Rapport sur l'adoption du DMARC et du MTA-STS aux États-Unis en 2026

Chez PowerDMARC, nous avons analysé la posture d'authentification des e-mails sur les domaines américains, et deux choses nous ont frappés : l'adoption du DMARC est en hausse, mais son application reste inégale, et le MTA-STS accuse un retard important. C'est dans cet écart que persistent les risques d'usurpation d'identité et de déclassement. 

Washington D.C. reste le centre névralgique de la politique mondiale en matière de cybersécurité, mais à l'approche de 2026, l'écart entre les directives et leur mise en œuvre se creuse. Malgré le renforcement des directives fédérales, telles que « Shields Up » de la CISA  et des initiatives nationales plus larges en matière de cybersécurité, les États-Unis restent le terrain de jeu privilégié des escroqueries par usurpation d'identité et par compromission des e-mails professionnels (BEC) basées sur l'IA, qui ont coûté à l'économie plus de 2,9 milliards de dollars l'année dernière.

Cette analyse PowerDMARC révèle qu'un pays a pris des mesures en matière d'authentification d'identité (SPF), mais a laissé la sécurité de la couche transport (MTA-STS) et l'intégrité de la zone (DNSSEC) dangereusement exposées.

Demande de rapport - Adoption du DMARC aux États-Unis

"Les champs obligatoires sont indiqués par un astérisque(*)

Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
Nom*

Vulnérabilités et performances spécifiques à certains secteurs aux États-Unis

Afin de fournir une base de référence claire, voici la situation générale en matière de sécurité aux États-Unis pour l'ensemble des plus de 900 domaines avant d'aborder les secteurs industriels spécifiques.

SPF

SPF États-Unis

DMARC

États-Unis - DMARC-Square

MTA-STS

États-Unis MTA-STS

DNSSEC

Logo BIMI

Indicateurs de sécurité des e-mails aux États-Unis

Métrique Taux d'adoption
Correction du SPF 95.7%
Adoption de DMARC 95.8%
DMARC p=rejeter 49.0%
Adoption de MTA-STS 1.7%
Adoption du DNSSEC 18.0%
Démarrer l'essai de 15 jours

1. Banque et finance : infrastructure hautement sécurisée

États-Unis banques mènent la nation en matière d'application de la loi, mais le volume considérable d'attaques, en particulier la vague de phishing de 2024 contre JPMorgan qui a rapporté 100 millions de dollars, prouve que même les petites failles peuvent avoir des conséquences catastrophiques.

Métrique Taux d'adoption
Correction du SPF 90.9%
DMARC p=rejeter 66.7%
Pas d'enregistrement DMARC 7.6%
Adoption de MTA-STS 3.0%
Adoption du DNSSEC 22.7%
SPF bancaire

Le risque critique

Détournement de confirmation SWIFT. Avec un 97,0 % dans le MTA-STS, des milliers de milliards de confirmations de virements bancaires transitent par des voies non cryptées. Les pirates peuvent les intercepter en cours de transit pour identifier les modifications non autorisées avant que la banque ou le client ne se rende compte de la violation.

La solution PowerDMARC

Automatisé Hébergement MTA-STS. Nous imposons à tous les e-mails transitant par nos serveurs d'utiliser des canaux TLS 1.2+ cryptés, ce qui réduit considérablement les risques de déclassement et d'interception en imposant le protocole TLS pour les e-mails entrants et en exigeant la conformité aux politiques via MTA-STS. Cela permet de répondre aux attentes courantes en matière de gouvernance pour la sécurité du transport des e-mails et des communications avec les fournisseurs.

2. Gouvernement : obligatoire mais vulnérable

Les agences fédérales constituent la référence en matière de DMARC, mais la persistance des attaques de type SolarWinds visant la chaîne d'approvisionnement met en évidence un déficit de visibilité considérable en matière de sécurité des transports.

Métrique Taux d'adoption
Correction du SPF 97.7%
DMARC p=rejeter 80.1%
Pas d'enregistrement DMARC 2.3%
Adoption de MTA-STS 3.4%
Adoption du DNSSEC 54.5%

Le risque critique

Identifiant usurpation. Alors que 80,1 % appliquent p=reject, les 19,9 % autorisent les acteurs étatiques à falsifier des identifiants .gov officiels, contournant ainsi la confiance des citoyens pour diffuser des logiciels malveillants ou collecter des informations personnelles sensibles. La faible adoption du protocole MTA-STS compromet également la sécurité des e-mails entrants.

La solution PowerDMARC

Conformité SCuBA automatisée pour les domaines .gov. Notre plateforme automatise les exigences strictes en matière d'authentification des e-mails de la norme CISA BOD 25-01. Nous fournissons un tableau de bord centralisé pour faire passer les domaines .gov à DMARC p=reject sans aucune charge manuelle, garantissant ainsi que les environnements cloud fédéraux respectent les normes de sécurité SCuBA pour Microsoft 365 et Google Workspace sans risque d'interrompre le flux de messagerie légitime.

3. Santé : le flanc non protégé de la loi HIPAA

La violation de Change Healthcare en 2024 a prouvé que les prestataires médicaux sont ciblés par des expéditeurs tiers usurpés. Malgré l'utilisation croissante de l'authentification multifactorielle (MFA), le courrier électronique reste un maillon faible.

Métrique Taux d'adoption
Correction du SPF 94.9%
DMARC p=rejeter 64.6%
Pas d'enregistrement DMARC 1.3%
Adoption de MTA-STS 1.3%
Adoption du DNSSEC 11.4%

Le risque critique

Fuites PHI Transit. 98,7 des du trafic des e-mails dans le secteur de la santé n'est pas crypté pendant son transit. Cela permet aux pirates d'intercepter les informations médicales protégées (PHI) directement sur le réseau, ce qui entraîne des amendes HIPAA colossales et l'exfiltration des données des patients.

La solution PowerDMARC

Nous fournissons une solution gérée pour la mise en œuvre complète des protocoles DMARC et MTA-STS, garantissant que chaque dossier médical sortant est crypté via MTA-STS hébergé.

Réservez une démo

4. Énergie et services publics : risques liés aux technologies opérationnelles

Post-Colonial Pipeline, le secteur énergétique américain a renforcé sa technologie opérationnelle (OT), mais ses e-mails d'entreprise restent une cible privilégiée pour les ransomwares.

Métrique Taux d'adoption
Correction du SPF 96.8%
DMARC p=rejeter 51.6%
Pas d'enregistrement DMARC 3.2%
Adoption de MTA-STS 1.6%
Adoption du DNSSEC 6.5%
Adoption du protocole DNSSEC dans le secteur de l'énergie

Le risque critique

Pivots de phishing vers OT. Seulement 51,6 % du secteur de l'énergie bloque les fraudes. Les attaquants utilisent de fausses « alertes d'équipement critique » pour inciter les ingénieurs à cliquer sur des liens malveillants, comblant ainsi le fossé entre la boîte de réception de l'entreprise et le réseau électrique physique.

La solution PowerDMARC

Optimisation des enregistrements. Nous sécurisons les communications opérationnelles contre les entrées de phishing en appliquant des politiques DMARC strictes. strictes et en optimisant SPF complexes afin de respecter les limites de recherche DNS.

5. Éducation : la récolte de la propriété intellectuelle

Les campus américains sont des cibles de choix pour le vol de propriété intellectuelle, mais ils affichent les taux d'application de la loi les plus bas du pays.

Métrique Taux d'adoption
Correction du SPF 96.6%
DMARC p=rejeter 30.3%
Pas d'enregistrement DMARC 2.2%
Adoption de MTA-STS 3.4%
Adoption du DNSSEC 12.4%

Le risque critique

Collecte des identifiants universitaires. Faible DMARC p=reject (30,3 %) permet aux pirates de falsifier les identifiants .edu, ce qui leur donne accès à des bases de données de recherche valant plusieurs millions de dollars et aux dossiers financiers des anciens élèves.

La solution PowerDMARC

Nous simplifions l'adoption et la mise en œuvre, nous aidons à gérer des milliers de sous-domaines départementaux à partir d'un seul tableau de bord, réduisant ainsi considérablement les tentatives de phishing réussies sur l'ensemble du campus.

6. Les médias : amplificateurs de désinformation

Les rédactions luttent contre les fausses informations, mais leurs propres domaines de messagerie électronique sont souvent utilisés pour les diffuser via des signatures falsifiées.

Métrique Taux d'adoption
Correction du SPF 96.7%
DMARC p=rejeter 30.4%
Pas d'enregistrement DMARC 5.5%
Adoption de MTA-STS 0.4%
Adoption du DNSSEC 3.3%
Logo BIMI

Le risque critique

Usurpation d'identité à la source. Avec un MTA-STS proche de zéro (0,4 %) et une faible application du DMARC, les communications privées des journalistes avec des sources sensibles sont visibles par toute personne surveillant le réseau, et leurs signatures peuvent être facilement usurpées pour diffuser de fausses informations.

La solution PowerDMARC

Intégrité de la source. Nous déplaçons les domaines médias vers p=reject, garantissant ainsi que seuls les journalistes vérifiés peuvent envoyer des e-mails depuis le domaine de la salle de rédaction, préservant ainsi la confiance dans la marque à l'ère des guerres de l'information.

Démarrer l'essai de 15 jours

7. Télécommunications : aimant à arnaques pour les abonnés

Les opérateurs protègent leurs réseaux, mais laissent leurs boîtes de réception grandes ouvertes, alimentant ainsi l'épidémie de SIM swap qui coûte chaque année des milliards aux Américains.

Métrique Taux d'adoption
Correction du SPF 96.6%
DMARC p=rejeter 41.4%
Pas d'enregistrement DMARC 8.0%
Adoption de MTA-STS 2.3%
Adoption du DNSSEC 12.6%

Le risque critique

Fraude à la facturation et piratage de comptes. Taux élevés de « No-DMARC » (8,0 %) permettent aux fraudeurs d'envoyer de fausses alertes de facturation qui semblent légitimes, incitant les utilisateurs à révéler les codes 2FA nécessaires au remplacement de la carte SIM.

La solution PowerDMARC

SIM-Phish Slamming. Notre plateforme applique le principe p=reject à tous les domaines des opérateurs et héberge MTA-STS afin de sécuriser les flux de facturation automatisés, ce qui rend difficile pour les escrocs d'utiliser le nom de l'opérateur à l'encontre de ses abonnés.

8. Transport et logistique : le compromis de la chaîne d'approvisionnement

Les compagnies aériennes et les réseaux ferroviaires sont confrontés à des « détournements logistiques », où des manifestes falsifiés entraînent le vol de marchandises et le détournement de livraisons de carburant.

Métrique Taux d'adoption
Correction du SPF 90.2%
DMARC p=rejeter 42.4%
Pas d'enregistrement DMARC 1.1%
Adoption de MTA-STS 0.0%
Adoption du DNSSEC 12.0%

Le risque critique

Vol de manifeste en texte clair. A 100,0 % dans le MTA-STS signifie que tous les manifestes de cargaison envoyés par e-mail ne sont pas cryptés. Les attaquants peuvent intercepter les valeurs et les itinéraires des expéditions afin de coordonner le vol physique ou numérique de marchandises « juste à temps ».

La solution PowerDMARC

Canaux logistiques sécurisés contre la fraude. Nous fournissons un hébergement MTA-STS en un clic qui sécurise la couche de transport, garantissant que les données sensibles relatives à l'expédition sont cryptées de bout en bout, empêchant ainsi les perturbations de type « man-in-the-middle » déclenchées par e-mail.

Sous le capot : quatre faiblesses structurelles

Le fossé de mise en œuvre p=none

46,8 % des domaines américains ont DMARC mais ne sont pas appliqués (p=none ou quarantine). L'état actuel p=none ne permet pas de remédier au problème, ce qui permet aux attaquants de continuer à usurper l'identité de marques de confiance tandis que l'organisation se contente d'observer l'activité dans les journaux.

« Une politique DMARC définie sur p=none fournit uniquement des rapports et une visibilité sur les tentatives d'usurpation d'identité, sans les bloquer. Bien que le taux d'adoption élevé aux États-Unis soit encourageant, il est nécessaire de passer à une politique DMARC p=reject afin de prévenir activement l'utilisation non autorisée des e-mails. Sans application, les domaines de messagerie restent vulnérables. »

Maitham Al Lawati, PDG, PowerDMARC

« Nous constatons régulièrement ce phénomène dans les entreprises du classement Fortune 500 : elles ajoutent un nouvel outil marketing et, soudainement, leurs e-mails de facturation commencent à être rejetés. La limite de 10 requêtes est un plafond strict dans le DNS. Sans techniquesSPF telles que l'aplatissement ou les macros pour compresser ces enregistrements, l'expansion de votre pile numérique perturbe inévitablement la délivrabilité de vos e-mails. »

Yunes Tarada, responsable de la prestation de services, PowerDMARC

SPF à grande échelle

Alors que 95,7 % des domaines ont un SPF, les 4,3 % présentent des erreurs de configuration critiques. Dans les entreprises américaines complexes, cela provient souvent du dépassement de la « limite de 10 requêtes » pour les requêtes DNS, ce qui fait que les e-mails légitimes provenant de fournisseurs tiers (CRM, systèmes RH) échouent à l'authentification et disparaissent.

MTA-STS : le déficit de cryptage

Avec 98,3 % d'exposition à tous les niveaux, les États-Unis présentent une lacune de contrôle quasi totale en matière de sécurité des transports. Sans MTA-STS, les attaquants peuvent mener des « attaques par rétrogradation », forçant les serveurs de messagerie à abandonner le chiffrement et à transmettre les messages en texte clair, lisibles par toute personne surveillant le réseau.

« Le chiffrement standard des e-mails (STARTTLS) est opportuniste : il demande le chiffrement, mais ne l'impose pas. Le MTA-STS est un moyen de renforcer la sécurité du transport. Avec la quasi-totalité du trafic américain exposé, il est facile pour un pirate informatique de supprimer le cryptage et de lire les communications sensibles des entreprises en transit. »

Ayan Bhuiya, chef d'équipe des opérations et de la livraison, PowerDMARC

« Les organisations investissent massivement dans la construction de la confiance envers leur marque, mais un seul détournement DNS peut détruire cela en quelques secondes. Le protocole DNSSEC agit comme le gardien de votre identité numérique, garantissant que lorsque les clients vous contactent, ils se connectent avec votre véritable identité. Il ne s'agit plus seulement d'un protocole informatique, mais d'un élément fondamental de la gestion de la réputation de la marque. »

Ahona Rudra, directeur marketing, PowerDMARC

DNSSEC : une base fragile

DNSSEC est activé sur seulement 18,0 % des domaines. Sans cela, le système de répertoire de l'Internet (DNS) n'est pas protégé. Des pirates sophistiqués soutenus par des États peuvent détourner le réponse DNS et rediriger l'ensemble du flux d'e-mails d'une entreprise vers un serveur malveillant sans que l'expéditeur ou le destinataire ne s'en aperçoivent.

Contactez-nous

Benchmarking mondial : les États-Unis dans leur contexte

PaysSPF CorrectAdoption de DMARCDMARC p=rejeterMTA-STS (cryptage)Adoption du DNSSEC
États-Unis 🇺🇸95.7%95.8%49.0%1.7%18.0%
Pays-Bas 🇳🇱92.4%88.5%41.2%14.5%59.0%
Suède 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norvège 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australie 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabie saoudite 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japon 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analyse : la position des États-Unis sur la scène internationale

Les données comparatives pour 2025-2026 révèlent que les États-Unis sont actuellement le leader mondial en matière de défense active, avec le taux le plus élevé de p=rejeter l'application de 49,0 %. Ce taux est nettement supérieur à celui des économies numériques établies telles que l'Australie (26,5) ou le Japon (9,2). Le succès des États-Unis s'explique en grande partie par les premières réglementations obligatoires et l'environnement à haut risque auquel sont confrontés les secteurs bancaire et médical.

Cependant, les États-Unis sont confrontés à un problème de « Technical Tail ». Alors que l'adoption des protocoles SPF DMARC est quasi universelle (95,0 %+), le Royaume des Pays-Bas surpasse largement les États-Unis en matière de cryptage avancé, avec 14,5 d'adoption du protocole MTA-STS contre seulement 1,7. PowerDMARC comble cet écart de mise en œuvre en fournissant un déploiement automatisé des politiques, tout en conservant la gestion des exceptions pour les expéditeurs critiques existants.

De plus, avec un taux d'adoption du protocole DNSSEC de seulement 18,0 %, les États-Unis restent plus vulnérables aux détournements DNS sophistiqués que la Norvège (45,6 %). Cet écart met en évidence l'importance stratégique accordée par les États-Unis à la lutte contre le phishing (DMARC), au détriment des investissements dans la résilience des infrastructures (DNSSEC/MTA-STS). Pour que les États-Unis conservent leur leadership en matière de cybersécurité, la prochaine étape doit aller au-delà de la simple vérification d'identité et s'orienter vers le chiffrement total et l'intégrité de l'écosystème mondial du courrier électronique.

Conclusion : des indicateurs à l'action

Les données sont claires : les États-Unis disposent des spécifications techniques et des enregistrements fondamentaux nécessaires, mais doivent encore passer d'une surveillance passive à une application active des règles de transport. Alors que SPF omniprésent et que l'adoption du DMARC est en plein essor, l'incapacité à faire respecter les règles (p=reject) et à sécuriser la couche de transport (MTA-STS) reste une vulnérabilité qui coûte des milliards de dollars.

Les organisations américaines ne peuvent pas se permettre d'attendre la prochaine directive opérationnelle contraignante de la CISA ou un incident catastrophique de compromission des e-mails professionnels (BEC) pour passer de la surveillance à la protection. PowerDMARC comble cette « lacune de mise en œuvre » en fournissant :

Chemins d'application automatisés : Migration sécurisée des entreprises du Fortune 500 et des PME de p=none à p=reject sans bloquer les communications commerciales critiques.

Simplification de l'infrastructure : Contournement de la « limite de 10 recherches » grâce à SPF , l'hébergement MTA-STS et la validation des enregistrements DNSSEC dans un tableau de bord unique et natif du cloud.

Conformité réglementaire : Prise en charge de la conformité aux normes PCI-DSS 4.0, HIPAA et CISA grâce à la simplification de la protection anti-hameçonnage et à la sécurisation des communications par e-mail.

Réserver une démo Contactez nous

Perspective PowerDMARC

« Les États-Unis sont actuellement le principal laboratoire pour hameçonnage basé sur l'IA phishing. Si les équipes informatiques américaines excellent dans la publication de registres, elles sont souvent paralysées par la crainte de bloquer des e-mails légitimes. En 2026, une posture de « simple surveillance » revient essentiellement à capituler face à l'usurpation d'identité sophistiquée. Le passage à une défense active n'est pas seulement une mise à niveau de la sécurité ; il est essentiel pour se protéger contre les violations sophistiquées. »

Équipe PowerDMARC

Transformez la visibilité en défense dès aujourd'hui

Les taux d'adoption aux États-Unis montrent que les bases sont en place ; il est maintenant temps de passer à la vitesse supérieure. Dans un contexte où l'IA peut parfaitement imiter le ton d'un dirigeant, il ne suffit plus de miser uniquement sur la « visibilité ».

Ne laissez pas votre domaine rester une « frontière non protégée ». Passez d'une surveillance passive à une protection active avant que la prochaine vague d'attaques coordonnées ne frappe votre secteur.

Contactez PowerDMARC pour commencer votre parcours vers la mise en application.

15 jours d'essaiRéservez une démo