MAJ | État des lieux de l’usage de DMARC dans les entreprises du CAC40 !

Le 7 juillet 2020, notre JLO (comprenez Jonathan Loriaux et non Jennifer Lopez :p) avait sorti sur le blog un super article sur « L’État des lieux de l’usage de DMARC dans les entreprises du CAC40 » ! Un an et quelques mois après, je vous propose de faire une petite MAJ de cet article afin de voir si les choses ont changé chez certains… Ou pas ?!?

Petit rappel sur la méthodo de notre analyse !

Pour cette étude, nous avons analysé les domaines utilisés par les entreprises du CAC40 en 2021 dans leurs communications emails internes (domaines des adresses email des collaborateurs), certains domaines utilisés à des fins marketing ne sont donc pas représentés. Pour chaque domaine, nous avons recueilli : l’enregistrement DMARC, la politique de rejet, la politique de rejet des sous-domaines, la solution de monitoring DMARC utilisée, la politique d’alignement des domaines, l’enregistrement SPF.

Cette liste d’entreprises a évolué depuis notre étude de juillet 2020 puisque 6 entreprises sont entrées en 2021 (en vert dans le tableau ci-dessous) et 5 en sont sortis (ACCORHOTELS, ATOS, PSA GROUPE, SODEXO, TECHNIPFMC) :

Étude DMARCIAN des entreprises du TOP100 Retailers

Le 29 novembre 2021, DMARCIAN a sorti une petite étude sur l’usage de DMARC des entreprises du « TOP 100 retailers ». Quand on regarde les résultats fournis par DMARCIAN, on remarque que :

• 44% des entreprises n’ont pas paramétré DMARC sur leur domaine !
• 31% des entreprises ayant un enregistrement DMARC l’ont paramétré à « p=none » ! (Sans action en cas d’échec de DMARC)
• 5% des entreprises ont un enregistrement DMARC restrictif avec « p=quarantine » ! (Mise en spam de l’e-mail en cas d’échec de DMARC)
• 20% des entreprises ayant un enregistrement DMARC l’ont paramétré avec « p=reject » ! (Rejet de l’e-mail en cas d’échec de DMARC)

On constate – avec effroi ? – qu’un peu plus de 4 entreprises sur 10 ne surveillent pas l’activité de leur domaine… N’hésitez pas à aller consulter le site de DMARCIAN, d’autres études ont été faites sur des secteurs différents.

Quelle adoption de DMARC au sein des entreprises du CAC40 en 2021 ?

01. Quel est l’usage de DMARC parmi les entreprises du CAC40 ?

En regardant les chiffres de 2021, on s’aperçoit que le taux d’usage de DMARC a augmenté entre juillet 2020 et décembre 2021 ! Ce chiffre aurait pu être encore plus haut si nous avions pris les mêmes entreprises qu’en 2020 avec les données de 2021. Le taux d’usage de DMARC aurait atteint les 78% !

Parmi les entreprises qui ont quitté le CAC40, ACCORHOTELS, ATOS, SODEXO & TECHNIPFMC avaient un enregistrement DMARC sur leur domaine contrairement à PSA GROUPE. Et parmi celles l’ayant intégré, STELLANTIS NV & WORLDLINE utilisent un enregistrement DMARC sur leur domaine contrairement à ALSTOM, EUROFINS SCIENTIF, TELEPERFORMANCE & UNIVERSAL MUSIC GR.

On notera que entre ces deux périodes d’analyse, les entreprises CREDIT AGRICOLE, DANONE, ESSILORLUXOTTICA, PUBLICIS GROUPE ont publié un enregistrement DMARC sur leur domaine (bravo à eux :p). À contrario, DASSAULT SYSTEMES (Industrie), ORANGE (Télécommunication) ou encore SAINT-GOBAIN (Industrie) n’ont toujours pas déployé DMARC sur leur domaine !

02. Quelles sont les politiques DMARC déployées ?

Si l’on compare les chiffres de 2020 et 2021, on remarque une belle augmentation de l’utilisation d’un enregistrement DMARC restrictif puis 55% des entreprises ont publié soit une politique « quarantine », soit une politique « reject ». En revanche, l’utilisation de la politique « reject » est devenu majoritaire par rapport à la politique « quarantine », ce qui montre l’intérêt de durcir le niveau de sécurité de leur nom de domaine.

Enfin, si l’on compare ces chiffres de 2021 avec l’étude faite par DMARCIAN sur le TOP 100 Retailers, on constate que l’utilisation des politiques restrictives est beaucoup plus importantes côté CAC40.

Est-ce dû à une meilleure prise de conscience de la sécurité des noms de domaine de la part des entreprises du CAC40 ???

03. Quelle sont les solutions de monitoring utilisées ?

Comme en juillet 2020, 31% des adresses de récolte des feedbacks DMARC pointent vers des adresses internes (catégorie « Inconnu » dans le graphique), ce qui ne nous permet pas d’identifier la solution de monitoring DMARC utilisée. D’ailleurs, il est fort probable que dans certains cas ces feedbacks ne soient même pas monitorés correctement et que d’autres soient redirigés vers des solutions commerciales.

Autre point important, Proofpoint reste le principal outil de monitoring DMARC utilisé (celui-ci est même en hausse par rapport à 2020), ce qui reste logique puisque leur solution reste utilisée massivement par les principales entreprises françaises dans leur lutte contre le spam (j’ai pu le remarquer sur des analyses dues à des blocages de domaines BtoB).

Pour rappel, le monitoring DMARC permet de recevoir des rapports de certaines messageries concernant le niveau de conformité DMARC des emails émis depuis un domaine déterminé et ainsi de vérifier le niveau d’authentification, l’alignement des domaines, de détecter des flux légitimes mal configurés et de détecter des flux non-légitimes.

MAJ des bons… et des moins bons élèves !

On va commencer par le super bon élève :

• TOTAL

Total a déployé une politique DMARC à « reject » avec des alignements SPF & « DKIM » à « Strict » et un enregistrement SPF à « Strict » !

Puis les autres bons élèves :

• HERMES INTERNATIONAL
• LVMH
• STELLANTIS NV
• VINCI

Ces 4 entreprises ont déployé exactement le même paramétrage, à savoir une politique DMARC à « reject » avec des alignements SPF & « DKIM » à « Souple » et un enregistrement SPF à « Strict ».

Du côté des 2 moins bons élèves, on retrouve encore :

• SAINT-GOBAIN
• BOUYGUES

Pour SAINT-GOBAIN, aucune déclaration DMARC est présente sur le domaine et l’enregistrement SPF est trop permissif ( ?all). Concernant BOUYGUES, aucune déclaration DMARC n’est présent et leur enregistrement SPF est déprécié (SPF se déclare uniquement dans un enregistrement TXT) !

Je conclus…

Je conclurai cet article par ces quelques mots… Du progrès !

Quand j’ai fait cette mise à jour, je ne pensais pas forcément trouver de grand changement vis-à-vis d’adoption de DMARC ! Avec un bond de l’utilisation de la politique « reject », 31% en 2021 vs. 12% en 2020, on peut dire que la sécurisation des noms de domaine commence à devenir une priorité « haute » du côté des entreprises (l’augmentation des fraudes par e-mail en est certainement une des causes).

Rendez-vous l’année prochaine pour une nouvelle MAJ et j’espère encore une fois être de nouveau surpris :)

Badsender vous accompagne dans votre déploiement DMARC

Le déploiement de DMARC n’est pas à réaliser « à la légère ». C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :

1. Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
2. Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
3. Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
4. Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
5. Configuration de BIMI

La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.

N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!

La dernière étude réalisée sur l’usage de DMARC :

• 07/07/2020 : Etat des lieux de l’usage de DMARC dans les entreprises du CAC40 en Juillet 2020