Rapport sur l'adoption du DMARC et du MTA-STS au Royaume-Uni en 2026

PowerDMARC s'est lancé le défi d'analyser la situation du Royaume-Uni en matière de pratiques d'authentification des e-mails en 2026. Le résultat est un rapport qui examine l'adoption par le pays des protocoles DMARC, SPF, MTA-STS et DNSSEC à l'échelle nationale, secteur par secteur, et dans le contexte mondial. 875 domaines britanniques, 22 pages, avec des informations indiquant que plus de 50 % du pays doit se prémunir contre des failles de sécurité coûteuses et immédiates.

Cette question revêt une importance croissante compte tenu du fait que le Centre national de cybersécurité (NCSC) du Royaume-Uni a officiellement mis fin à ses services « Mail Check » et « Web Check » le 31 mars 2026. Désormais, les entreprises et les organisations se tournent vers des outils privés tels que PowerDMARC pour la mise en œuvre et l'application des protocoles d'authentification. 

Notre rapport dresse le portrait d'un pays qui n'est que partiellement prêt, présentant des failles qui peuvent être facilement exploitées par des pirates. Les organisations ont coché la case « authentification » (SPF), mais ont largement négligé les couches « chiffrement » (MTA-STS) et « intégrité » (DNSSEC).

Voici un bref aperçu de certaines des conclusions du rapport 2026 de PowerDMARC sur l'adoption des protocoles DMARC et MTA-STS au Royaume-Uni. Vous trouverez des informations encore plus détaillées dans le rapport complet.

Aperçu national du Royaume-Uni : l'histoire de deux défenses

Voyons d'abord comment se porte le Royaume-Uni dans son ensemble avant de passer à l'analyse des différents secteurs d'activité.

SPF britannique

SPF – 93,7 %

DMARC au Royaume-Uni

Adoption du DMARC – 86,4 %

DMARC p=rejeter – 44,1 %

Royaume-Uni MTA-STS

Adoption de la norme MTA-STS – 20,6 %

Pas de MTA-STS – 79,4 %

Test MTA-STS – 4,5 %

MTA-STS Enforce – 16,1 %

Logo BIMI

Adoption du protocole DNSSEC – 3,8 %

Démarrer l'essai de 15 jours

1. Banque et finance : le périmètre sécurisé avec tunnels ouverts

Le secteur le plus performant du Royaume-Uni laisse encore plus de 95 % du trafic de courriels financiers non chiffré, ce qui signifie qu’une simple attaque par « downgrade » suffirait à exposer les confirmations SWIFT.

Métrique Taux d'adoption
Correction du SPF 93.5%
DMARC p=rejeter 61.3%
Adoption de MTA-STS 4.8%
SPF bancaire au Royaume-Uni

❌ Le risque majeur : l'interception de transactions de grande valeur.

Une mise en œuvre rigoureuse ne protège pas les banques britanniques lors du transit par des canaux non cryptés. Des données récentes montrent que la fraude aux paiements et les escroqueries ont entraîné des pertes de plus de 629,3 millions de livres sterling au cours du seul premier semestre 2025, souvent à l'origine de communications par e-mail falsifiées.

✅ La solution PowerDMARC :

Avec MTA-STS hébergé, nous forçons tous les e-mails financiers à transiter par des canaux TLS 1.2+ cryptés, ce qui réduit considérablement le risque d'« attaques par rétrogradation », dans lesquelles des criminels suppriment le cryptage pour lire les communications sensibles entre les banques et leurs clients pendant leur transit.

2. Gouvernement : diriger par mandat, échouer par manque de surveillance identitaire

Le gouvernement est à la pointe de l'adoption du protocole MTA-STS, mais est-ce suffisant ? Plus de 60 % des communications par e-mail transitent encore sans protection.

Métrique Taux d'adoption
Correction du SPF 94.8%
DMARC p=rejeter 57.1%
Adoption de MTA-STS 39.9%
Adoption du DMARC par le gouvernement britannique

❌ Le risque majeur : usurpation d'identité des citoyens et fuites de données à caractère personnel.

Les chiffres montrent que des initiatives sérieuses, telles que les directives du NCSC, ont fait de l’authentification des e-mails une nécessité, mais il reste encore beaucoup à faire. La fuite de données survenue en 2024 au ministère de la Défense, qui a compromis les données relatives à la paie de 272 000 employés, met en évidence à quel point les infrastructures du secteur public restent vulnérables aux attaques ciblant l’identité. 

✅ La solution PowerDMARC :

Notre plateforme automatise le parcours vers p=reject pour les sous-domaines gouvernementaux, garantissant ainsi qu'ils répondent aux normes de sécurité les plus élevées sans risque d'interrompre les flux de communication essentiels avec les citoyens.

3. Santé : risques liés à la loi HIPAA sur le sol britannique

Les deux tiers des prestataires de soins de santé britanniques ne sont pas en mesure de bloquer les e-mails usurpés, et comme 13,2 % d'entre eux ne disposent d'aucun enregistrement DMARC, il suffirait d'un seul lien de hameçonnage pour que les données des patients soient compromises.

Métrique Taux d'adoption
DMARC p=rejeter 34.0%
Pas d'enregistrement DMARC 13.2%
Adoption de MTA-STS 9.4%
Adoption du protocole MTA-STS dans le secteur de la santé au Royaume-Uni

❌ Le risque majeur : les fuites de données relatives aux informations de santé protégées (PHI).

Le secteur de la santé reste une cible privilégiée pour les groupes de ransomware tels que Qilin, qui a récemment ont pris pour cible le NHS et divulgué 400 Go de données confidentielles. Compte tenu du faible niveau d’application du protocole DMARC et d’un taux d’adoption quasi nul du protocole DNSSEC, les pirates peuvent facilement usurper les identifiants des hôpitaux pour diffuser des logiciels malveillants ou accéder à des dossiers médicaux sensibles.

✅ La solution PowerDMARC :

Nous fournissons un chemin géré vers une DMARC et MTA-STS, garantissant ainsi que chaque dossier médical sortant est crypté et que chaque avis de santé officiel est vérifié.

Réservez une démo

4. Transport et logistique : la porte d'entrée non protégée de la chaîne d'approvisionnement

Les réseaux de transport britanniques sont une invitation ouverte à la fraude, avec le taux « No-DMARC » le plus élevé du pays.

Métrique Taux d'adoption
DMARC p=rejeter 32.8%
Pas d'enregistrement DMARC 26.7%
Adoption de MTA-STS 6.2%

❌ Le risque majeur : détournement de factures et interruption de service.

La cyberattaque de 2024 contre Transport for London (TfL), qui a compromis les données financières de 5 000 clients, prouve que les réseaux de transport constituent des cibles de grande valeur. Les pirates utilisent de fausses « alertes d’équipements critiques » ou de faux manifestes pour faire le lien entre la messagerie professionnelle et la logistique physique.

✅ La solution PowerDMARC :

Nous optimisons SPF complexes afin de respecter les limites de recherche DNS et appliquons des politiques DMARC strictes pour sécuriser les canaux logistiques contre la fraude à la facturation.

5. Éducation : le domaine de la récolte de la propriété intellectuelle

Les universités britanniques affichent le taux d'application de la norme DMARC le plus faible du pays, alors que 91 % des établissements d’enseignement supérieur ont signalé une cyberattaque en 2025.

Métrique Taux d'adoption
Correction du SPF 94.6%
DMARC p=rejeter 23.9%
Pas d'enregistrement DMARC 4.3%
Éducation SPF Royaume-Uni

❌ Le risque majeur : la recherche et la collecte d'identifiants de connexion.

Le faible niveau d'application du protocole DMARC (23,9 %) permet aux pirates de falsifier les identifiants d'accès à l'université, ce qui leur donne accès à des bases de données de recherche valant plusieurs millions de livres sterling ainsi qu'aux dossiers financiers des étudiants.

✅ La solution PowerDMARC :

Nous aidons les universités à gérer des milliers de sous-domaines départementaux à partir d'un seul tableau de bord, réduisant ainsi considérablement le nombre de tentatives de phishing réussies sur l'ensemble du campus.

6. Les médias : amplificateurs de désinformation

Les rédactions luttent contre les fausses informations, mais leurs propres domaines de messagerie restent vulnérables aux signatures falsifiées et à la diffusion de deepfakes.

Métrique Taux d'adoption
Correction du SPF 98.4%
Adoption de MTA-STS 1.6%
Adoption du DNSSEC 1.6%
Logo BIMI

❌ Le risque majeur : l'usurpation d'identité et la fraude par « deepfake ».

Si le secteur des médias affiche un niveau élevé SPF , le taux d’adoption des protocoles MTA-STS et DNSSEC y est quant à lui quasi nul. Cela signifie que les communications des journalistes sont visibles par ceux qui surveillent le réseau, et que leurs identifiants peuvent être usurpés pour diffuser de fausses informations générées par deepfake ou inciter des employés à effectuer des virements frauduleux.

✅ La solution PowerDMARC :

Nous déplaçons les domaines médias vers p=reject, garantissant ainsi que seul le personnel vérifié puisse envoyer des e-mails, préservant ainsi la confiance dans la marque à l'ère des guerres de l'information menées par l'IA.

Démarrer l'essai de 15 jours

7. Télécommunications : aimant à arnaques pour les abonnés

Les opérateurs de télécommunications sécurisent le réseau, mais pas la boîte de réception, ce qui permet aux escrocs d'envoyer en toute impunité de fausses alertes de facturation à des millions d'abonnés.

Métrique Taux d'adoption
Correction du SPF 91.0%
DMARC p=rejeter 32.8%
Pas d'enregistrement DMARC 11.9%
Logo BIMI

❌ Le risque majeur : fraude à la facturation et piratage de comptes.

Des taux élevés de « No-DMARC », associés à une configuration DMARC incorrecte, permettent aux escrocs d'envoyer de fausses alertes de facturation qui semblent légitimes, incitant ainsi les utilisateurs à révéler les codes d'authentification à deux facteurs (2FA) nécessaires au vol de carte SIM ou à l'usurpation d'identité.

✅ La solution PowerDMARC :

Notre plateforme applique p=reject sur tous les domaines des opérateurs et héberge MTA-STS afin de sécuriser les flux de facturation automatisés, rendant ainsi impossible pour les fraudeurs d'utiliser le nom de l'opérateur à l'encontre de ses abonnés.

Sous le capot : quatre faiblesses structurelles

Le fossé de mise en œuvre p=none

18,9 % des domaines britanniques disposent du protocole DMARC, mais ne l'appliquent pas.

L'avis d'un expert :

« Une politique DMARC définie sur p=none fournit uniquement des rapports et une visibilité sur les tentatives d'usurpation d'identité, sans les bloquer. Bien que le taux d'adoption élevé au Royaume-Uni soit encourageant, il est nécessaire de passer à une politique DMARC définie sur p=reject afin de prévenir activement l'utilisation non autorisée des e-mails. »

Maitham Al Lawati, PDG de PowerDMARC

L'avis d'un expert :

« La limite de 10 recherches est un plafond strict dans le DNS. Sans techniques SPF telles que l'aplatissement ou les macros pour compresser ces enregistrements, l'expansion de votre pile numérique nuit inévitablement à la délivrabilité de vos e-mails. »

Yunes Tarada, responsable de la prestation de services chez PowerDMARC

SPF à grande échelle

6,3 % des domaines britanniques sont confrontés à des erreurs de configuration critiques, souvent dues à la « limite de 10 requêtes ».

MTA-STS : le déficit de cryptage

79,4 % des domaines britanniques présentent une lacune totale en matière de contrôle de la sécurité des transports.

L'avis d'un expert :

« Le chiffrement standard des e-mails (STARTTLS) est opportuniste. Le protocole MTA-STS permet de renforcer la sécurité du transport. Avec la quasi-totalité du trafic britannique exposé, il est facile pour un pirate informatique de contourner le chiffrement et de lire les communications sensibles des entreprises en transit. »

Ayan Bhuiya, responsable d'équipe des opérations et de la prestation de services, PowerDMARC

L'avis d'un expert :

« Le protocole DNSSEC agit comme le gardien de votre identité numérique. Il ne s'agit plus seulement d'un protocole informatique, mais d'un élément fondamental de la gestion de la réputation d'une marque. Un seul incident de détournement DNS peut détruire la confiance envers une marque en quelques secondes. »

Ahona Rudra, responsable marketing chez PowerDMARC

DNSSEC : une base fragile

Activé sur seulement 3,8 % des domaines britanniques.

Contactez-nous

Benchmarking mondial : le Royaume-Uni dans son contexte

Ce tableau compare la position du Royaume-Uni en matière de protocoles de sécurité essentiels à celle de pays tels que les États-Unis, la Norvège et le Japon.

PaysSPF CorrectDMARC (p=rejeter)MTA-STSDNSSEC
États-Unis 🇺🇸95.7%49.0%1.7%18.0%
Australie 🇦🇺92.3%46.7%5.8%6.8%
Royaume-Uni 🇬🇧93.7%44.1%20.6%3.8%
Norvège 🇳🇴85.2%29.0%2.8%45.6%
Italie 🇮🇹91.0%16.7%1.0%3.5%
Arabie saoudite 🇸🇦80.6%18.4%0.2%11.9%
Japon 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Principales conclusions tirées des rapports officiels

❗Le déficit d'application de la loi

Le Royaume-Uni affiche un taux d'adoption élevé du protocole SFP, mais moins de la moitié de ses domaines se protègent activement contre les e-mails usurpés.

Le MTA-STS britannique se démarque

Par rapport à d'autres pays, le Royaume-Uni affiche un taux d'adoption élevé du protocole MTA-STS, ce qui est important pour la protection des données en transit. Cela s'explique par les directives strictes du NCSC.

Adoption du protocole DNSSEC

Le Royaume-Uni est à la traîne par rapport à la plupart des pays en matière d'adoption du protocole DNSSEC, ce qui l'expose à des attaques de détournement DNS et d'empoisonnement de cache.

Le « piège de la conformité »

Même si de plus en plus d'organisations hébergent des enregistrements DMARC, leur position reste passive, puisqu'elles ne définissent pas le paramètre p=reject. Cela revient simplement à une surveillance et non à une protection.

Conclusion : des indicateurs à l'action

Le rapport 2026 sur l'adoption des normes DMARC et MTA-STS au Royaume-Uni met en évidence le fait que le pays a mis en place une base technique solide, mais qu'il lui reste encore à combler pleinement le fossé entre la surveillance passive et l'application active des règles de transport.

Vous ne pouvez pas vous permettre d’attendre le prochain avertissement du NCSC ou un incident catastrophique de type « Business Email Compromise » (BEC) pour passer de la surveillance à la protection. PowerDMARC comble ce « fossé de mise en œuvre » en proposant :

Voies d'application automatisées : Migration sécurisée des entreprises du FTSE 100 et des PME de p=none à p=reject sans bloquer les communications commerciales critiques ou le flux de courrier des services.

Simplification de l'infrastructure : dépasser la « limite des 10 recherches » grâce à SPF , héberger MTA-STS pour combler le déficit de chiffrement de 79 , 4 % et validation des enregistrements DNSSEC dans un tableau de bord unique et natif du cloud.

Préparation réglementaire : Soutien à la conformité avec le RGPDet UK Cyber Essentialset PCI-DSS 4.0 en simplifiant la protection anti-hameçonnage et en sécurisant les communications électroniques sensibles.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Le Royaume-Uni est actuellement la cible principale des attaques de phishing et de fraude à la facture basées sur l'IA. Si les équipes informatiques britanniques excellent dans la publication de registres fondamentaux, elles sont souvent paralysées par la crainte de bloquer des e-mails légitimes. En 2026, une posture de « simple surveillance » revient essentiellement à capituler face à des techniques d'usurpation sophistiquées. Le passage à une défense active n'est pas seulement une mise à niveau de la sécurité ; il est essentiel pour se protéger contre les violations qui visent le cœur de l'économie numérique britannique. »

Équipe PowerDMARC

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption au Royaume-Uni montrent que les bases sont en place ; il est maintenant temps de passer à la vitesse supérieure. Dans un contexte où l'IA peut parfaitement imiter le ton d'un dirigeant, il ne suffit plus de miser uniquement sur la « visibilité ».

Ne laissez pas votre domaine rester une « frontière non protégée ». Passez d'une surveillance passive à une protection active avant que la prochaine vague d'attaques coordonnées ne frappe votre secteur.

Contactez PowerDMARC pour commencer votre parcours vers la mise en application.

15 jours d'essaiRéservez une démo