Rapport sur l'adoption des normes DMARC et MTA-STS en France – 2026

Les organisations françaises sont confrontées à un environnement de cybermenaces en constante évolution. Si les équipes informatiques internes excellent dans la configuration des paramètres de base, une réticence générale à appliquer des politiques de sécurité strictes expose fortement les canaux de communication.

Cette vulnérabilité a été mise en lumière à la suite d’une mise à jour majeure de la politique de La Poste (laposte.net), le fournisseur national de messagerie électronique en France. La plateforme exige désormais strictement la conformité SPF, DKIM et DMARC pour tous les expéditeurs entrants. Pour les entreprises françaises, cela signifie qu’il n’est plus possible de négliger la sécurité des e-mails : tout message envoyé sans authentification appropriée est automatiquement redirigé vers le dossier des spams ou bloqué purement et simplement.

Vous trouverez tous les détails concernant les directives de conformité dans ce guide consacré à exigences de La Poste en matière d’authentification des e-mails.

En bref : principales conclusions pour l'ensemble de la France

Sur la base des données de référence exhaustives recueillies concernant l'écosystème numérique français, l'état des lieux national en matière de sécurité des e-mails fait apparaître les tendances suivantes :

SPF

SPF: 95,6 % de réussite. Un alignement technique quasi universel existe à l'échelle nationale, ne laissant qu'une infime fraction de domaines mal configurés (4,4 % incorrects).

DMARC : Alors que 87,0 % des domaines ont mis en place une forme ou une autre d’enregistrement DMARC, seuls 28,3 % appliquent activement une politique stricte de « rejet ». Le reste du paysage reste dangereusement exposé, se trouvant sous un enregistrement de type « p=none » destiné uniquement à la surveillance p=none (35,3 %), une protection légère quarantine (22,2 %), paramètres mal configurés (1,2 % incorrects) ou l'absence totale de protection DMARC (13,0 % : aucun enregistrement).

MTA-STS : Un énorme angle mort à l'échelle nationale, avec un un taux de non-adoption de 97,4 %, ce qui rend le trafic de messagerie électronique au niveau de la couche de transport extrêmement vulnérable à l'interception sur l'ensemble du territoire.

DNSSEC: Seuls 17,9 % sont activés, ce qui laisse un nombre stupéfiant de 82,1 % des domaines vulnérables au détournement de domaine, à la redirection malveillante du trafic et à l’empoisonnement du cache.

Analyse sectorielle

1. Secteur bancaire : une approche de pointe en matière d'application de la réglementation malgré des lacunes en matière de transport

En tant que cibles privilégiées de la fraude financière, les établissements bancaires français sont les plus rigoureux du pays en matière de déploiement du protocole DMARC, même si d’importantes vulnérabilités au niveau de la couche de transport subsistent.

Métrique Statut 
SPF 100,0 % de bonnes réponses (0,0 % de mauvaises réponses)
Rejet DMARC 63,3 % (en tête au niveau national)
Politiques DMARC 20,2 % dans la catégorie «quarantine, 8,9 % dans la catégorie « aucune »
Écart DMARC 7,6 % n'ont pas d'antécédents judiciaires
MTA-STS 0,0 % de données valides (100,0 % de données manquantes)
DNSSEC 12,7 % activé (87,3 % désactivé)
Secteur bancaire - Adoption du protocole DMARC --- France

Exposition à une vulnérabilité

Alors que le secteur bancaire affiche un taux de rejet actif impressionnant de 63,3 %, près d'un dixième de ce secteur s'appuie uniquement sur des paramètres de surveillance (p = aucun à 8,9 %) ou ne dispose d’aucun enregistrement DMARC (7,6 %). De plus, 100,0 % des établissements financiers n’ayant pas déployé MTA-STS, les attaquants peuvent intercepter les reçus de transaction et les rapports financiers à l’aide d’attaques par rétrogradation de la couche de transport.

La stratégie PowerDMARC

Notre solution d’automatisation MTA-STS hébergée force l'ensemble du trafic de messagerie à transiter par des canaux chiffrés TLS 1.2+, éliminant ainsi le risque d'attaques par interception et garantissant la confidentialité des communications bancaires sensibles.

2. Santé : forte exposition et dossiers manquants

Confronté à une surveillance réglementaire stricte, le secteur français de la santé est en tête du classement national en matière d'intégrité des annuaires, mais son principal canal de communication reste vulnérable à l'usurpation d'identité.

Métrique Statut 
SPF 97,1 % de réponses correctes (2,9 % d'erreurs)
Rejet DMARC 17.7%
Politiques DMARC 25,5 % dans la catégorie «quarantine, 40,2 % dans la catégorie « aucune »
Écart DMARC 12,7 % n'ont pas du tout de DMARC, 3,9 % ont une configuration incorrecte
MTA-STS 3,9 % de données valides (96,1 % de données manquantes)
DNSSEC 32,4 % activés (leader du secteur)
Santé - SPF - Mise en place ---SPF

Exposition à une vulnérabilité

Les domaines du secteur de la santé sont en tête au niveau national en matière d’adoption du protocole DNSSEC (32,4 %). Cependant, ce secteur reste très vulnérable à l’usurpation de domaine, 40,2 % des domaines étant configurés de manière passive avec p=none et 12,7 % n’étant absolument pas protégés. Les pirates peuvent exploiter cette vulnérabilité pour falsifier des e-mails administratifs d’hôpitaux ou diffuser des ransomwares.

La stratégie PowerDMARC

Nous aidons les professionnels de santé à passer d’une simple surveillance à une approche active et rigoureuse p=rejet sans pour autant bloquer les communications légitimes liées aux soins des patients.

3. Gouvernement : des bases solides, mais un contrôle insuffisant

Les domaines officiels de l'État présentent une excellente configuration de base, mais l'absence d'une politique de mise en application stricte laisse la porte ouverte à l'usurpation d'identité.

Métrique Statut 
SPF 97,2 % de réponses correctes (2,8 % d'erreurs)
Rejet DMARC 26.8%
Politiques DMARC 22,5 % dans la catégorie «quarantine, 32,4 % dans la catégorie « aucune », 0,7 % de réponses incorrectes
Écart DMARC 17,6 % ne disposent absolument pas de DMARC
MTA-STS Taux d'adoption de 0,7 % (99,3 % sans données)
DNSSEC 16,9 % activés (83,1 % désactivés)

Exposition à une vulnérabilité

Près d'un cinquième des domaines domaines du secteur public français (17,6 %) ne disposent d’aucun enregistrement DMARC, et 32,4 % supplémentaires restent en mode « surveillance uniquement ». Cette absence de mesures coercitives permet aux cybercriminels d’usurper des identités publiques, facilitant ainsi la fraude fiscale, la collecte d’identifiants ou les opérations de hameçonnage à l’encontre du public.

La stratégie PowerDMARC

Notre architecture multi-locataires permet aux services informatiques de l'administration centrale de gérer, de surveiller et d'appliquer le protocole DMARC sur l'ensemble d'un vaste réseau de sous-domaines à partir d'un tableau de bord unique.

4. Formation : suivi rigoureux, niveau de défense effectif faible

Les réseaux universitaires gèrent d'énormes volumes de données sur les étudiants et de propriété intellectuelle issue de la recherche, mais semblent nettement privilégier la surveillance des menaces plutôt que leur prévention.

Métrique Statut 
SPF 92,1 % de réponses correctes (7,9 % d'erreurs)
Rejet DMARC 11.1%
Politiques DMARC 21,2 % dans la catégorie «quarantine, 52,4 % dans la catégorie « aucune », 1,6 % de réponses incorrectes
Écart DMARC 13,7 % ne disposent absolument pas de DMARC
MTA-STS Taux d'adoption de 1,1 % (98,9 % sans données)
DNSSEC 9,5 % activé (90,5 % désactivé)

Exposition à une vulnérabilité

Le secteur de l'éducation en France est celui qui recourt le plus au suivi passif (p = aucune avec 52,4 %). Cela signifie que plus de la moitié du paysage universitaire n'est pas protégée contre l'usurpation directe de domaine, ce qui permet à des acteurs malveillants d'utiliser de faux domaines universitaires pour mener des campagnes de hameçonnage et des escroqueries financières.

La stratégie PowerDMARC

Les réseaux universitaires dépassent souvent la limite de 10 requêtes DNS en raison de la diversité des applications cloud. PowerSPF condense les enregistrements de manière dynamique, garantissant ainsi que toutes les communications universitaires authentiques soient transmises de manière fiable sans déclencher d'erreurs SPF .

5. Énergie : des infrastructures essentielles exposées à des risques

Les infrastructures énergétiques critiques françaises présentent des configurations de base sécurisées, mais restent vulnérables aux interceptions au niveau de la couche de transport et aux abus de domaine.

Métrique Statut 
SPF 97,0 % de réponses correctes (3,0 % d'erreurs)
Rejet DMARC 34.2%
Politiques DMARC 25,0 % dans la catégorie «quarantine, 27,4 % dans la catégorie « aucune », 1,2 % de réponses incorrectes
Écart DMARC 12,2 % ne disposent absolument pas de DMARC
MTA-STS 3,7 % de réponses valides (96,3 % sans donnée)
DNSSEC 27,4 % activé (72,6 % désactivé)
Énergie - SPF - Adoption ---SPF

Exposition à une vulnérabilité

Alors que le secteur de l'énergie a enregistré une baisse respectable de 34,2 % p=rejet , plus d’un quart (27,4 %) des domaines restent à p=aucun. Cette vulnérabilité, combinée à l’absence de MTA-STS dans 96,3 % des cas, expose les fournisseurs d’énergie et les opérateurs de réseau aux campagnes de spear-phishing et aux attaques de type « Business Email Compromise » (BEC).

La stratégie PowerDMARC

Nous combinons l'application de la norme DMARC avec les protocoles MTA-STS hébergés, ce qui permet de valider les adresses d'expéditeur tout en garantissant que les messages entrants restent chiffrés de bout en bout.

6. Médias : grande visibilité dans les configurations passives

Les rédactions et les réseaux médiatiques jouissent d'un haut niveau de confiance auprès du public, mais leur infrastructure d'authentification reste vulnérable.

Métrique Statut 
SPF 96,9 % de réponses correctes (3,1 % d'erreurs)
Rejet DMARC 26.5%
Politiques DMARC 20,4 % ont choisi «quarantine, 38,3 % ont choisi « aucune »
Écart DMARC 14,8 % ne disposent absolument pas de DMARC
MTA-STS 5,6 % de votes valides (leader du secteur)
DNSSEC 14,2 % activé (85,8 % désactivé)
Adoption de Media-DMARC --- France

Exposition à une vulnérabilité

Avec 38,3 % des domaines médiatiques recourant à une surveillance passive et 14,8 % supplémentaires ne bénéficiant d’aucune protection DMARC, les pirates peuvent facilement usurper des noms de domaine d’actualités officiels. Il leur est ainsi aisé de diffuser de la désinformation, de coordonner des attaques de spear-phishing ou de détourner des identifiants rédactionnels.

La stratégie PowerDMARC

Nous aidons les médias à mettre en place les indicateurs de marque pour l'identification des messages (BIMI), en plaçant des logos d'entreprise vérifiés directement dans les boîtes de réception des utilisateurs afin de fournir une preuve visuelle claire de l'authenticité de l'expéditeur.

7. Télécommunications : la vulnérabilité liée à la politique « Aucune »

Les opérateurs de télécommunications français assurent le bon fonctionnement de réseaux extrêmement complexes, mais sont confrontés à des problèmes liés à des erreurs de configuration des protocoles et à l'absence d'application rigoureuse des politiques.

Métrique Statut 
SPF 88,9 % de réponses correctes (11,1 % d'erreurs – le taux le plus bas du secteur)
Rejet DMARC 22.2%
Politiques DMARC 28,9 % dans la catégorie «quarantine, 40,0 % dans la catégorie « aucune », 2,2 % de réponses incorrectes
Écart DMARC 6,7 % n'utilisent pas du tout DMARC
MTA-STS Taux d'adoption de 2,2 % (97,8 % sans données)
DNSSEC 8,9 % activés (faible pour le secteur)
Logo BIMI

Exposition à une vulnérabilité

Les opérateurs de télécommunications affichent le taux le plus élevé de SPF incorrectes du pays (11,1 %), ainsi qu’un recours à la surveillance passive de 40,0 % (p = aucune). Les pirates peuvent facilement exploiter ces canaux mal configurés pour mener des campagnes d’hameçonnage et de fraude par SMS en se faisant passer pour de grands opérateurs.

La stratégie PowerDMARC

Nous simplifions le passage à un politique de « rejet » sur les grands réseaux d’opérateurs, empêchant ainsi les acteurs malveillants d’abuser des marques de télécommunications pour cibler les abonnés.

8. Transports : application stricte de la réglementation, mais faible niveau de chiffrement

Les prestataires logistiques s'appuient sur des communications rapides et automatisées, ce qui se traduit par un taux élevé de blocage actif, mais aussi par un manque de canaux de transmission sécurisés.

Métrique Statut 
SPF 94,5 % de réponses correctes (5,5 % d'erreurs)
Rejet DMARC 37.9%
Politiques DMARC 18,6 % dans la catégorie «quarantine, 31,1 % dans la catégorie « aucune », 0,7 % d'erreurs
Écart DMARC 11,7 % ne disposent absolument pas de DMARC
MTA-STS 2,8 % de données valides (97,2 % sans donnée)
DNSSEC 18,6 % activé (81,4 % désactivé)

Exposition à une vulnérabilité

Alors que le secteur des transports affiche un solide 37,9 % p=rejet , un pourcentage notable de 31,1 % reste encore en mode « surveillance uniquement ». Conjugué à une absence de MTA-STS dans 97,2 % des cas, cela permet aux acteurs malveillants de cibler les réseaux logistiques pour intercepter des manifestes, réacheminer des livraisons ou modifier des instructions de paiement.

La stratégie PowerDMARC

Nous sécurisons les canaux logistiques B2B en vérifiant les bons de livraison entrants et les relevés de facturation automatisés avant qu'ils n'arrivent dans les boîtes de réception des clients.

Sous le capot : quatre faiblesses structurelles

1. Le sophisme de la surveillance passive : le recours excessif à p = none

L'une des principales vulnérabilités de l'empreinte numérique française réside dans le recours excessif à des configurations DMARC passives, avec 35,3 % des domaines à l’échelle nationale restant à p=none. Bien que cette politique permette de collecter des données de diagnostic et de suivre les flux de messagerie, elle n’offre aucune protection active contre l’usurpation de domaine.

L'avis d'un expert :

« La publication d’un enregistrement DMARC sans politique d’application revient à installer des caméras de sécurité tout en laissant la porte d’entrée ouverte. Une politique de surveillance vous aide à identifier les menaces, mais seul le passage à une politique stricte de « rejet » empêchera réellement les cybercriminels d’exploiter votre marque. »

Maitham Al Lawati, PDG, PowerDMARC

L'avis d'un expert :

« Dans les écosystèmes SaaS modernes, il est extrêmement facile d’atteindre la limite SPF sans s’en rendre compte. En tirant parti de la «SPF » est essentiel pour condenser les enregistrements de manière programmatique, éliminer les erreurs de configuration et préserver la délivrabilité. »

Yunes Tarada, gestionnaire de la prestation de services, PowerDMARC

2. Goulots d'étranglement SPF et échecs de transmission

À mesure que les entreprises françaises développent leurs outils numériques en intégrant des solutions SaaS tierces, des CRM et des passerelles de paiement, leurs SPF dépassent rapidement la limite recommandée de 10 requêtes DNS. Le franchissement de ce seuil invalide le protocole, ce qui empêche les e-mails sortants légitimes de passer l'authentification et les fait basculer directement dans le dossier spam.

3. MTA-STS : la faille de sécurité liée au transport non chiffré

Avec 97,4 % des domaines français ne disposant pas de protocoles MTA-STS , la grande majorité du trafic de messagerie entrant repose sur un chiffrement opportuniste. Cette vulnérabilité permet aux attaquants de mener des attaques de type « Man-in-the-Middle » (MiTM) visant à réduire le niveau de sécurité, en supprimant les couches de chiffrement afin de lire les communications d'entreprise en clair.

L'avis d'un expert :

« Le recours au chiffrement opportuniste rend votre canal de transit vulnérable. En l’absence d’application du protocole MTA-STS, un pirate informatique peut facilement détourner le routage des e-mails vers des canaux non chiffrés. L’imposition de canaux de transport sécurisés est une mesure incontournable pour garantir la confidentialité des données. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

L'avis d'un expert :

« Si un adversaire parvient à détourner votre DNS, toute votre structure de défense s'effondre. Le protocole DNSSEC offre la garantie cryptographique nécessaire pour prouver que le trafic est bien acheminé vers vos serveurs authentiques, et non vers un faux serveur malveillant. »

Ahona Rudra, responsable marketing, PowerDMARC

4. DNSSEC : l'infrastructure centrale reste vulnérable

Seulement 17,9 % des domaines en France ont activé le protocole DNSSEC, ce qui laisse 82,1 % du paysage numérique exposés à l’ l'empoisonnement du cache DNS et aux redirections malveillantes. En l’absence de vérification cryptographique au niveau des serveurs de noms de domaine, les attaquants peuvent détourner le trafic Web ou usurper l’identité de serveurs de messagerie dès la phase fondamentale de routage.

Analyse comparative mondiale : la France dans son contexte

La France fait preuve d'une grande rigueur technique en matière de configuration des enregistrements de base (tels que SPF), mais se trouve actuellement dans une phase de transition en ce qui concerne la protection et l'application des mesures de transport actif.

Classement mondial : données comparatives pour 2026

Pays SPF Correct Rejet DMARC MTA-STS DNSSEC
France 95.6% 28.3% 2.6% 17.9%
Espagne 97.0% 18.0% 0.8% 10.4%
Italie 91.0% 16.7% 1.0% 3.5%
Pologne 98.9% 21.2% 0.9% 15.7%
Pays-Bas 70.0% 23.2% 0.9% 37.7%
Brésil 92.1% 20.7% 0.7% 21.9%
Équateur 96.1% 24.9% 1.4% 4.8%
ÉTATS-UNIS 95.7% 49.0% 1.7% 18.0%
ROYAUME-UNI 93.7% 44.1% 20.6% 3.8%

La France sous les feux de la rampe mondiale : analyse 2026

1
Leader en matière d'exécution des décisions en Europe du Sud et en Europe centrale

La posture de défense active de la France (28,3 % de refus) devance ses homologues régionaux tels que la Pologne (21,2 %), l’Espagne (18,0 %) et l’Italie (16,7 %). Cependant, un écart important subsiste par rapport à des régions où cette attitude est très répandue, comme les États-Unis (49,0 %) et le Royaume-Uni (44,1 %), où des politiques strictes font partie des pratiques courantes des entreprises.

2
Un départ prometteur pour le projet MTA-STS

Bien que 2,6 % le taux d’adoption du MTA-STS est faible à l’échelle mondiale, il dépasse largement celui de ses voisins européens comme la Pologne (0,9 %), l’Espagne (0,8 %) et l’Italie (1,0 %). Si la France affiche des progrès précoces, elle reste loin derrière le Royaume-Uni, qui affiche un taux impressionnant de de 20,6 % du Royaume-Uni.

3
Résilience du protocole DNSSEC

Taux d'adoption du protocole DNSSEC en France (17,9 %) est comparable à celui des États-Unis (18,0 %) et dépasse celui de pays voisins tels que la Pologne (15,7 %), l'Espagne (10,4 %) et l'Italie (3,5 %). Il reste toutefois du chemin à parcourir pour atteindre les normes de sécurité élevées des Pays-Bas (37,7 %).

Le point de vue de PowerDMARC

« La France a accompli le plus gros du travail en mettant en place une infrastructure technique tout à fait remarquable, notamment grâce à SPF grande SPF son SPF à l’échelle nationale. Cependant, le fait de s’en tenir à une phase de simple surveillance laisse un vide considérable dans la défense active des périmètres. Les organisations françaises ont prouvé qu’elles excellaient dans la phase de mise en place initiale ; la prochaine étape logique consiste à passer en toute confiance de l’observation passive à une défense absolue et automatisée p=reject

Conclusion : des indicateurs à l'action

Les données de 2026 montrent que, bien que la France ait mis en place une base technique solide, ses défenses globales restent incomplètes. Pour sécuriser l'environnement numérique et se conformer aux exigences fixées par des prestataires tels que La Poste, les organisations doivent donner la priorité à trois mesures principales :

Aller au-delà de la surveillance passive

Les configurations de base SPF DMARC ne suffisent pas si des e-mails usurpés continuent d'être remis. Passer d'un niveau de surveillance (p=none) à un niveau d'application stricte (p=reject) via Hosted DMARC garantit que les e-mails non autorisés sont bloqués avant même d'atteindre la boîte de réception.

Protéger les données en transit

Avec 97,4 % des domaines du pays exposés à des interceptions au niveau de la couche de transport, l'adoption du protocole MTA-STS hébergé est essentielle pour garantir que l'ensemble du trafic de messagerie soit chiffré et protégé contre toute altération.

Garantir la délivrabilité

Évitez les erreurs de configuration et limitez les problèmes susceptibles de bloquer les e-mails professionnels légitimes. L'utilisation SPF hébergé SPF la précision de l'authentification des e-mails et assure une distribution fiable à mesure que vos services cloud évoluent.

Méthodologie, recherche et sources de données

Analyse des enregistrements DNS

Notre équipe d'ingénieurs a effectué des requêtes DNS automatisées sur l'ensemble du répertoire des domaines français ciblés. Ces requêtes ont permis de récupérer, d'analyser et de valider les configurations existantes SPF, DMARC, MTA-STS et DNSSEC par rapport aux spécifications définies par les RFC, afin d'évaluer leur intégrité technique et la solidité des politiques mises en place.

Échantillonnage sectoriel

La base de données des domaines cibles a été constituée à partir des registres officiels des entreprises, des annuaires publics et des répertoires sectoriels en France. Les organisations étudiées ont été réparties en huit secteurs d'activité nationaux clés :

  • Secteur bancaire (financier)
  • Soins de santé
  • Gouvernement
  • Éducation
  • Énergie
  • Les médias
  • Télécommunications
  • Transport (logistique)

Analyse comparative mondiale

Des indices internationaux comparatifs ont été établis à l'aide des mêmes méthodologies d'analyse DNS issues de l'ensemble de données mondial sur la cybersécurité de PowerDMARC. Cela permet de comparer directement les indicateurs de la France aux indices nationaux normalisés de l'Espagne, de l'Italie, de la Pologne, des Pays-Bas, du Brésil, de l'Équateur, des États-Unis et du Royaume-Uni.

Classification des risques

Les niveaux de vulnérabilité propres à chaque secteur reposent sur une évaluation équilibrée de quatre indicateurs de sécurité clés dans l'ensemble des domaines français :

  • Taux de mise en œuvre des politiques strictes de type « p=reject ».
  • Pourcentage de domaines ne disposant d'aucune protection DMARC.
  • La fréquence des erreurs SPF et de configuration SPF .
  • Le niveau de vulnérabilité lié à l'absence de chiffrement du transport MTA-STS.

Transformer la visibilité des domaines français en défense active

Les taux exceptionnels enregistrés par la France en matière de mise en place des infrastructures démontrent que les équipes informatiques françaises possèdent des compétences techniques de niveau mondial. Ce n’est pas le manque de compétences qui fait défaut, mais bien la disponibilité des outils automatisés adaptés et le mandat organisationnel nécessaire pour passer à une mise en œuvre active.

Ne laissez pas le domaine de votre entreprise se contenter d’un rôle d’observateur passif qui se limite à enregistrer les attaques sans avoir les moyens de les bloquer. Préservez la réputation de votre marque, protégez votre organisation contre les perturbations de distribution liées à la récente directive de La Poste concernant le courrier, et sécurisez vos actifs numériques critiques avant que la prochaine vague majeure d’hameçonnage transfrontalier ne vienne frapper votre secteur.

Contactez l'équipe de PowerDMARC pour renforcer en toute simplicité la sécurité de votre domaine, en passant d'une simple surveillance à une défense périmétrique totale.