Rapport sur l'adoption du DMARC et du MTA-STS aux États-Unis en 2026

Le rapport 2026 de PowerDMARC sur l'authentification des e-mails aux États-Unis avait pour objectif d'étudier l'adoption du protocole DMARC dans le pays, sa configuration et l'importance accordée aux protocoles avancés de sécurité du transit, tels que MTA-STS et DNSSEC. Nos statistiques couvrent l'ensemble du territoire national ainsi que ses principaux secteurs d'activité afin de mettre en lumière des problèmes de sécurité majeurs qui restent souvent méconnus.

Ce qui n'est pas surprenant, c'est l'adoption massive du protocole DMARC, qui témoigne d'une prise en compte sérieuse des protocoles d'authentification des e-mails. La surprise vient plutôt de l'absence de protection au niveau du transit, là où les risques d'usurpation d'identité et de « downgrade » sont les plus élevés.

Malgré le renforcement des recommandations fédérales, telles que la campagne « Shields Up » de la CISA  et les initiatives nationales plus larges en matière de cybersécurité, les États-Unis restent un terrain de prédilection pour l’usurpation d’identité basée sur l’IA et les escroqueries de type « Business Email Compromise » (BEC), qui ont coûté à l’économie plus de 2,9 milliards de dollars l’année dernière.

Cette analyse de PowerDMARC met en évidence un pays qui a pris des mesures en matière d'authentification d'identité (SPF), mais qui a laissé la sécurité de la couche de transport (MTA-STS) et l'intégrité des zones (DNSSEC) dangereusement exposées. Voyons rapidement ce que révèle ce rapport.

Demande de rapport - Adoption du DMARC aux États-Unis

"Les champs obligatoires sont indiqués par un astérisque(*)

Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
Nom*

Situation générale en matière de sécurité des e-mails aux États-Unis

L'authentification des e-mails aux États-Unis repose sur un système à deux niveaux : des enregistrements de base quasi universels (SPF DMARC) associés à une protection minimale au niveau de la couche de transport (MTA-STS et DNSSEC). Sur plus de 900 domaines, les indicateurs de référence sont les suivants :

SPF

SPF États-Unis

DMARC

États-Unis - DMARC-Square

MTA-STS

États-Unis MTA-STS

DNSSEC

Logo BIMI

Indicateurs de sécurité des e-mails aux États-Unis

Métrique Taux d'adoption
Correction du SPF 95.7%
Adoption de DMARC 95.8%
DMARC p=rejeter 49.0%
Adoption de MTA-STS 1.7%
Adoption du DNSSEC 18.0%
Démarrer l'essai de 15 jours

1. Banque et finance : infrastructure hautement sécurisée

L'arnaque par hameçonnage de JPMorgan de 2024 a rapporté 100 millions de dollars, ce qui confirme une fois de plus que, bien que les banques américaines banques accordent la priorité à la répression, cela ne suffit pas à garantir la sécurité de tous.

Métrique Taux d'adoption
Correction du SPF 90.9%
Adoption de MTA-STS 3.0%
Adoption du DNSSEC 22.7%
SPF bancaire

❌Risque critique

Détournement des confirmations SWIFT : Avec une faille de 97,0 % dans le protocole MTA-STS, les pirates peuvent intercepter les confirmations de virement bancaire en cours de transmission avant même que la violation ne soit détectée.

✅Correction PowerDMARC

Automatisé Hébergement MTA-STS: Le transit des e-mails s'effectue via des canaux chiffrés TLS 1.2+, ce qui réduit considérablement les risques de rétrogradation et d'interception en imposant le protocole TLS pour la livraison entrante et en exigeant le respect des politiques via MTA-STS.

2. Gouvernement : obligatoire mais vulnérable

Les agences fédérales américaines jouent un rôle de premier plan dans la mise en œuvre du protocole DMARC, conformément aux directives opérationnelles contraignantes de la CISA. Un manque de visibilité persiste largement en matière de sécurité du transport.

Métrique Taux d'adoption
Correction du SPF 97.7%
DMARC p=rejeter 80.1%
Adoption de MTA-STS 3.4%

❌Risque critique

Critique Usurpation d'identité: Compte tenu de la nature des exigences en matière de sécurité, même le manque de 19,9 % permet à des acteurs étatiques étrangers de falsifier des identifiants officiels .gov, contournant ainsi la confiance des citoyens pour diffuser des logiciels malveillants ou collecter des informations personnelles sensibles.

✅Correction PowerDMARC

Conformité SCuBA automatisée pour les domaines .gov : Notre plateforme automatise les exigences d’authentification des e-mails définies par la directive CISA BOD 25-01, en fournissant un tableau de bord centralisé permettant de faire passer les domaines .gov au paramètre DMARC « p=reject » sans aucune intervention manuelle, tout en respectant les normes de sécurité SCuBA pour M365 et Google Workspace.

3. Santé : le flanc non protégé de la loi HIPAA

Vous vous souvenez de la fuite de données chez Change Healthcare en 2024 ? Les prestataires de soins de santé sont constamment pris pour cible par des expéditeurs tiers usurpés, et le courrier électronique reste un maillon faible.

Métrique Taux d'adoption
DMARC p=rejeter 64.6%
Adoption de MTA-STS 1.3%
Adoption du DNSSEC 11.4%

❌Risque critique

Fuites de données à caractère personnel dans les transports : 98,7 % du trafic d'e-mails dans le secteur de la santé n'est pas chiffré lors de son transfert. Les pirates peuvent intercepter les informations de santé protégées (PHI) directement sur le réseau, ce qui entraîne des amendes HIPAA colossales et l'exfiltration des données des patients.

✅Correction PowerDMARC

Gère la mise en œuvre complète des protocoles DMARC et MTA-STS, en veillant à ce que chaque dossier médical sortant soit chiffré via un service MTA-STS hébergé.

Réservez une démo

4. Énergie et services publics : risques liés aux technologies opérationnelles

Malgré les progrès réalisés, la messagerie d'entreprise reste une surface d'attaque active pour les ransomwares dans ce secteur.

Métrique Taux d'adoption
Correction du SPF 96.8%
DMARC p=rejeter 51.6%
Adoption de MTA-STS 1.6%
Adoption du protocole DNSSEC dans le secteur de l'énergie

❌Risque critique

Pivots de phishing vers les systèmes OT : Près de la moitié du secteur n'est pas en mesure de bloquer les e-mails usurpés, ce qui fait de la boîte de réception une porte d'entrée vers le réseau physique.

✅Correction PowerDMARC

Optimisation des enregistrements : Applique strictement les politiques DMARC sur l’ensemble des domaines des services publics et compresse SPF complexes à l’aide de PowerSPF, tout en respectant les limites de recherche DNS et en sécurisant les communications opérationnelles.

5. Éducation : la récolte de la propriété intellectuelle

L'enseignement supérieur américain affiche le taux d'application de la norme DMARC le plus faible de tous les secteurs aux États-Unis, alors même que les universités constituent des cibles de premier plan pour le vol de propriété intellectuelle, la fraude aux subventions de recherche et hameçonnage ciblé.

Métrique Taux d'adoption
DMARC p=rejeter 30.3%
Adoption de MTA-STS 3.4%
Adoption du DNSSEC 12.4%

❌Risque critique

Collecte d'identifiants universitaires : Un taux de rejet de 30,3 % signifie qu'environ sept campus sur dix permettent à des pirates de falsifier des e-mails .edu, leur donnant ainsi accès à des bases de données de recherche valant plusieurs millions de dollars, à des demandes de subventions et aux dossiers financiers des anciens étudiants.

✅Correction PowerDMARC

Gérez des milliers de sous-domaines départementaux à partir d'un seul tableau de bord. Appliquez des politiques de sécurité à l'échelle du campus afin de réduire le nombre d'attaques de hameçonnage réussies au sein des services destinés au corps enseignant, aux anciens élèves et aux étudiants.

6. Les médias : amplificateurs de désinformation

La lutte menée par les rédactions contre les fausses informations reste sans effet en raison du faible recours à l'authentification. En tant que sources d'information nationales, il s'agit là d'une lacune majeure à combler.

Métrique Taux d'adoption
DMARC p=rejeter 30.4%
Adoption de MTA-STS 0.4%
Adoption du DNSSEC 3.3%
Logo BIMI

❌Risque critique

Source : Usurpation d'identité : Avec un niveau de mise en œuvre quasi nul du protocole MTA-STS et une faible application du protocole DMARC, les communications privées des journalistes avec leurs sources sensibles sont accessibles à toute personne surveillant le réseau.

✅Correction PowerDMARC

Intégrité de la source : Déplace les domaines des médias vers p=reject, afin que seuls les journalistes vérifiés puissent envoyer des e-mails depuis le domaine de la publication. Ajouter BIMI pour afficher un logo de vérification dans les boîtes de réception des destinataires, renforçant ainsi la confiance envers le contenu éditorial.

Démarrer l'essai de 15 jours

7. Télécommunications : aimant à arnaques pour les abonnés

Les opérateurs protègent leurs réseaux mais laissent leurs boîtes de réception grandes ouvertes, ce qui alimente l'épidémie de « SIM swap » qui coûte des milliards aux Américains chaque année.

Métrique Taux d'adoption
DMARC p=rejeter 41.4%
Adoption de MTA-STS 2.3%
Adoption du DNSSEC 12.6%

❌Risque critique

Fraude à la facturation et piratage de comptes : Les escrocs envoient des alertes de facturation d'apparence authentique qui leur permettent de récupérer des codes d'authentification à deux facteurs (2FA), lesquels sont ensuite utilisés pour autoriser des échanges de carte SIM et vider des comptes bancaires.

✅Correction PowerDMARC

SIM-Phish Slamming : Applique le paramètre « p=reject » sur l'ensemble des domaines des opérateurs et héberge MTA-STS afin de sécuriser les flux de facturation automatisés.

8. Transport et logistique : le compromis de la chaîne d'approvisionnement

Les compagnies aériennes et les réseaux ferroviaires sont confrontés à des « détournements logistiques », où des manifestes falsifiés entraînent le vol de marchandises et le détournement de livraisons de carburant.

Métrique Taux d'adoption
Correction du SPF 90.2%
DMARC p=rejeter 42.4%
Pas d'enregistrement DMARC 1.1%
Adoption de MTA-STS 0.0%
Adoption du DNSSEC 12.0%

❌Risque critique

Vol de manifestes en texte clair: Un faille à dans le protocole MTA-STS signifie que tous les manifestes de fret envoyés par e-mail ne sont pas chiffrés. Les pirates peuvent facilement intercepter les valeurs et les itinéraires des expéditions afin d’organiser le vol physique ou numérique des marchandises.

✅Correction PowerDMARC

Canaux logistiques à l'épreuve de la fraude: L'hébergement MTA-STS en un clic sécurise la couche de transport, garantissant le chiffrement de bout en bout des données d'expédition sensibles et empêchant les attaques de type « man-in-the-middle » déclenchées par e-mail.

Quatre faiblesses structurelles à l'origine du déficit d'application de la loi

Le fossé de mise en œuvre p=none

46,8 % des domaines américains ont DMARC mais ne sont pas appliqués (p=none ou quarantine). L'état actuel p=none ne permet pas de remédier au problème, ce qui permet aux attaquants de continuer à usurper l'identité de marques de confiance tandis que l'organisation se contente d'observer l'activité dans les journaux.

« Une politique DMARC définie sur p=none fournit uniquement des rapports et une visibilité sur les tentatives d'usurpation d'identité, sans les bloquer. Bien que le taux d'adoption élevé aux États-Unis soit encourageant, il est nécessaire de passer à une politique DMARC p=reject afin de prévenir activement l'utilisation non autorisée des e-mails. Sans application, les domaines de messagerie restent vulnérables. »

Maitham Al Lawati, PDG, PowerDMARC

« Nous constatons régulièrement ce phénomène dans les entreprises du classement Fortune 500 : elles ajoutent un nouvel outil marketing et, soudainement, leurs e-mails de facturation commencent à être rejetés. La limite de 10 requêtes est un plafond strict dans le DNS. Sans techniquesSPF telles que l'aplatissement ou les macros pour compresser ces enregistrements, l'expansion de votre pile numérique perturbe inévitablement la délivrabilité de vos e-mails. »

Yunes Tarada, responsable de la prestation de services, PowerDMARC

SPF à grande échelle

Alors que 95,7 % des domaines ont un SPF, les 4,3 % présentent des erreurs de configuration critiques. Dans les entreprises américaines complexes, cela provient souvent du dépassement de la « limite de 10 requêtes » pour les requêtes DNS, ce qui fait que les e-mails légitimes provenant de fournisseurs tiers (CRM, systèmes RH) échouent à l'authentification et disparaissent.

MTA-STS : le déficit de cryptage

Avec 98,3 % d'exposition à tous les niveaux, les États-Unis présentent une lacune de contrôle quasi totale en matière de sécurité des transports. Sans MTA-STS, les attaquants peuvent mener des « attaques par rétrogradation », forçant les serveurs de messagerie à abandonner le chiffrement et à transmettre les messages en texte clair, lisibles par toute personne surveillant le réseau.

« Le chiffrement standard des e-mails (STARTTLS) est opportuniste : il demande le chiffrement, mais ne l'impose pas. Le MTA-STS est un moyen de renforcer la sécurité du transport. Avec la quasi-totalité du trafic américain exposé, il est facile pour un pirate informatique de supprimer le cryptage et de lire les communications sensibles des entreprises en transit. »

Ayan Bhuiya, responsable d'équipe des opérations et de la prestation de services, PowerDMARC

« Les organisations investissent massivement dans la construction de la confiance envers leur marque, mais un seul détournement DNS peut détruire cela en quelques secondes. Le protocole DNSSEC agit comme le gardien de votre identité numérique, garantissant que lorsque les clients vous contactent, ils se connectent avec votre véritable identité. Il ne s'agit plus seulement d'un protocole informatique, mais d'un élément fondamental de la gestion de la réputation de la marque. »

Ahona Rudra, directeur marketing, PowerDMARC

DNSSEC : une base fragile

DNSSEC est activé sur seulement 18,0 % des domaines. Sans cela, le système de répertoire de l'Internet (DNS) n'est pas protégé. Des pirates sophistiqués soutenus par des États peuvent détourner le réponse DNS et rediriger l'ensemble du flux d'e-mails d'une entreprise vers un serveur malveillant sans que l'expéditeur ou le destinataire ne s'en aperçoivent.

Contactez-nous

Benchmarking mondial : les États-Unis dans leur contexte

PaysSPF CorrectAdoption de DMARCDMARC p=rejeterMTA-STS (cryptage)Adoption du DNSSEC
États-Unis 🇺🇸95.7%95.8%49.0%1.7%18.0%
Pays-Bas 🇳🇱92.4%88.5%41.2%14.5%59.0%
Suède 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norvège 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australie 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabie saoudite 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japon 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse : les domaines dans lesquels les États-Unis sont en tête et ceux où ils sont à la traîne

Les données comparatives pour la période 2025-2026 révèlent que les États-Unis sont actuellement le leader mondial en matière de défense active, affichant le taux le plus élevé taux d’application des rejets de 49,0 %. Ce succès s’explique en grande partie par des obligations réglementaires mises en place très tôt et par l’environnement à haut risque dans les secteurs bancaire et de la santé.

Cependant, les États-Unis sont confrontés à un problème de « lacunes techniques ». Alors que l’adoption SPF fondamentales SPF DMARC est quasi généralisée, les Pays-Bas devancent largement les États-Unis en matière de chiffrement avancé. Cela met en évidence une stratégie axée sur la lutte contre le phishing (DMARC), au détriment d’un investissement insuffisant dans la résilience des infrastructures (DNSSEC/MTA-STS).

De plus, avec un taux d'adoption du protocole DNSSEC de seulement 18,0 %, les États-Unis restent plus vulnérables aux détournements DNS sophistiqués que la Norvège (45,6 %). Cet écart met en évidence l'importance stratégique accordée par les États-Unis à la lutte contre le phishing (DMARC), au détriment des investissements dans la résilience des infrastructures (DNSSEC/MTA-STS). Pour que les États-Unis conservent leur leadership en matière de cybersécurité, la prochaine étape doit aller au-delà de la simple vérification d'identité et s'orienter vers le chiffrement total et l'intégrité de l'écosystème mondial du courrier électronique.

Des indicateurs à l'action : combler le fossé entre théorie et pratique

Les États-Unis disposent des bases nécessaires pour jouer un rôle de premier plan à l'échelle mondiale en matière d'authentification des e-mails. Le travail qui reste à accomplir est d'ordre opérationnel : il s'agit de passer de la surveillance à l'application des règles, et de mettre en place une protection au niveau de la couche de transport, que la plupart des organisations reportent en raison de la complexité qu'elles y voient.

PowerDMARC comble cette lacune grâce à trois fonctionnalités :

Procédures d'application automatisées : Faites passer les entreprises du Fortune 500 et les PME du paramètre « p=none » au paramètre « p=reject » sans bloquer les e-mails légitimes.

Simplification de l'infrastructure : Résolvez la SPF de 10 requêtes SPF avec PowerSPF, hébergez les politiques MTA-STS et validez les enregistrements DNSSEC à partir d’un tableau de bord unique natif du cloud.

Préparation à la réglementation : Assurer la conformité à la norme normes PCI-DSS 4.0, HIPAA et CISA à partir d’une seule et même plateforme.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Les États-Unis constituent le principal terrain d'essai pour hameçonnage basé sur l’IA . Les équipes informatiques américaines publient bien les rapports, mais hésitent à les mettre en œuvre par crainte de bloquer des e-mails légitimes. En 2026, se contenter d’une surveillance reviendra de fait à capituler face à l’usurpation d’identité sophistiquée. Le passage à une défense active est une protection essentielle contre les violations de données qui marqueront cette année. »

Équipe PowerDMARC

Conclusion : De la visibilité à la défense

Les données de 2026 sont sans équivoque. Les entreprises américaines ont posé les bases ; la prochaine étape consiste à faire respecter ces mesures. À une époque où l’usurpation d’identité par IA permet de reproduire le ton et le style d’écriture d’un dirigeant dès la première tentative, se contenter d’une simple surveillance revient à prendre du retard.

La transition de p=none à p=reject prend quelques semaines, et non plusieurs trimestres, lorsque les enregistrements sont gérés automatiquement. Les secteurs qui franchiront le pas en premier transformeront le courrier électronique, qui constitue actuellement leur plus grande surface d'attaque, en un canal de communication fiable.

Prêts à passer de la simple visibilité à la défense active ?

Réserver une démonstration

15 jours d'essaiRéservez une démo