Discuté depuis 2012, formalisé en 2015 (si vous aimez, n’hésitez pas à lire la RFC 7489, bien plus classe que le dernier Marc Levy sur les plages d’Hossegor), on ne peut pas dire que DMARC soit un sujet qui déchaîne les foules. Si l’usage de DMARC a progressé depuis 2015, son adoption laisse encore a désiré. Nous nous sommes donc intéressés aux 40 plus grandes entreprises françaises afin de vérifier quelles précautions celles-ci prennent afin de sécuriser leurs flux emails.
Sécuriser les flux emails
L’objectif principal de DMARC est de venir sécurisé les flux emails afin d’éviter les différentes formes d’usurpation d’identité.
DMARC permet plusieurs choses :
- Comprendre quand un flux email « légitimes » est mal authentifié (on a un article dédié à l’authentification email si vous voulez en savoir plus sur le sujet)
- Détecter des flux email non-légitimes qui tenteraient d’usurper votre identité (ou en tout cas votre nom de domaine)
- Imposer aux opérateurs de messagerie une politique (DMARC Policy) de traitement des emails ayant des soucis d’authentification.
Ces dernières années, et encore plus en 2020, il devient absolument indispensable d’investir dans DMARC. D’une part, les tentatives d’usurpation (même dans des domaines moins financiers), continuent à augmenter. D’autre part, de plus en plus d’opérateurs de messageries utilisent DMARC dans leur mix de réputation.
Pour illustrer ce dernier point, il est intéressant de faire le parallèle avec HTTPS. Aujourd’hui, si votre site web n’est pas correctement sécurisé avec HTTPS, vous risquez de perdre des points dans votre stratégie SEO, et donc d’être rétrogradé, dans Google par exemple.
Cette carotte (ou ce bâton, ça dépend du point de vue) a clairement fait bougé les lignes, puisque de 30% de sites utilisant HTTPS en 2015, on est passé à environ 80% en 2020.
Avec la future adoption de BIMI par Gmail (après Yahoo!), il est fort probable que l’adoption de DMARC augmente assez rapidement en 2020 et encore plus en 2021.
Quels chiffres avons-nous de l’usage de DMARC dans le monde ?
Avant de passer à nos propres chiffres et à l’usage de DMARC au sein des entreprises du CAC40, regardons de quels chiffres nous disposons au niveau global.
Il existe quelques études, mais on va se limiter à deux d’entre-elles, la première publiée directement sur DMARC.org et la seconde sur Mxtoolbox.
Dans les deux cas, les données collectées s’arrêtent à fin 2019, donc il peut y avoir eu quelques évolutions depuis. L’idée est surtout d’avoir un point de comparaison avant d’analyser les chiffres du CAC40.
L’étude de MXtoolbox s’appuye sur les entreprises du classement Fortune 500 et sur les 1000 plus gros sites web en terme de trafic tels que classés par Alexa.
Sur ce premier graph, on peut voir que 40 à 50% des entreprises analysées n’ont pas du tout d’enregistrement DMARC et ne sont donc pas capables de détecter les problèmes d’authentification, ni d’imposer une politique DMARC.
On note par contre une grosse différence entre les deux référentiels concernant la policy DMARC. Au niveau des entreprises du Fortune 500, seuls 17% ont une policy « reject » ou « quarantine », alors qu’ils sont 28% dans le top 1000 d’Alexa.
Les données de DMARC.org se basent sur un peu plus de 1,8 millions d’enregistrements DMARC (malheureusement nous n’avons pas d’explications sur la méthodologie de sélection de ces domaines).
Attention, dans le graphique ci-dessous, seuls les domaines ayant un enregistrement DMARC sont analysés, il faut donc faire une conversion pour comparer les données avec celles de Mxtoolbox. On voit ici que 28% des enregistrements DMARC sont en policy « quarantine » ou « reject » en 2019, largement moins que dans les chiffres de Mxtoolbox. Cela s’explique sans doute par le volume de données analysé beaucoup plus important.
On pourrait penser en voyant ces différences de chiffres que les entreprises technologiques (bien mieux représentées dans les chiffres du Top 1000 d’Alexa) sécurisent mieux leurs flux email.
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Quelle adoption de DMARC au sein des entreprises du CAC40 ?
Note méthodologique : Nous avons analysé les domaines utilisés par les entreprises du CAC40 dans leurs communications emails internes (domaines des adresses email des collaborateurs), certains domaines utilisés à des fins marketing ne sont donc pas représentés. Pour chaque domaine, nous avons recueilli : l’enregistrement DMARC, la politique de rejet, la politique de rejet des sous-domaines, la solution de monitoring DMARC utilisée, la politique d’alignement des domaines, l’enregistrement SPF.
Présence d’un enregistrement DMARC
Sur les 40 domaines analysés, 65% possèdent un enregistrement DMARC et 35% n’en ont pas. Dans les entreprises ne publiant aucun enregistrement DMARC, on remarquera des secteurs sensibles comme la finance (Crédit Agricole avec le domaine credit-agricole-sa.fr) ou la défense (Safran avec le domaine safran.fr).
Politique DMARC
Seulement 24% des entreprises publiant un enregistrement DMARC protègent activement leurs domaines. Si l’on ramène ce chiffre à l’ensemble des entreprises du CAC40 (en incluant les entreprises ne publiant pas d’enregistrement DMARC), cela fait à peine 15%. Des chiffres inférieurs aux études internationales publiées par DMARC.org et MXtoolbox.
Quelles solutions de monitoring DMARC ?
Sans surprise, 31% des adresses de récolte des feedbacks DMARC pointent vers des adresses internes (catégorie « Inconnu » dans le graphique), ce qui ne nous permet pas d’identifier la solution de monitoring DMARC utilisée. D’ailleurs, il est fort probable que dans certains cas ces feedbacks ne soient même pas monitorés correctement et que d’autres soient redirigés vers des solutions commerciales.
Sans surprise non plus, c’est Proofpoint qui est identifié comme la principale solution de monitoring DMARC utilisée par les entreprises du CAC40. On avait déjà vu dans une précédente étude que Proofpoint est la solution utilisée massivement par les principales entreprises françaises dans leur lutte contre le spam.
Pour rappel, le monitoring DMARC permet de recevoir des rapports de certaines messageries concernant la niveau de conformité DMARC des emails émis depuis un domaine déterminé et ainsi de vérifier le niveau d’authentification, l’alignement des domaines, de détecter des flux légitimes mal configurés et de détecter des flux non-légitimes.
Les bons… et les moins bons élèves
5 entreprises se démarquent positivement avec des politiques DMARC en rejet ou en quarantaine :
- HERMES INTERNATIONAL
- LVMH
- VINCI
- SCHNEIDER ELECTRIC
- VEOLIA ENVIRONNEMENT
On remarque même que les 3 premiers, en plus d’avoir une politique DMARC en reject, ont aussi des politiques SPF strictes. Il est par contre étonnant de noter que les secteurs les plus à risque (défense, technologie, finance, …) ne sont absolument pas représentés dans ce top 5.
4 entreprises posent clairement problème dans leur sécurisation des flux emails :
- SAINT-GOBAIN
- BOUYGUES
- CREDIT AGRICOLE
- ESSILORLUXOTTICA
Dans les 4 cas il n’y a pas d’enregistrement DMARC sur les domaines de ces entreprises ET les enregistrements SPF posent problème.
Conclusion
Avec seulement 15% des entreprises du CAC40 activement protégées par DMARC. On voit qu’il reste un travail conséquent à effectuer. D’une part pour évangéliser les DSI de l’importance de sécuriser des flux email. Mais évidemment aussi en travail technique conséquent afin de monitorer activement les retours DMARC et de passer à des politiques de quarantaine et de rejet.
Badsender vous accompagne dans votre déploiement DMARC
Le déploiement de DMARC n’est pas à réaliser « à la légère ». C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :
- Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
- Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
- Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
- Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
- Configuration de BIMI
La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.
Photo par Jake Nackos sur Unsplash