Baromètre du protocole DMARC

Baromètre du protocole DMARC
Février 2016
Introduction Evolution de l'adoption à travers le
monde
Plus de quatre ans après son lancement, DMARC (Domain-based Message Authentication,
Reporting & Conformance) demeure l'arme la plus puissante jamais conçue pour lutter contre
les tentatives d'usurpation d'identité (spoofing) et d'hameçonnage (phishing). Ce protocole
d'authentification des emails a transformé de manière radicale le paysage des pratiques
frauduleuses ciblant la messagerie électronique et enrayé des tactiques de phishing de longue
date, protégeant des marques, des effectifs et des usagers toujours plus nombreux. Si DMARC
pourrait bien réduire à néant l'exploitation malveillante de la messagerie, son adoption sera à ce
titre déterminante.
Dans ce baromètre annuel, nous nous penchons sur les progrès réalisés en matière de mise en
œuvre du protocole DMARC. Nous avons pour ce faire analysé plusieurs des plus grandes marques
au monde afin de déterminer les taux d'adoption de DMARC par région, par secteur d'activité et par
étape de mise en œuvre. Nous nous sommes également appuyés sur la plateforme Data Cloud de
Return Path pour évaluer l'adoption du protocole par les opérateurs de messagerie, les entreprises
et les passerelles de messagerie où la mise en œuvre de règles DMARC est essentielle.
Nous sommes fiers de compter parmi les membres fondateurs de DMARC et ravis de constater
que ses taux d'adoption à travers le monde et dans les différents secteurs sont en progression.
Ils n'ont toutefois pas augmenté aussi rapidement que nous ne l'avions escompté dans
certaines régions du globe. Nous espérons toutefois que l'éclairage apporté ici au sujet de
DMARC, qu'il s'agisse des statistiques clés, des résultats obtenus grâce à son implémentation
ou encore des obstacles franchis au sein du secteur, contribuera à sa percée auprès des experts
de la messagerie du monde entier. DMARC aide les sociétés à mieux protéger leurs clients,
leurs marques et leurs revenus contre la fraude email, et nous continuerons de surveiller et de
soutenir son adoption à travers le monde.
Robert Holmes
General Manager, Email Fraud Protection
Baromètre du protocole DMARC, février 2016 — page 2 | Partager cette étude :
Evolution de l'adoption de DMARC
par les expéditeurs au niveau mondial
L'an dernier, Return Path a interrogé plus de 1 000 entreprises mondiales dans 33 pays. Cette étude a montré que seuls 22 % d'entre elles
publiaient un enregistrement DMARC et prenaient par conséquent des mesures proactives pour renforcer leur protection contre la fraude email.
Nous avons réitéré cette étude auprès de ces mêmes sociétés cette année et découvert que ce chiffre s'élevait à présent à 29 %, soit une
hausse de 24 % du taux d'adoption par rapport à l'année dernière.
Si les régions EMEA (Europe, Moyen-Orient et Afrique) et Australie et Nouvelle-Zélande accusent toujours un retard par rapport aux autres
en termes d'adoption globale, avec des taux de 16 et 18 % respectivement, elles enregistrent des hausses plus élevées que l'Amérique du Nord.
C'est en Amérique latine que le progrès a été le plus marqué depuis l'an dernier, avec un bond de 47 %.
L'Amérique du Nord conserve quant à elle la tête du peloton, avec un taux d'adoption de 42 %.
74
395
79
501
1 049
Australie et Nouvelle-Zélande
82 %
18 %
33 %
EMEA
84 %
16 %
25 %
28 %
47 %
42 %
20 %
29 %
24 %
Amérique latine
Etats-Unis et Canada
72 %
58 %
Total
71 %
Taille de
l'échantillon
Aucun
enregistrement DMARC
Règle en place
Evolution sur un an
Baromètre du protocole DMARC, février 2016 — page 3 | Partager cette étude :
DMARC en chiffres
70 %
2,5 milliards
de boîtes aux lettres à travers
le monde sont protégées
de particuliers dans le monde
par DMARC
sont actuellement
de comptes de messagerie
couverts par DMARC
122 %
24 %
145 %
d'augmentation du nombre
de hausse sur un an du
d'augmentation sur un an
d'usagers qui ont envoyé
100 rapports DMARC
voire plus
taux d'adoption de DMARC
du nombre de domaines
parmi les 1 000 plus grandes
disposant d'une règle de rejet
marques mondiales
en 2015
Source : Return Path
Baromètre du protocole DMARC, février 2016 — page 4 | Partager cette étude :
Taux d'adoption de DMARC par les expéditeurs
en fonction du secteur d'activité
La répartition de nos données par secteur
révèle une variation très importante des
taux d'adoption du protocole DMARC.
Les marques les plus grandes et les plus
progressistes dans les principaux secteurs
d'activité ont été parmi les premières
à adopter DMARC. Toutefois, certains
secteurs sont sensiblement plus lents
à adopter des mesures contre les pratiques
frauduleuses ciblant la messagerie.
La plupart se situent en-deçà du taux
moyen d'adoption au niveau mondial,
qui s'élève à 29 %.
Depuis l'an dernier, la couverture DMARC
a été considérablement étendue dans
certains secteurs, tels que les technologies
et les services de paiement, mais elle n'a
pas ou que peu progressé dans d'autres,
comme les médias sociaux et la logistique.
Secteur d'activité
Taille de
l'échantillon
Adoption
de DMARC
Evolution
sur un an
59 %
+8
Médias sociaux
59
Technologies
61
Logistique
22
Services de
paiement
87
32 %
+10
Voyages
110
31 %
+5
Services bancaires
275
Commerce de
détail, jeux en ligne
et eCommerce
267
25 %
+4
Secteur public
16
25 %
+6
FAI et opérateurs de
télécommunications
77
Santé
75
Total
1 049
51 %
41 %
27 %
21 %
+16
0
+8
+5
+5
16 %
29 %
Baromètre du protocole DMARC, février 2016 — page 5 | Partager cette étude :
+6
Les précurseurs
Technologies
Médias sociaux
Comme l'année dernière, le secteur des médias sociaux,
l'un des plus ciblés, fait figure de pionnier dans la lutte contre
les menaces de phishing entrantes et sortantes, avec un
taux d'adoption de DMARC qui passe de 51 % en 2015 à 59 %.
Le secteur dispose de réseaux importants et de technologies
récentes, et se préoccupe résolument de la sécurité
des informations.
Qui plus est, la confiance est un facteur primordial de
son business model, et les marques envoient chaque jour
d'importants volumes de messages à des milliards d'usagers.
Une attaque qui compromettrait les comptes de ces derniers,
exposant ainsi leurs informations personnelles, serait
désastreuse, érodant la confiance dans la marque et mettant
à mal les activités de l'entreprise de manière fulgurante.
Le secteur des technologies constitue sans doute le meilleur
exemple de réussite de la mise en œuvre du protocole DMARC
en 2016. Ces sociétés occupent non seulement la deuxième position
en termes de taux d'adoption global de DMARC, mais elles affichent
également une hausse de 16 % de ce taux depuis l'an dernier,
un record par rapport aux autres secteurs.
Tout comme pour les médias sociaux, nous pensons que cette
progression est due à la fois aux besoins et à la réceptivité
du secteur. Les sociétés technologiques sont conscientes de
l'importance primordiale de protéger leurs clients et leur personnel
contre la fraude email, et elles sont suffisamment agiles pour
assumer les mises à jour de leur système DNS et de leur serveur
de messagerie que requiert l'implémentation de DMARC.
Voyages
Pour en savoir plus, téléchargez
notre guide de la lutte contre la
fraude email dans le secteur des
voyages.
La popularité croissante des voyages en ligne font de ce secteur
une cible toujours plus vulnérable des menaces de sécurité :
en 2015, plus de 20 sites web liés aux voyages ont été victimes
de compromissions de données. Alors que le chiffre d'affaires du
secteur devrait progresser pour atteindre les 523 milliards de dollars
en 2016, les agences de voyage sont parfaitement conscientes
que le canal email doit impérativement être protégé. Avec un
taux d'adoption de DMARC de 31 %, le secteur dépasse à peine
la moyenne intersectorielle. Si ces sociétés affichent des progrès
appréciables, elles ont encore du chemin à parcourir.
Baromètre du protocole DMARC, février 2016 — page 6 | Partager cette étude :
Les retardataires
Santé
Services bancaires
La grande majorité des établissements bancaires interrogés dans
le cadre de cette étude n'utilisent pas le protocole DMARC. Avec
un taux d'adoption de 27 %, le secteur des services bancaires
n'a amélioré son profil d'adoption de DMARC que modestement
depuis l'an dernier, puisqu'il n'a gagné que 8 %.
Le taux d'adoption du protocole DMARC dans le secteur de la santé
continue d'accuser un important retard : il arrive en queue de peloton
pour la deuxième année consécutive, avec un taux de 16 %. Les données
médicales valent dix fois plus qu'un numéro de carte de crédit sur le
marché noir, et elles sont fortement convoitées par les cybercriminels.
Infrastructures informatiques anciennes, écosystèmes email
complexes et aversion pour le risque sont autant de facteurs qui
font obstacle à des remaniements technologiques à l'échelle du
système propices à l'implémentation de solutions antiphishing
innovantes telles que DMARC. Terminons toutefois par une note
très encourageante : le lancement de noms de domaine .bank
pourrait bien représenter une voie sécurisée et privilégiée menant
à l'adoption de DMARC.
Les fournisseurs de soins de santé enregistrent une hausse
exponentielle du nombre d'incidents de sécurité année après année.
Il est donc grand temps que ce secteur adopte des mesures proactives
dans la lutte contre le phishing et le spoofing.
Pour en savoir plus, téléchargez
notre guide de la lutte contre la
fraude email dans le secteur de
la santé.
Commerce de détail
Incontestablement le secteur qui fascine le plus les cybercriminels
ces derniers temps ! En 2010, moins de 10 % des entreprises de
l'indice S&P 100 identifiaient la cybersécurité comme un risque.
Aujourd'hui, elles sont plus 75 % selon Bloomberg.
Hélas, les progrès réalisés par les détaillants dans la protection de
leurs clients et leur personnel contre la fraude email sont largement
insuffisants. Le taux cumulé d'adoption de DMARC de ce secteur et
de ceux des jeux en ligne et de l'eCommerce s'élève à 25 %, soit une
augmentation de seulement 4 % par rapport à l'an dernier.
Pour les détaillants, la messagerie électronique constitue un canal
de premier plan pour développer la relation client et doper les ventes.
S'ils ne prennent pas rapidement les mesures voulues pour le protéger,
ils devront en subir les conséquences, et pour longtemps.
Pour en savoir plus, téléchargez
notre guide de la lutte contre la
fraude email dans le secteur du
commerce de détail.
Baromètre du protocole DMARC, février 2016 — page 7 | Partager cette étude :
Mise en œuvre des règles DMARC
par secteur d'activité
Penchons-nous à présent sur
l'implémentation de DMARC en fonction
des règles adoptées par les marques.
14 %
4 %
8 %
8 %
Surveillance (option « none ») :
La totalité de l'écosystème
d'authentification des emails est
surveillé afin de cartographier le
trafic légitime.
29 %
25 %
56 %
23 %
9 %
13 %
34 %
12 %
Rejet
12 %
Mise en
quarantaine
3 %
6 %
Multiple*
9 %
21 %
Surveillance
(option « none »)
Taille de
l'échantillon
11 %
67 %
83 %
75 %
44 %
39 %
75 %
66 %
46 %
68 %
76 %
275
75
77
22
87
16
267
59
61
110
Santé
FAI et opérateurs de
télécommunications
Logistique
Services de
paiement
Secteur public
Commerce de détail,
jeux en ligne
et eCommerce
Médias sociaux
Technologies
Voyages
11 %
Services bancaires
Les trois secteurs d'activité qui affichent
les taux de mise en œuvre le plus élevés
de la règle de « rejet » sont les services de
paiement (29 %), les médias sociaux (34 %)
et la logistique (56 %), cette règle indiquant
aux opérateurs de messagerie de bloquer
les messages présumés frauduleux.
19 %
6 %
15 %
Une proportion considérable d'expéditeurs
mettent en œuvre une règle de
« surveillance » (c'est-à-dire qu'ils
choisissent l'option « none »). En d'autres
termes, ils adoptent le protocole DMARC
sans toutefois s'engager à davantage de
rigueur dans leurs activités email — là où
ils pourraient bloquer totalement les
messages malveillants.
12 %
Mise en quarantaine : Les messages
qui échouent à l'authentification
DMARC sont remis en dossier
Courriers indésirables.
* Utilisation de plusieurs
domaines d'envoi à
diverses étapes de mise en
œuvre de la règle DMARC
Rejet : Les messages qui échouent
à l'authentification DMARC ne
sont pas remis
Baromètre du protocole DMARC, février 2016 — page 8 | Partager cette étude :
Le protocole DMARC en action : avantages
observés par les adeptes de la première heure
Il peut être difficile de justifier une énième implémentation au sein de votre entreprise en mettant l'accent sur son caractère prioritaire.
Nous avons donc jugé utile de vous faire part des avantages concrets obtenus par quelques entreprises ayant adopté le protocole DMARC
dès le départ afin que, vous aussi, vous vous lanciez dans cette voie en profitant de leur expérience.
Etablissement de services
financiers américains
Après avoir mis en œuvre une règle de rejet DMARC conformément aux recommandations
de Return Path, cette société a vu le taux de blocage des messages suspects passer de 13 %
à 96 %; soit une hausse de 600 %.
Leader mondial du secteur du
transport et de la logistique
Sur une période de 30 jours, plus de 12 millions de messages émanant de 49 domaines ont été
bloqués grâce à DMARC.
Géant américain du commerce
de détail
Après l'implémentation de DMARC, cette marque a non seulement enregistré une réduction
de 92,8 % du nombre d'emails suspects, mais aussi une baisse de 73 % du nombre d'échecs
d'authentification des messages légitimes tous domaines confondus. Résultat : elle a
désormais les meilleures chances de remise de ses emails marketing, transactionnels et de
support à la clientèle.
Blocket, la plus importante
place de marché en ligne
de Suède
Bilan de la mise en œuvre de DMARC : une diminution de 99 % du nombre de messages
suspects en trois mois à peine et une baisse de 70 % des demandes d'assistance liées au
phishing de la part des clients.
Administration fiscale et
douanière du Royaume-Uni
La mise en œuvre des protocoles SPF et DMARC a permis l'élimination d'entre 94 et 100 %
des emails frauduleux.
Baromètre du protocole DMARC, février 2016 — page 9 | Partager cette étude :
Adoption du protocole DMARC par les opérateurs
de messagerie
Les opérateurs de messagerie considèrent la protection proactive de leurs usagers contre le phishing et spoofing comme
une question primordiale, d'où la hausse remarquable de leur taux d'adoption de DMARC au cours des deux dernières années.
On estime qu'aujourd'hui, 70 % des boîtes aux lettres de particuliers sont protégées par DMARC.
« Quasi instantanément,
ces individus peu scrupuleux
qui se faisaient passer pour
nous en falsifiant nos emails
et tentaient d'escroquer
nos usagers à l'aide de
comptes Yahoo! Mail ont été
neutralisés. »
Jeff Bonforte,
SVP, Communications Products,
Yahoo!
Baromètre du protocole DMARC, février 2016 — page 10 | Partager cette étude :
Couverture régionale
Plus les opérateurs de messagerie intègrent DMARC
dans leurs décisions de filtrage des emails, plus fort
est l'impact. Si le taux d'adoption global parmi les
opérateurs de messagerie augmente, l'analyse des
pourcentages de boîtes aux lettres de particuliers
protégées par DMARC montre que certains pays sont
loin devant.
Le Canada figure en tête du classement mondial,
avec un taux de couverture de 90 %, suivi par les
Etats-Unis, le Brésil et l'Espagne (tous trois à 85 %).
Le Royaume-Uni et l'Australie obtiennent de bons
résultats en termes d'adoption, avec respectivement
75 % et 72 %.
85 %
90 %
85 %
Canada
Etats-Unis
Brésil
85 %
75 %
72 %
Espagne
Royaume-Uni
Australie
C'est l'Espagne qui a le plus progressé par rapport à
l'année dernière, augmentant son taux de protection
des boîtes aux lettres de 25 %.
30 %
63 %
53 %
En plus d'être la lanterne rouge (30 %), l'Allemagne a
stagné depuis l'an dernier.
France
Italie
Allemagne
Source : Return Path
Baromètre du protocole DMARC, février 2016 — page 11 | Partager cette étude :
Adoption du protocole DMARC par les éditeurs
de solutions de sécurité
DMARC a fait ses preuves en tant que protection efficace contre
les pratiques frauduleuses ciblant la messagerie, notamment
par l'usurpation de domaines, auprès des usagers. La prise de
conscience toujours plus aiguë de son importance et son adoption
grandissante font lentement leur chemin dans le monde de
l'entreprise. Etant donné que les menaces par email ciblées, telles
que les messages de harponnage, ou spear-phishing, visant les
employés ou ceux dits de whaling, qui ciblent les « gros poissons »,
c'est-à-dire les cadres dirigeants, n'incluent pas nécessairement
une charge active, une URL ou une pièce jointe, il est très difficile
pour les passerelles de messagerie traditionnelles de les détecter
et de les éliminer. Un nombre croissant de ces attaques usurpent les
domaines appartenant à la société pour tromper les employés ciblés.
2015 a vu une augmentation du nombre de passerelles de messagerie
d'entreprise qui ont activé DMARC sur leurs terminaux pour détecter
et bloquer les emails de spear-phishing qui usurpent les domaines
d'entreprise (voir la figure à droite). Cette hausse va s'accompagner
d'une multiplication des entreprises tirant parti de DMARC pour
rejeter les emails qui usurpent leurs domaines et sont pour ce faire
envoyés à partir d'adresses IP qui ne leur appartiennent pas.
Il est toutefois important de noter que les passerelles de messagerie
d'entreprise n'en sont qu'à leurs premières phases du déploiement de
DMARC, et que les fonctions de génération de rapports constituent
toujours un obstacle de taille. En 2016, l'accent sera davantage mis
sur la conception de fonctions de génération de rapports optimisées
et exploitables par les plateformes de renseignements sur les
menaces pour identifier plus rapidement les activités malveillantes.
Baromètre du protocole DMARC, février 2016 — page 12 | Partager cette étude :
L'avenir de DMARC
ARC : un moteur d'adoption de DMARC
En octobre 2015, Google a annoncé qu'il prévoyait de rejoindre Yahoo! et AOL pour devenir le
troisième plus grand opérateur de messagerie à développer son utilisation de DMARC. A partir
de juin 2016, tout email en provenance d'une adresse @gmail.com qui n'aura pas été envoyé
depuis l'infrastructure de Google sera rejeté par les opérateurs de messagerie et les passerelles
d'entreprise sécurisées appliquant le contrôle DMARC.
Les emails ne sont pas tous directement envoyés de l'expéditeur au destinataire. Certains
services, telles que les listes de diffusion ou le transfert de compte, peuvent recevoir des messages
légitimes et y apporter des modifications avant de le transmettre, ce qui peut se solder par un
échec de la mise en correspondance des enregistrements SPF, DKIM et/ou DMARC.
Authenticated Received Chain (ARC) vise à résoudre le problème en préservant les résultats de
l'authentification de l'email d'origine, éliminant ainsi le risque de blocage de messages transférés
de manière légitime. Dès lors qu'ARC aura obtenu le statut de norme IETF, d'autres sociétés
emboîteront le pas à Yahoo!, AOL et Google pour implémenter totalement DMARC.
Permettre aux usagers de reconnaître les emails de confiance
En février 2016, Google a annoncé qu'il intégrerait dans son interface Gmail un élément visuel
indiquant si l'usager peut faire confiance à l'identité d'un expéditeur. DMARC.org prévoit d'aller
encore plus loin en collaborant avec des opérateurs de messagerie au développement d'un
indicateur standardisé destiné à marquer les messages échouant à l'authentification pour
qu'ils soient visuellement identifiables par les usagers. Ceux-ci n'auront donc plus à se fier à des
suppositions et bénéficieront d'une interface email plus sûre et plus transparente qui leur permettra
de distinguer les messages frauduleux des messages légitimes dans leur boîte de réception.
« Nous entrons de plain-pied
dans un monde où tous les
emails sont authentifiés.
La mise en œuvre d'une
règle DMARC permet à un
expéditeur d'empêcher que les
manœuvres des spammeurs
n'entachent sa réputation.
Si votre domaine n'est pas
protégé par DMARC, le risque
de voir vos messages échouer
directement dans les dossiers
Courriers indésirables
voire refusés purement
et simplement augmente
sans cesse. »
John Rae-Grant,
Product Manager, Google
Cela n'est pas sans conséquences pour les annonceurs, ni pour les marques, qui seront incitées
à implémenter plus largement les derniers protocoles d'authentification afin de préserver un
engagement positif envers leurs campagnes email marketing de la part de leurs abonnés.
Baromètre du protocole DMARC, février 2016 — page 13 | Partager cette étude :
Prêt à mettre en œuvre DMARC ?
Commencez sans plus attendre à protéger vos clients et vos effectifs.
Pour connaître la marche à suivre, téléchargez notre guide : les
premiers pas avec DMARC.
Méthodologie
Getting Started with
Pour réaliser cette étude, Return Path s'est fondé
sur un échantillon représentatif composé de plus de
1 049 multinationales issues de 33 pays et incluses dans
les classements ou indices suivants : Fortune 500, Inc. 5000,
DJIA, NASDAQ, S&P, FTSE et Top 100 des marques les plus
connues de Forbes en 2015.
DMARC
Les données concernant l'adoption de DMARC ont été
réunies en janvier 2016. Il se peut que la somme de certains
pourcentages n'aboutisse pas à un total de 100 % en raison
des règles d'arrondi.
Pour en savoir plus sur Return Path Email Fraud Protection,
consultez notre site à l'adresse returnpath.com/stopemailfraud
ou rejoignez-nous sur Twitter à @stopemailfraud
Contacter Return Path
France
Allemagne
Brésil
Royaume-Uni
[email protected]
[email protected]
[email protected]
[email protected]
Etats-Unis (siège)
Australie
Canada
[email protected]
[email protected]
[email protected]
returnpath.fr