Rapport sur l'adoption du DMARC et du MTA-STS au Royaume-Uni en 2026

Chez PowerDMARC, nous avons analysé la posture d'authentification des e-mails sur 875 domaines basés au Royaume-Uni. Les résultats suggèrent que le pays se trouve dans un état de « préparation partielle », une situation précaire étant donné que le Centre national de cybersécurité britannique (NCSC) va officiellement mettre fin à ses services Mail Check et Web Check d'ici le 31 mars 2026.

Cela marque un changement radical dans le paysage cybernétique britannique. Pendant des années, les organisations se sont appuyées sur ces outils centralisés pour la surveillance. Aujourd'hui, le NCSC transfère l'entière responsabilité de la mise en œuvre et de l'application du DMARC directement aux organisations individuelles. Avec la disparition du filet de sécurité que constituait Mail Check, l'écart entre le fait d'avoir un enregistrement et le fait de application n'est plus seulement une question de négligence technique, mais constitue une urgence en matière de conformité et de sécurité.

Pour en savoir plus sur la manière dont votre organisation peut gérer cette transition et maintenir sa visibilité, consultez notre guide : Modifications apportées au contrôle du courrier du NCSC pour le secteur public britannique.

L'analyse suivante révèle un paysage où les organisations ont coché la case « authentification » (SPF), mais ont largement ignoré les couches « cryptage » (MTA-STS) et « intégrité » (DNSSEC).

Demande de rapport - Adoption du DMARC au Royaume-Uni

"Les champs obligatoires sont indiqués par un astérisque(*)

Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
Nom*

Aperçu national du Royaume-Uni : l'histoire de deux défenses

Avant d'aborder les secteurs spécifiques, voici la situation générale en matière de sécurité pour le Royaume-Uni dans l'ensemble des 875 domaines analysés.

SPF britannique

SPF – 93,7 %

DMARC au Royaume-Uni

Adoption du DMARC – 86,4 %

DMARC p=rejeter – 44,1 %

Royaume-Uni MTA-STS

Adoption de la norme MTA-STS – 20,6 %

Pas de MTA-STS – 79,4 %

Test MTA-STS – 4,5 %

MTA-STS Enforce – 16,1 %

Logo BIMI

Adoption du protocole DNSSEC – 3,8 %

Démarrer l'essai de 15 jours

1. Banque et finance : le périmètre sécurisé avec tunnels ouverts

Les banques britanniques sont les plus strictes du pays en matière d'application de la loi, mais une faille critique dans les transports rend des milliers de milliards de dollars de virements électroniques vulnérables à l'interception.

Métrique Taux d'adoption
Correction du SPF 93.5%
DMARC p=rejeter 61.3%
Pas d'enregistrement DMARC 0.0%
Adoption de MTA-STS 4.8%
Adoption du DNSSEC 11.3%
SPF bancaire au Royaume-Uni

Le risque critique : interception des transactions de grande valeur.

Alors que les banques britanniques affichent le taux d'application le plus élevé (61,3 %), l'écart écart de 95,2 % dans le MTA-STS est catastrophique, avec seulement 1,6 % en mode test et 3,2 % en mode application. Sans sécurité des transports, les e-mails de confirmation SWIFT sensibles transitent par des chemins non cryptés. Des données récentes montrent que les fraudes et escroqueries liées aux paiements ont coûté plus de 629,3 millions de livres sterling au cours du seul premier semestre 2025, souvent à l'origine de communications par e-mail manipulées.

La solution PowerDMARC :

Avec MTA-STS hébergé, nous forçons tous les e-mails financiers à transiter par des canaux TLS 1.2+ cryptés, ce qui réduit considérablement le risque d'« attaques par rétrogradation », dans lesquelles des criminels suppriment le cryptage pour lire les communications sensibles entre les banques et leurs clients pendant leur transit.

2. Gouvernement : diriger par mandat, échouer par manque de surveillance identitaire

Le secteur public britannique affiche les taux de chiffrement les plus élevés du pays, mais 1 service sur 8 ne dispose toujours pas d'un enregistrement DMARC de base.

Métrique Taux d'adoption
Correction du SPF 94.8%
DMARC p=rejeter 57.1%
Pas d'enregistrement DMARC 12.2%
Adoption de MTA-STS 39.9%
Adoption du DNSSEC 2.6%
Adoption du DMARC par le gouvernement britannique

Le risque critique : usurpation d'identité des citoyens et fuites d'informations personnelles identifiables.

Les domaines gouvernementaux sont clairement en tête en matière d'adoption du protocole MTA-STS (39,9 %), sous l'impulsion des directives du NCSC ; 7,6 % sont en mode test et 32,4 % en mode application. Cependant, avec 12,2 % d'entre eux ne disposant d'aucun enregistrement DMARCet 42,9 % n'atteignant pas le seuil p=reject 42,9 % n'atteignant pas p=reject, la couche d'identité reste poreuse. La violation de données du ministère de la Défense en 2024, qui a compromis les données salariales de 272 000 membres du personnel, met en évidence la vulnérabilité des infrastructures du secteur public face à l'exploitation basée sur l'identité.

La solution PowerDMARC :

Notre plateforme automatise le parcours vers p=reject pour les sous-domaines gouvernementaux, garantissant ainsi qu'ils répondent aux normes de sécurité les plus élevées sans risque d'interrompre les flux de communication essentiels avec les citoyens.

3. Santé : risques liés à la loi HIPAA sur le sol britannique

La confiance des patients est en jeu, car seul 1 prestataire de soins de santé sur 3 est en mesure d'empêcher activement un e-mail frauduleux d'atteindre un patient.

Métrique Taux d'adoption
Correction du SPF 92.5%
DMARC p=rejeter 34.0%
Pas d'enregistrement DMARC 13.2%
Adoption de MTA-STS 9.4%
Adoption du DNSSEC 1.9%
Adoption du protocole MTA-STS dans le secteur de la santé au Royaume-Uni

Le risque critique : fuites de données relatives aux informations médicales protégées (PHI).

Le secteur de la santé reste une cible privilégiée pour les groupes de ransomware tels que Qilin, qui a récemment pris pour cible le NHS et divulgué 400 Go de données privées. Avec un faible taux d'application du DMARC (34,0 %) et un taux quasi nul pour le DNSSEC (1,9 %), les pirates peuvent facilement falsifier les identifiants des hôpitaux pour diffuser des logiciels malveillants ou inciter le personnel à divulguer des dossiers médicaux sensibles.

La solution PowerDMARC:

Nous fournissons un chemin géré vers une DMARC et MTA-STS, garantissant ainsi que chaque dossier médical sortant est crypté et que chaque avis de santé officiel est vérifié.

Réservez une démo

4. Transport et logistique : la porte d'entrée non protégée de la chaîne d'approvisionnement

Les réseaux de transport britanniques sont une invitation ouverte à la fraude, avec le taux « No-DMARC » le plus élevé du pays.

Métrique Taux d'adoption
Correction du SPF 91.3%
DMARC p=rejeter 32.8%
Pas d'enregistrement DMARC 26.7%
Adoption de MTA-STS 6.2%
Adoption du DNSSEC 2.6%

Le risque critique : détournement de factures et interruption de service.

Le secteur des transports est particulièrement exposé, avec plus de 26 % des domaines ne disposant d'aucun protocole DMARC. La cyberattaque de 2024 contre Transport for London (TfL), qui a compromis les données financières de 5 000 clients, prouve que les systèmes de transport sont des cibles de grande valeur. Les attaquants utilisent de fausses « alertes d'équipement critique » ou de faux manifestes pour combler le fossé entre la boîte de réception de l'entreprise et la logistique physique.

La solution PowerDMARC :

Nous optimisons SPF complexes afin de respecter les limites de recherche DNS et appliquons des politiques DMARC strictes pour sécuriser les canaux logistiques contre la fraude à la facturation.

5. Éducation : le domaine de la récolte de la propriété intellectuelle

Les campus universitaires sont des cibles de choix pour le vol de propriété intellectuelle, mais ils affichent les taux d'application de la loi les plus bas au Royaume-Uni.

Métrique Taux d'adoption
Correction du SPF 94.6%
DMARC p=rejeter 23.9%
Pas d'enregistrement DMARC 4.3%
Adoption de MTA-STS 17.4%
Adoption du DNSSEC 4.3%
Éducation SPF Royaume-Uni

Le risque critique : recherche et collecte d'identifiants de connexion.

Un chiffre stupéfiant 91 % des établissements d'enseignement supérieur britanniques ont identifié une cyberattaque en 2025. La faible application du protocole DMARC (23,9 %) permet aux pirates de falsifier les identifiants universitaires et d'accéder à des bases de données de recherche et à des dossiers financiers d'étudiants représentant plusieurs millions de livres sterling.

La solution PowerDMARC :

Nous aidons les universités à gérer des milliers de sous-domaines départementaux à partir d'un seul tableau de bord, réduisant ainsi considérablement le nombre de tentatives de phishing réussies sur l'ensemble du campus.

6. Les médias : amplificateurs de désinformation

Les rédactions luttent contre les fausses informations, mais leurs propres domaines de messagerie restent vulnérables aux signatures falsifiées et à la diffusion de deepfakes.

Métrique Taux d'adoption
Correction du SPF 98.4%
DMARC p=rejeter 41.3%
Pas d'enregistrement DMARC 3.2%
Adoption de MTA-STS 1.6%
Adoption du DNSSEC 1.6%
Logo BIMI

Le risque critique : usurpation d'identité et fraude par deepfake.

Bien que Media affiche SPF élevé (98,4 %), son adoption des protocoles MTA-STS et DNSSEC est quasi nulle. Cela signifie que les communications des journalistes sont visibles par ceux qui surveillent le réseau, et que leurs noms peuvent être usurpés pour diffuser de fausses informations ou inciter les employés à effectuer des virements frauduleux.

La solution PowerDMARC :

Nous déplaçons les domaines médias vers p=reject, garantissant ainsi que seul le personnel vérifié puisse envoyer des e-mails, préservant ainsi la confiance dans la marque à l'ère des guerres de l'information menées par l'IA.

Démarrer l'essai de 15 jours

7. Télécommunications : aimant à arnaques pour les abonnés

Les opérateurs protègent leurs réseaux, mais laissent leurs boîtes de réception ouvertes, ce qui favorise la fraude à la facturation et les épidémies de SIM swap.

Métrique Taux d'adoption
Correction du SPF 91.0%
DMARC p=rejeter 32.8%
Pas d'enregistrement DMARC 11.9%
Adoption de MTA-STS 9.0%
Adoption du DNSSEC 9.0%
Logo BIMI

Le risque critique : fraude à la facturation et piratage de comptes.

Les taux élevés de « No-DMARC » (11,9 %) permettent aux escrocs d'envoyer de fausses alertes de facturation qui semblent légitimes, incitant les utilisateurs à révéler les codes 2FA nécessaires au SIM-swapping ou à l'usurpation d'identité.

La solution PowerDMARC :

Notre plateforme applique p=reject sur tous les domaines des opérateurs et héberge MTA-STS afin de sécuriser les flux de facturation automatisés, rendant ainsi impossible pour les fraudeurs d'utiliser le nom de l'opérateur à l'encontre de ses abonnés.

Sous le capot : quatre faiblesses structurelles

Le fossé de mise en œuvre p=none

18,9 % des domaines britanniques disposent du protocole DMARC, mais ne l'appliquent pas.

L'avis d'un expert :

« Une politique DMARC définie sur p=none fournit uniquement des rapports et une visibilité sur les tentatives d'usurpation d'identité, sans les bloquer. Bien que le taux d'adoption élevé au Royaume-Uni soit encourageant, il est nécessaire de passer à une politique DMARC définie sur p=reject afin de prévenir activement l'utilisation non autorisée des e-mails. »

Maitham Al Lawati, PDG, PowerDMARC

L'avis d'un expert :

« La limite de 10 recherches est un plafond strict dans le DNS. Sans techniques SPF telles que l'aplatissement ou les macros pour compresser ces enregistrements, l'expansion de votre pile numérique nuit inévitablement à la délivrabilité de vos e-mails. »

Yunes Tarada, gestionnaire de la prestation de services, PowerDMARC

SPF à grande échelle

6,3 % des domaines britanniques sont confrontés à des erreurs de configuration critiques, souvent dues à la « limite de 10 requêtes ».

MTA-STS : le déficit de cryptage

79,4 % des domaines britanniques présentent une lacune totale en matière de contrôle de la sécurité des transports.

L'avis d'un expert :

« Le chiffrement standard des e-mails (STARTTLS) est opportuniste. Le protocole MTA-STS permet de renforcer la sécurité du transport. Avec la quasi-totalité du trafic britannique exposé, il est facile pour un pirate informatique de contourner le chiffrement et de lire les communications sensibles des entreprises en transit. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

L'avis d'un expert :

« Le protocole DNSSEC agit comme le gardien de votre identité numérique. Il ne s'agit plus seulement d'un protocole informatique, mais d'un élément fondamental de la gestion de la réputation d'une marque. Un seul incident de détournement DNS peut détruire la confiance envers une marque en quelques secondes. »

Ahona Rudra, responsable marketing, PowerDMARC

DNSSEC : une base fragile

Activé sur seulement 3,8 % des domaines britanniques.

Contactez-nous

Benchmarking mondial : le Royaume-Uni dans son contexte

Ce tableau compare les protocoles de sécurité critiques : SPF (enregistrements valides), Application DMARC (p=rejet), adoption MTA-STS (chiffrement du transport) et DNSSEC activé.

PaysSPF CorrectDMARC (p=rejeter)MTA-STSDNSSEC
États-Unis 🇺🇸95.7%49.0%1.7%18.0%
Australie 🇦🇺92.3%46.7%5.8%6.8%
Royaume-Uni 🇬🇧93.7%44.1%20.6%3.8%
Norvège 🇳🇴85.2%29.0%2.8%45.6%
Italie 🇮🇹91.0%16.7%1.0%3.5%
Arabie saoudite 🇸🇦80.6%18.4%0.2%11.9%
Japon 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Principales conclusions tirées des rapports officiels

Le fossé en matière d'application

Bien que SPF soit universellement élevée (avec une moyenne supérieure à 90 % dans les pays développés), le passage de la « surveillance » (p=none) à la « mise en application » (p=refus) reste le principal obstacle. Le Japon, par exemple, affiche un SPF élevé SPF 95 %), mais souffre d'un déficit massif en matière d'application, avec seulement 9,2 % des domaines bloquant activement les e-mails usurpés.

Le MTA-STS britannique se démarque

The United Kingdom shows an unusually high MTA-STS adoption rate (20.6%) compared to the global average (typically <2%). This is largely attributed to strict NCSC (National Cyber Security Centre) guidelines that have pushed for transport layer security across government and critical infrastructure sectors.

Adoption du DNSSEC

La Norvège et les États-Unis sont en tête en matière d'adoption du protocole DNSSEC, en particulier dans les secteurs gouvernemental et financier, ce qui reflète la priorité accordée à la prévention des attaques par détournement de DNS et empoisonnement du cache dans ces régions.

Le « piège de la conformité »

PowerDMARC souligne que de nombreuses organisations restent à p=none indéfiniment. Dans le rapport Arabie saoudite 2025, par exemple, de nombreuses organisations utilisant DMARC sont toujours en mode « passif », ce qui les rend vulnérables à l'usurpation d'identité malgré l'existence d'un enregistrement.

Conclusion : des indicateurs à l'action

Les données sont claires : le Royaume-Uni a établi une base technique solide, mais il doit encore combler le fossé entre la surveillance passive et l'application active des règles de circulation. Si SPF quasi omniprésents (93,7 %) et que l'adoption du DMARC est élevée (86,4 %), plus de la moitié du pays ne parvient pas à appliquer pleinement la réglementation (p=reject) et le manque généralisé d'intégrité du protocole DNSSEC (écart de 96,2 %) reste une vulnérabilité qui coûte des milliards de livres sterling.

Les organisations britanniques ne peuvent pas se permettre d'attendre la prochaine avertissement du NCSC ou d'un incident catastrophique de compromission des e-mails professionnels (BEC) pour passer de la surveillance à la protection. PowerDMARC comble cette « lacune de mise en œuvre » en fournissant :

Voies d'application automatisées : Migration sécurisée des entreprises du FTSE 100 et des PME de p=none à p=reject sans bloquer les communications commerciales critiques ou le flux de courrier des services.

Simplification de l'infrastructure : dépasser la « limite des 10 recherches » grâce à SPF , héberger MTA-STS pour combler le déficit de chiffrement de 79 , 4 % et validation des enregistrements DNSSEC dans un tableau de bord unique et natif du cloud.

Préparation réglementaire : Soutien à la conformité avec le RGPDet UK Cyber Essentialset PCI-DSS 4.0 en simplifiant la protection anti-hameçonnage et en sécurisant les communications électroniques sensibles.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Le Royaume-Uni est actuellement la cible principale des attaques de phishing et de fraude à la facture basées sur l'IA. Si les équipes informatiques britanniques excellent dans la publication de registres fondamentaux, elles sont souvent paralysées par la crainte de bloquer des e-mails légitimes. En 2026, une posture de « simple surveillance » revient essentiellement à capituler face à des techniques d'usurpation sophistiquées. Le passage à une défense active n'est pas seulement une mise à niveau de la sécurité ; il est essentiel pour se protéger contre les violations qui visent le cœur de l'économie numérique britannique. »

Équipe PowerDMARC

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption au Royaume-Uni montrent que les bases sont en place ; il est maintenant temps de passer à la vitesse supérieure. Dans un contexte où l'IA peut parfaitement imiter le ton d'un dirigeant, il ne suffit plus de miser uniquement sur la « visibilité ».

Ne laissez pas votre domaine rester une « frontière non protégée ». Passez d'une surveillance passive à une protection active avant que la prochaine vague d'attaques coordonnées ne frappe votre secteur.

Contactez PowerDMARC pour commencer votre parcours vers la mise en application.

15 jours d'essaiRéservez une démo