Rapport sur l'adoption des protocoles DMARC et MTA-STS aux Philippines 2026

Ces dernières années, l'Asie du Sud-Est a été confrontée à une recrudescence sans précédent de cybermenaces sophistiquées, les attaques par ransomware ayant bondi de près de 57 %. Les Philippines sont devenues une cible de choix au sein de ce bloc économique en pleine numérisation ; les données issues du suivi mondial de la cybersécurité montrent que les entreprises de l’Association des nations de l’Asie du Sud-Est (ASEAN) doivent désormais faire face à des coûts moyens liés aux violations de données atteignant 3,23 millions de dollars. Bien que de nombreuses organisations philippines disposent de configurations techniques de base, l’absence généralisée d’une application stricte et active des politiques a créé de profondes vulnérabilités dans les secteurs économiques les plus vitaux du pays, exposant les communications des entreprises, du secteur public et des infrastructures à une exploitation active. 

En bref : principales conclusions pour l'ensemble des Philippines

La situation nationale en matière de sécurité des e-mails fait apparaître les tendances suivantes :

Philippines SPF

SPF: 95,2 % de réponses correctes – Une base technique solide a été mise en place avec succès à l'échelle nationale, malgré quelques erreurs de configuration mineures (4,7 % d'erreurs) et de rares omissions (0,1 % sans enregistrement) persistent encore.

Philippines DMARC

DMARC : Bien que des mesures de visibilité aient été adoptées par de nombreux acteurs, seuls 17,0 % des domaines appliquent une politique stricte de « rejet ». Le reste des domaines bénéficie d’une protection insuffisante sous quarantine (22,9 %), en surveillance uniquement p=aucune (23,1 %), ou s'expose carrément avec 36,5 % d'entre eux ne disposant d'aucun enregistrement DMARC.

Philippines MTA-STS

MTA-STS : Un énorme angle mort à l'échelle nationale avec un taux de non-adoption de 99,4 %, ce qui rend le trafic de messagerie électronique au niveau de la couche de transport extrêmement vulnérable à l'interception dans tout le pays.

Philippines DNSSEC

DNSSEC : Seulement 12,3 % sont activés – ce qui laisse 87,7 % des domaines vulnérables à des attaques sophistiquées de détournement DNS, d’empoisonnement de cache et de redirection malveillante du trafic.

Analyse sectorielle

1. Secteur bancaire : forte sensibilisation, faible utilisation du chiffrement

Cibles privilégiées des fraudes financières sophistiquées, les établissements bancaires philippins sont les plus rigoureux du pays en matière d'application du protocole DMARC, mais ils restent néanmoins très vulnérables aux interceptions au niveau de la couche de transport.

Métrique Statut
SPF 94,3 % de bonnes réponses (5,7 % d'erreurs)
Rejet DMARC 36,2 % (en tête au niveau national)
Politiques DMARC 26,7 % ont coché «quarantine, 22,8 % ont coché « aucune »
Écart DMARC 14,3 % n'ont pas de casier judiciaire
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 6,7 % activé (93,3 % désactivé)

Scénario de menace

Avec un écart de 100,0 % en matière de conformité MTA-STS dans l'ensemble du secteur bancaire, les données transactionnelles critiques transitent par des voies non cryptées. Les pirates peuvent mener des « attaques par rétrogradation » afin de contourner les mesures de cryptage mises en place de manière ponctuelle, intercepter des messages de confirmation financière de grande valeur pour détourner des fonds ou récupérer des identifiants bancaires sensibles.

La solution PowerDMARC

Grâce à la technologie automatisée hébergement MTA-STS automatisé, PowerDMARC achemine tous les e-mails entrants via des canaux TLS 1.2+ chiffrés, éliminant ainsi le risque d'interception de type « Man-in-the-Middle » (MiTM) et sécurisant les communications bancaires hautement sensibles.

2. Santé : mesures de protection DMARC renforcées

La gestion des données sensibles des patients, associée à un manque de rigueur dans leur protection, fait du secteur de la santé philippin une cible de choix pour les chantages liés aux données et l'usurpation d'identité.

Métrique Statut
SPF 97,6 % de réponses correctes (2,4 % d'erreurs)
Rejet DMARC 19.3%
Politiques DMARC 21,7 % ont répondu «quarantine, 20,5 % « aucune », 1,2 % ont donné une réponse incorrecte
Écart DMARC 37,3 % n'utilisent pas du tout DMARC
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 9,6 % activé (90,4 % désactivé)

Scénario de menace

Une lacune importante, due à la fois à l'absence d'enregistrements DMARC (37,3 %) et à l'absence de politiques de suivi passif, permet aux pirates d'usurper facilement l'identité des domaines des hôpitaux et des cliniques médicales. Les cybercriminels peuvent ainsi envoyer directement au personnel médical de fausses « mises à jour sur l'état de santé des patients » ou de fausses factures de matériel médical contenant des charges utiles malveillantes de type ransomware.

La solution PowerDMARC

Nous accompagnons les professionnels de santé tout au long d’un parcours de mise en œuvre structuré afin de passer en douceur du mode « monitor » à un mode strict politique de rejet , neutralisant ainsi les campagnes de phishing avant qu’elles n’atteignent les boîtes de réception du personnel clinique.

3. Gouvernement : des infrastructures fondées sur une surveillance souple

Les communications officielles ont le poids de l'État. Alors que les réseaux gouvernementaux disposent d’une excellente infrastructure de base, des règles de surveillance laxistes laissent la porte ouverte à la manipulation.

Métrique Statut
SPF 98,2 % de réponses correctes (1,8 % d'erreurs)
Rejet DMARC 6.2%
Politiques DMARC 24,1 % ont choisi «quarantine, 25,9 % ont choisi « aucune »
Écart DMARC 43,8 % n'utilisent pas du tout DMARC
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 16,1 % activé

Scénario de menace

Avec seulement 6,2 % des domaines gouvernementaux rejetant activement les e-mails usurpés et 43,8 % n'étant absolument pas configurés, les identités des agences d'État sont extrêmement vulnérables. Les cybercriminels peuvent ainsi se faire passer pour des services officiels afin de diffuser de fausses directives réglementaires ou de mener des attaques de spear-phishing à l'encontre des fonctionnaires.

La solution PowerDMARC

Notre tableau de bord multi-locataires permet aux organismes publics centraux de surveiller et de sécuriser de vastes réseaux de sous-domaines (par exemple, .gov.ph) à partir d’un seul panneau, ce qui simplifie la transition vers une politique stricte p=reject.

4. Éducation : des infrastructures solides, mais une application insuffisante des politiques

Les centres universitaires hébergent d'énormes quantités de données sur les étudiants et de propriété intellectuelle issue de la recherche ; ils affichent des principes fondamentaux bien définis, mais les critères d'application de ces principes sont manifestement peu stricts.

Métrique Statut
SPF 98,4 % de résultats corrects (1,6 % sans données)
Rejet DMARC 19.4%
Politiques DMARC 9,7 % dans la catégorie «quarantine, 25,8 % dans la catégorie « aucune »
Écart DMARC 45,2 % n'utilisent pas du tout DMARC
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 19,4 % activés (leader du secteur)
Adoption du protocole DNSSEC dans le secteur de l'éducation - Philippines

Scénario de menace

Les pirates exploitent le pourcentage élevé d'enregistrements DMARC manquants (45,2 %) pour usurper l'identité de départements universitaires, en envoyant aux étudiants de fausses mises à jour du « portail de paiement des frais de scolarité » ou aux enseignants de faux liens vers des évaluations par les pairs, dans le but de dérober leurs identifiants de connexion et leurs informations financières.

La solution PowerDMARC

Les établissements universitaires dépassent souvent la limite de 10 requêtes DNS en raison de l'utilisation d'outils logiciels cloud décentralisés au niveau des départements. PowerSPF compresse ces configurations, garantissant ainsi que la correspondance universitaire légitime ne soit jamais accidentellement perdue en raison de limitations techniques.

5. Énergie : un angle mort critique de la chaîne d'approvisionnement

Le secteur de l'énergie présente une bonne cohérence de base, mais la moitié de son écosystème reste totalement hors de portée de tout suivi.

Métrique Statut
SPF 85,2 % de bonnes réponses (14,8 % d'erreurs)
Rejet DMARC 9.3%
Politiques DMARC 29,6 % ont choisi «quarantine, 11,1 % ont choisi « aucune »
Écart DMARC 50,0 % n'utilisent pas du tout DMARC
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 13,0 % activé
SPF dans le secteur de l'énergie - Philippines

Scénario de menace

Étant donné qu'exactement la moitié (50,0 %) des domaines du secteur de l'énergie ne bénéficient d'aucune protection DMARC, les cybercriminels peuvent facilement usurper l'identité des fabricants d'équipements et des fournisseurs d'énergie. Ces fausses communications sont utilisées pour émettre des demandes frauduleuses au sein de la chaîne d'approvisionnement ou pour introduire des fichiers malveillants conçus pour s'infiltrer dans les environnements de technologies opérationnelles.

La solution PowerDMARC

PowerDMARC associe la validation DMARC aux protocoles MTA-STS hébergés, vérifiant ainsi la légitimité de l'expéditeur tout en garantissant que les messages transitant par des nœuds externes restent entièrement chiffrés.

6. Médias : grande vulnérabilité et faibles moyens de défense

Les médias sont très exposés au regard du public, et lorsque les contrôles des e-mails sont insuffisants, cela permet à des personnes mal intentionnées d'exploiter la confiance que le public accorde à un média.

Métrique Statut
SPF 93,8 % de réponses correctes (6,2 % d'erreurs)
Rejet DMARC 5,3 % (le plus bas du secteur)
Politiques DMARC 14,2 % ont coché «quarantine, 29,2 % « aucune », 1,8 % ont donné une réponse incorrecte
Écart DMARC 49,5 % n'ont pas de casier judiciaire
MTA-STS Taux d'adoption de 0,0 % (100,0 % d'absence de données)
DNSSEC 14,2 % activés
Adoption du protocole DMARC par les médias - Philippines

Scénario de menace

L'absence massive (49,5 %) d'enregistrements DMARC, associée à un taux d'application de la norme de 5,3 % (le plus bas du pays), permet aux pirates de falsifier des noms de domaine multimédias afin de diffuser de fausses informations, de faux communiqués de presse ou des e-mails de hameçonnage à l'intention des services de communication des entreprises, ce qui entraîne une grave érosion de la confiance du public.

La solution PowerDMARC

Nous aidons les entreprises du secteur des médias à configurer les indicateurs de marque pour l'identification des messages (BIMI), en plaçant des logos d'entreprise vérifiés directement dans les boîtes de réception des destinataires, comme un cachet certifié d'authenticité.

7. Télécommunications : niveau de Quarantine élevé, faible taux de rejet actif

Les télécommunications constituent le socle numérique du pays, mais une approche réactive met en danger des millions d'abonnés à la téléphonie mobile et à Internet.

Métrique Statut
SPF 96,2 % de réponses correctes (3,8 % d'erreurs)
Rejet DMARC 23.1%
Politique DMARC 50,0 % dans la catégorie «quarantine(leader du secteur), 15,4 % dans la catégorie « aucune »
Écart DMARC 11,5 % n'ont pas d'antécédents judiciaires
MTA-STS 3,8 % de votes valides
DNSSEC 3,8 % activés
Logo BIMI

Scénario de menace

Des escrocs se font passer pour des opérateurs de réseaux de télécommunications afin d'envoyer des notifications d'urgence indiquant que le « compte a été suspendu ». En effet, la moitié (50,0 %) des domaines liés aux télécommunications restent inactifs sur quarantine plutôt que d’être bloqués purement et simplement, les messages usurpés peuvent encore contourner les filtres ou atterrir dans les dossiers de courrier indésirable, offrant ainsi aux escrocs un moyen d’extraire les données des abonnés et de faciliter les attaques par échange de carte SIM.

La solution PowerDMARC

Nous imposons une transition immédiate vers p=reject sur l'ensemble des écosystèmes des opérateurs, empêchant ainsi les attaquants d'utiliser des identifiants de télécommunications légitimes pour exploiter la base d'abonnés.

8. Transports : vers plus de sécurité

Les opérateurs logistiques dépendent fortement d'un échange d'informations continu ; toute rupture de confiance peut perturber les chaînes d'approvisionnement physiques.

Métrique Statut
SPF 95,3 % de réponses correctes (4,7 % d'erreurs)
Rejet DMARC 22.1%
Politiques DMARC 26,7 % ont choisi «quarantine, 22,1 % ont choisi « aucune »
Écart DMARC 29,1 % n'utilisent pas du tout DMARC
MTA-STS 3,5 % de données valides (96,5 % sans données)
DNSSEC 11,6 % activés
SPF dans le secteur des transports - Philippines

Scénario de menace

L'absence d'enregistrements DMARC (29,1 %) offre aux cybercriminels une porte d'entrée facile pour usurper l'identité des transporteurs, envoyer des bordereaux d'expédition falsifiés ou des informations de routage modifiées aux partenaires logistiques, afin de détourner les paiements liés au fret vers des comptes frauduleux.

La solution PowerDMARC

PowerDMARC protège l'environnement commercial en garantissant que chaque bordereau de livraison et chaque facture automatisée sont authentifiés et vérifiés avant d'arriver à la passerelle d'un partenaire.

Sous le capot : quatre faiblesses structurelles

1. Le « piège de la conformité » de p=none

De nombreuses entreprises philippines configurent un enregistrement DMARC de base, mais s'arrêtent à un p=none (soit en moyenne 23,1 % au niveau national). Cela permet de visualiser le trafic du domaine, mais n'offre aucune barrière préventive contre l'usurpation de domaine sortante.

L'avis d'un expert :

« Si les organisations aux Philippines commencent à bénéficier d’une bonne visibilité technique, elles restent extrêmement vulnérables aux campagnes d’usurpation d’identité tant qu’elles ne sont pas passées activement à un mode de « rejet » systématique. Une véritable défense ne se limite pas à la simple surveillance des menaces ; elle nécessite de bloquer l’accès dès la passerelle. »

Maitham Al Lawati, PDG, PowerDMARC

L'avis d'un expert :

« La complexité des infrastructures d'entreprise modernes fait que les grands groupes sont constamment confrontés à des erreurs liées au dépassement des seuils de recherche. La mise en œuvre d'un SPF » automatisé est une exigence fondamentale pour garantir la continuité de la distribution et préserver la confiance envers les expéditeurs. »

Yunes Tarada, gestionnaire de la prestation de services, PowerDMARC

2. SPF et limite de 10 recherches

À mesure que les entreprises locales intègrent un large éventail d'applications cloud tierces, de logiciels de gestion de la paie et d'outils marketing, leurs SPF dépassent régulièrement la limite standard de 10 requêtes DNS. Cette défaillance structurelle fait que des communications d'entreprise légitimes échouent aux contrôles de validation et sont classées comme spam.

3. MTA-STS : la faille dans le cryptage

Avec 99,4 % des domaines philippins fonctionnant sans MTA-STS, le transport des e-mails repose sur un chiffrement opportuniste. Cela expose les communications à des attaques par dégradation de sécurité, au cours desquelles les données sont extraites en clair.

L'avis d'un expert :

« Le recours au chiffrement opportuniste donne un faux sentiment de sécurité. En l'absence d'application du protocole MTA-STS, un acteur malveillant peut facilement forcer les transferts de courrier à s'effectuer en clair en manipulant le réseau. Pour les opérateurs philippins, le déploiement de voies de chiffrement gérées est essentiel pour garantir la confidentialité de la charge utile de bout en bout. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

L'avis d'un expert :

« Le détournement de DNS peut anéantir en quelques secondes la confiance que votre entreprise a mis des années à gagner. La mise en œuvre du protocole DNSSEC offre la vérification cryptographique nécessaire pour garantir que le trafic Internet parvienne bien à vos serveurs légitimes, et non à la réplique mise en place par un attaquant. »

Ahona Rudra, responsable marketing, PowerDMARC

4. DNSSEC : le pilier de la confiance envers la marque

Avec un taux d'adoption global de seulement 12,3 %, les 87,7 % exposent massivement les entreprises aux attaques de redirection malveillante et d’empoisonnement du cache.

Comparaison internationale : les Philippines dans leur contexte

Les Philippines se présentent comme un environnement émergent doté d'une solide précision de base (SPF), mais accusant un retard considérable en matière de chiffrement des transmissions (MTA-STS), de sécurité de l'infrastructure DNS (DNSSEC) et d'application automatisée stricte (DMARC Reject) par rapport à leurs homologues internationaux.

Classement mondial : données comparatives pour 2026

Pays SPF Correct Rejet DMARC MTA-STS DNSSEC
Philippines 95.2% 17.0% 0.6% 12.3%
Brésil 92.1% 20.7% 0.7% 21.9%
Équateur 96.1% 24.9% 1.4% 4.8%
Australie 92.3% 46.7% 5.8% 6.8%
Pologne 98.9% 21.2% 0.9% 15.7%
Pays-Bas 70.0% 23.2% 0.9% 37.7%
Italie 91.0% 16.7% 1.0% 3.5%
Japon 95.0% 9.2% 0.5% 16.4%

Les Philippines sous les projecteurs mondiaux : analyse 2026

1
Le décalage fondamental

Les Philippines affichent une bonne concordance de base avec SPF , à 95,2 %, devançant ainsi des pays voisins comme le Brésil (92,1 %) et égalant le Japon (95,0 %). Cependant, son taux réel d'application (17,0 % de rejets) révèle un écart d'exécution marqué par rapport à des leaders comme l' l'Australie (46,7 %). Les organisations locales excellent dans le recensement des serveurs valides, mais hésitent à bloquer ceux qui ne sont pas autorisés.

2
Le fossé cryptographique

Contrairement au Brésil, qui devance de nombreux pays avec un taux d'adoption du DNSSEC de 21,9 %, les Philippines affichent un taux inférieur, à 12,3 %. Bien qu’elles devancent des pays comme l'Italie (3,5 %) et l'Équateur (4,8 %), cela montre clairement la nécessité d'une mise en œuvre plus large dans les registres régionaux afin de garantir l'intégrité de base des recherches.

3
Le fossé du chiffrement

À l'image des tendances mondiales, le taux d'adoption du MTA-STS se situe à un niveau extrêmement bas de 0,6 %. À l'instar des tendances observées au Japon (0,5 %) et au Brésil (0,7 %), la sécurisation des chemins de la couche de transport reste une vulnérabilité non traitée dans presque tous les secteurs.

Perspective PowerDMARC

« Les Philippines ont mis en place une base technique très louable en matière de visibilité des domaines grâce à SPF grande SPF de leur SPF à l’échelle nationale ; toutefois, les lacunes dans l’application des politiques qui subsistent constituent toujours une vulnérabilité importante. Les organisations locales excellent dans la mise en place initiale et la configuration des domaines, mais accusent un retard en matière de défense active du périmètre. La directive est claire : il s’agit de passer d’une observation passive à une application stricte en transformant les configurations de visibilité existantes en configurations renforcées p=reject renforcées. »

Conclusion : des indicateurs à l'action

Les données de 2026 montrent que, si les Philippines ont mis en place une solide base, leur périmètre de défense reste largement incomplet. Pour préserver leur avenir numérique, les organisations devraient se concentrer sur trois axes de renforcement principaux :

Aller au-delà de la simple surveillance

SPF élevé SPF la mise en place d'un DMARC de base ne servent pas à grand-chose si des e-mails usurpés continuent d'atteindre les boîtes de réception des utilisateurs. Le passage des domaines du mode de surveillance à un état strict « p=reject » via Hosted DMARC garantit que les e-mails non autorisés sont bloqués au niveau de la passerelle.

Sécurisation des données en transit

Étant donné que 99,4 % du réseau est exposé à des manipulations au niveau du transport, le déploiement d'un MTA-STS hébergé est essentiel pour garantir la sécurité des communications d'entreprise contre toute interception.

Assurer la continuité des opérations

Éliminez les erreurs de configuration de la vérification qui peuvent perturber la correspondance légitime de l'entreprise. Le déploiement SPF hébergé SPF la fiabilité de la distribution alors que les environnements cloud gagnent en complexité.

Recherche et sources de données

Méthodologie PowerDMARC

Analyse des enregistrements DNS

Requêtes DNS actives sur des échantillons de domaines issus des 8 secteurs, avec récupération et validation des enregistrements SPF, DMARC, MTA-STS et DNSSEC conformément aux normes RFC applicables.

Échantillonnage sectoriel

Domaines identifiés à partir de registres accessibles au public et de répertoires sectoriels aux Philippines, couvrant les secteurs de la finance (banque), de la santé, des administrations publiques, de l'éducation, de l'énergie, des médias, des télécommunications et des transports.

Analyse comparative mondiale

Tous les chiffres de référence proviennent des rapports nationaux publiés par PowerDMARC pour le Brésil, l'Australie, la Pologne, les Pays-Bas, l'Italie et le Japon, et ont été obtenus à l'aide d'une méthodologie d'analyse DNS cohérente.

Classification des risques

Les notes de risque sectoriel sont calculées à partir d'un indice composite tenant compte du taux de rejet, de la proportion de domaines ne disposant pas d'enregistrement DMARC, SPF et du faible taux d'adoption du protocole MTA-STS parmi les domaines analysés aux Philippines.

Transformez la visibilité en défense dès aujourd'hui

Les taux élevés d'adoption des technologies aux Philippines démontrent que les administrateurs informatiques du pays comptent parmi les plus compétents de la région ; il leur suffit d'avoir le mandat et les outils nécessaires pour passer à la vitesse supérieure en matière de mise en œuvre.

Ne laissez pas votre domaine rester un système sophistiqué qui assiste impuissant à une intrusion sans pouvoir l'empêcher. Protégez votre réputation et vos données avant que la prochaine grande campagne internationale de phishing ne vise votre secteur d'activité.

Contactez-nous chez PowerDMARC pour entamer votre parcours, de la surveillance à l'application stricte des règles.