARC de manière à préserver les en-têtes d'authentification.

5. Passer progressivement à l'application de la législation

• Passer à quarantine pour un sous-ensemble de domaines.
• Contrôler les taux de rebond et de plaintes ainsi que la délivrabilité.
• Une fois que l'on est sûr de soi, on passe à p=rejeter à pct=100. Maintenir une surveillance stricte après l'application de la loi.

Exemple :

Enregistrement initial : v=DMARC1 ; quarantine; pct=50 ; rua=mailto:[email protected] ; adkim=s ; aspf=s

Enregistrement mis à jour : v=DMARC1 ; p=reject ; pct=100 ; rua=mailto:[email protected] ; adkim=s ; aspf=s

Défis courants et comment les éviter

1. Croire que p=none protège contre l'usurpation d'identité: Le mode de surveillance (p=none) ne fait que collecter des données et n'empêche pas l'usurpation d'identité. Vous devez planifier un chemin clair et un calendrier pour quarantine et p=reject.
   
2. Inventaire obsolète : Les expéditeurs tiers non documentés provoquent des échecs lorsque vous appliquez des politiques. Pour remédier à ce problème, assurez-vous que vos expéditeurs tiers sont autorisés dans votre enregistrement SPF et mettez l'enregistrement à jour chaque fois que vous ajoutez un nouvel expéditeur.
   
3. Enregistrements SPF multiples : La publication de plusieurs enregistrements DMARC ou SPF pour un domaine interrompt l'authentification. Veillez toujours à ce qu'il y ait exactement un enregistrement par domaine d'envoi.
   
4. Longs enregistrements SPF / consultations DNS dépassées : SPF a des limites de consultation (10 mécanismes qui causent une consultation DNS). Pour ne pas dépasser cette limite, vous pouvez utiliser notre outil d'aplatissementSPF ou MacrosSPF optimisation.
   
5. La réexpédition ne respecte pas le SPF: La redirection du courrier peut faire échouer SPF , même pour les courriels légitimes. Il est préférable de s'appuyer sur DKIM dans la mesure du possible et d'utiliser ARC pour préserver les en-têtes d'authentification d'origine.
   
6. Rapports médico-légaux et préoccupations en matière de protection de la vie privée et de droit : Dans certains cas, les rapports d'expertise peuvent contenir des données sensibles et des courriels. Nous vous recommandons de consulter votre équipe juridique avant d'activer ruf et d'utiliser des services qui offrent le cryptage des rapports d'expertise comme PowerDMARC.
   
7. Mauvaise interprétation des rapports agrégés : Les rapports agrégés en XML ne sont pas conviviaux et peuvent être complexes pour des lecteurs non techniques. Il est beaucoup plus pratique d'utiliser des analyseurs automatiques ou un tableau de bord tableau de bord DMARC pour traduire les rapports dans un format lisible par l'homme.

Comment PowerDMARC aide les agences du secteur public

Les agences gouvernementales préfèrent souvent travailler avec un partenaire de confiance pour accélérer le déploiement de DMARC tout en respectant les contraintes de conformité. PowerDMARC offre les fonctionnalités suivantes, adaptées au secteur public :

• Analyse automatisée des rapports : Vos rapports sont automatiquement analysés et présentés dans des tableaux de bord colorés et faciles à consulter, avec des filtres clairs.
  
• Déploiement deSPF et DKIM : Nous proposons des outils et des services hébergés pour simplifier et optimiser les enregistrements SPF et gérer la rotation des clés DKIM.
  
• Alerte et assistance réactive : Notre plateforme émet des alertes en temps réel en cas de pic d'usurpation d'identité, de nouveaux expéditeurs non autorisés ou de problèmes de livraison, et une équipe d'assistance est là pour vous aider à y remédier rapidement.
  
• Contrôles de conformité instantanés: Vous pouvez effectuer une analyse rapide de la santé du domaine et des contrôles de conformité pour une surveillance instantanée des progrès globaux en matière de sécurité de la messagerie électronique.

PowerDMARC est également un fournisseur certifié SOC2 Type 2, SOC3, ISO 27001 et conforme au GDPR. 

En conclusion

Pour les agences gouvernementales, DMARC est plus qu'une simple action. Il doit faire l'objet d'une gouvernance et d'une surveillance permanentes. Le résultat est une diminution des attaques de phishing usurpant l'identité des canaux officiels, une réduction de la charge de travail du service d'assistance, une plus grande confiance des citoyens et un renforcement de la position de conformité.

Si votre agence a besoin d'aide, que ce soit pour analyser des dizaines de milliers de rapports agrégés, découvrir des expéditeurs inconnus ou contacter les autorités compétentes en toute sécurité, contactez PowerDMARC dès aujourd'hui !

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• CNAME vs A Record : Quel enregistrement DNS utiliser ? - 18 novembre 2025
• Étude de cas DMARC MSP : Comment PowerDMARC sécurise les domaines des clients d'Amalfi Technology Consulting contre l'usurpation d'identité - 17 novembre 2025
• Test de délivrabilité des courriels : Qu'est-ce que c'est et comment l'utiliser ? - 17 novembre 2025