Le guide de Red Sift sur l'adoption mondiale du DMARC

Dernière mise à jour : janvier 2026

Domain-based Message Authentication, Reporting, and Conformance (DMARC) donne aux propriétaires de domaine le contrôle sur la façon dont les destinataires des emails traitent les messages non authentifiés, empêchant l’usurpation et sécurisant les communications sortantes. Mais pour que le DMARC rende véritablement Internet plus sûr, son adoption doit être mondiale. Une approche fragmentée laisse des failles exploitables par les attaquants.

Une application universelle du DMARC permettrait de :

• Renforcer la cybersécurité : L’adoption généralisée de politiques de quarantaine ou de rejet réduirait considérablement les attaques de phishing et d’usurpation d’identité.
• Renforcer la confiance : S’assurer que les emails légitimes ne sont pas faussement considérés comme du spam protège la relation client et la réputation de la marque.
• Simplifier la conformité : Le DMARC aide les organisations à répondre aux exigences croissantes de cybersécurité, y compris les exigences des émetteurs de masse de Microsoft, Google et Yahoo.
• Favoriser la collaboration : Une norme mondiale de sécurité des emails profite à la fois aux secteurs public et privé, en protégeant émetteurs et destinataires.

Malgré une prise de conscience en hausse, l’adoption du DMARC reste faible à l’échelle mondiale. En décembre 2025, seuls 14,9 % des domaines, sur un échantillon de 73,3 millions*, ont commencé leur parcours DMARC en mettant en place une politique d’au moins p=none (rapport). Notons cependant une évolution positive, avec une hausse de 5,2 % depuis février 2025.

La part de domaines appliquant la politique DMARC la plus stricte (et plus sûre), p=reject, est de 2,5 % (environ 1,8 million), tandis que 83,9 % de tous les domaines analysés ne présentent aucun enregistrement DMARC visible. Ce fossé souligne l’urgence d’un renforcement de l’application et d’une adoption plus large pour protéger entreprises et particuliers contre les menaces par email.

*L'échantillon est tiré des sites web les plus utilisés/consultés au monde.

Une étude menée par Red Sift a examiné plus de 73 millions de domaines de certaines des plus grandes entreprises publiques du monde, indices et groupes régulés. Ci-dessous, la répartition par grandes entreprises publiques, classées par pays selon leur niveau de préparation DMARC (c’est-à-dire les domaines disposant de la politique DMARC requise pour déployer BIMI - Brand Indicators for Message Identification), ici p=quarantine au minimum, voire p=reject.

*Données à jour en janvier 2026.

La perspective pour les grandes entreprises publiques s’est améliorée depuis février 2025, avec 19 pays sur 28 dépassant 50 % d’application du DMARC. Les États-Unis, l’Inde et l’Australie présentent les taux d’adoption les plus forts, avec une préparation globale à 57,6 % pour toutes les entreprises publiques suivies dans le monde.

Cependant, certains pays ont encore beaucoup de chemin à faire. Les plus grands écarts d’application concernent :

• Corée du Sud : Seulement 10,1 % des grandes entreprises appliquent p=reject. C’est une hausse de 4 % sur un an.
• Japon : seulement 25 % ont atteint les niveaux p=quarantine ou p=reject, soit +4,3 % depuis février 2025.
• Thaïlande : 31,3 % d’application, +4 %.

Bien que l’adoption progresse dans le bon sens à l’échelle mondiale, ces disparités montrent la nécessité de renforcer les efforts sectoriels et réglementaires pour combler l’écart d’application et assurer la sécurité des emails à l’échelle internationale.

Les données Red Sift couvrent aussi les groupes régulés par la SEC, les indices de la Bourse et du marché US. Voici une comparaison par marché ou groupe.

*Données à jour en janvier 2025.

Les indices boursiers montrent l’exemple en matière d’application de DMARC, tous atteignant un taux d’adoption p=reject d’au moins 50 %. Le S&P 500 et le Fortune 500 se distinguent avec respectivement 81 % et 81,2 % de préparation DMARC, illustrant de solides pratiques de cybersécurité parmi les plus grandes entreprises américaines cotées en bourse.

Cependant, les entreprises réglementées par la SEC accusent un retard important, avec seulement 30,8 % atteignant le niveau BIMI (DMARC p=quarantine ou p=reject). Cet écart souligne la nécessité d’une pression réglementaire accrue et d’une adoption à l’échelle du secteur pour protéger le secteur financier contre les menaces par email.

De nombreux pays disposent déjà de réglementations sur la cybersécurité et la protection des données qui pourraient servir de base à l’application de DMARC. Par exemple :

• Le Règlement Général sur la Protection des Données (RGPD) dans l’Union européenne met l’accent sur la sécurité des données et pourrait être étendu à l’authentification des emails.
• Le California Consumer Privacy Act (CCPA) aux États-Unis vise à protéger les données des consommateurs, ce qui peut inclure des mesures raisonnables et proactives pour la sécurité des emails, telles que la mise en place de DMARC.
• Le Digital Operational Resilience Act (DORA) dans l’UE impose des pratiques robustes de cybersécurité pour les institutions financières, incluant des recommandations sur la mise en œuvre de DMARC.
• Le National Institute of Standards and Technology (NIST) recommande explicitement DMARC, SPF et DKIM pour prévenir l’hameçonnage et l’usurpation d’identité. Des publications telles que NIST 800-177 et 800-53 mettent en avant l’application de p=reject afin de garantir que seuls les emails authentifiés soient délivrés.

L’adoption de DMARC ne cesse d’augmenter, avec des gouvernements et organisations de cybersécurité du monde entier reconnaissant son rôle dans la lutte contre la fraude par email.

L’Internet Engineering Task Force (IETF) et la Global Cyber Alliance (GCA) ont développé des standards DMARC, tandis que le European Cybercrime Centre (EC3) encourage activement l’adoption de DMARC, SPF et DKIM.

De plus en plus de gouvernements et de régulateurs considèrent désormais DMARC comme l’hygiène minimale des emails, et non comme un simple bon usage optionnel. Ces politiques démontrent que l’authentification des emails, associée à l’application de politiques, devient la norme pour le secteur public et les domaines à haut risque.

• Au Royaume-Uni, le Cyber Security Policy Handbook du gouvernement et le guide “Securing government email” imposent la mise en place de DMARC sur les domaines gouvernementaux, aux côtés de SPF, DKIM et TLS. Aux États-Unis, la Binding Operational Directive 18‑01 de la CISA oblige les agences fédérales à déployer DMARC en p=reject, en combinaison avec SPF et DKIM.
• Les Pays-Bas et la Nouvelle-Zélande ont introduit autour de 2018 des exigences nationales rendant DMARC obligatoire sur les domaines email gouvernementaux, éloignant ainsi leurs emails publics de l’expédition non authentifiée. La Nouvelle-Zélande a depuis renforcé cette position en imposant explicitement aux agences de protéger les domaines via SPF, DKIM et DMARC dans son manuel de sécurité de l’information.
• Le Danemark exige de toutes les autorités publiques l’application de DMARC à p=reject sur leurs domaines, ce qui contribue à l’un des taux d’adoption les plus élevés d’Europe. Le Canada impose SPF, DKIM et DMARC pour les emails fédéraux via ses règles de configuration Email Management Services et directives associées.
• L’Australie recommande une politique DMARC en p=reject pour les entités gouvernementales, en faisant de facto une exigence pour les implémentations conformes. Ces politiques, cadres et réglementations montrent que DMARC est passé du "meilleur usage" à une exigence mondiale de fait, pour toute organisation ayant besoin que ses emails soient fiables et délivrés correctement.

Red Sift recommande :

Collaborer avec les organismes internationaux de cybersécurité est essentiel pour accélérer l’adoption de DMARC et contrer les menaces par email telles que le phishing, la fraude et la compromission des emails professionnels (BEC).

Le European Cybercrime Centre (EC3), créé par Europol, joue un rôle moteur dans la cybersécurité en Europe. Il promeut activement DMARC, SPF et DKIM aux côtés des forces de l’ordre, experts en cybersécurité et partenaires du secteur pour limiter l’usurpation d’email et d’identité de domaine. L’EC3 pilote aussi l’initiative No More Ransom, lancée en 2016 pour lutter contre la cybercriminalité à l’échelle mondiale.

Au-delà de l’Europe, des organisations internationales telles que les Nations Unies (UN) et l’Union internationale des télécommunications (UIT) pourraient encourager des obligations DMARC parmi leurs états membres, établissant ainsi une norme internationale pour l’authentification et la sécurité des emails. La société civile a aussi un rôle à jouer, en plaidant pour des politiques protégeant les individus et entreprises contre les cybermenaces tout en garantissant un internet sûr et de confiance.

• États-Unis : Les États-Unis ont fait de nets progrès dans l’adoption de DMARC, notamment dans le secteur public. Le Department of Homeland Security (DHS) impose DMARC aux agences fédérales, mais l’adoption reste à la traîne dans le privé.
• Canada : Le Canada a également progressé, particulièrement grâce au Canadian Centre for Cyber Security (CCCS) qui promeut DMARC.

Recommandation de Red Sift :

Étendre les obligations fédérales au secteur privé, notamment dans les infrastructures critiques comme la finance, les télécommunications, l’énergie et la santé.

• Union Européenne : L’accent porté sur la cybersécurité, à travers DORA et la directive NIS2, fournit une base solide pour imposer DMARC et exiger de larges mesures d’hygiène cybernétique.
• Royaume-Uni : Le National Cyber Security Centre (NCSC) s’est imposé comme leader pour promouvoir DMARC.

Recommandation de Red Sift :

Pour renforcer la sécurité des emails en Europe, il convient d’intégrer des exigences DMARC dans les directives européennes existantes, en veillant à leur adoption généralisée. Le financement des PME aiderait à lever les freins financiers et faciliterait la mise en place de l’authentification des emails pour les entreprises disposant de moyens plus limités.

De même, le gouvernement du Royaume-Uni peut prendre la tête de l’application de DMARC en formant et sensibilisant sur ses bénéfices, tout en collaborant avec le secteur privé pour subventionner son adoption pour les PME nationales. En démocratisant l’accès à DMARC, l’UE et le Royaume-Uni pourraient améliorer les standards, réduire les risques de phishing et protéger les entreprises contre les menaces email.

• Inde : Le gouvernement indien a imposé DMARC sur ses domaines, mais le secteur privé en est aux balbutiements.
• Australie : L’Australian Cyber Security Centre (ACSC) a publié des guides sur DMARC, mais leur application reste faible.

Recommandation de Red Sift :

Les gouvernements peuvent accélérer l’application de DMARC en renforçant les campagnes de sensibilisation en partenariat avec le public et le privé.

Une réussite dans cette démarche est le NCSC britannique, qui a su fédérer public et privé pour faire progresser DMARC. Grâce à l’initiative Mail Check, le NCSC a aidé agences et entreprises à imposer un DMARC p=reject, limitant ainsi l’usurpation des domaines.

• Afrique : Beaucoup de pays africains manquent d’infrastructures et de ressources pour implémenter efficacement DMARC, mais certains secteurs comme la finance progressent.
• Amérique latine : Des pays comme le Brésil et le Mexique avancent en cybersécurité, mais doivent renforcer leurs cadres pour DMARC.

Recommandation de Red Sift :

Le financement et le support technique sont essentiels dans les pays en développement, où les moyens réduits compliquent la conformité aux exigences obligatoires de sécurité des emails. Sans une bonne implémentation, ces régions restent vulnérables aux attaques.

Pour y remédier, les organisations internationales doivent intervenir via des subventions, de l’assistance technique et des programmes de formation à destination des entreprises et administrations publiques. En rendant ces ressources accessibles, la communauté internationale peut renforcer la cybersécurité mondiale, empêchant que ces pays soient la cible privilégiée des cybercriminels.

Les gouvernements, entreprises et associations doivent coopérer pour promouvoir DMARC. Par exemple :

• Red Sift met à disposition des outils gratuits comme Red Sift Investigate, qui permet de vérifier votre enregistrement DMARC et d’autres protocoles essentiels.
• Global Cyber Alliance (GCA) propose des outils et ressources gratuits pour implémenter DMARC.
• Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) : Fournit les meilleures pratiques en matière d’authentification email.
• Le National Cyber Security Centre (NCSC) a récemment annoncé des changements dans ses services Mail Check, notamment l’arrêt du reporting agrégé DMARC, ce service étant désormais assuré par des fournisseurs privés recommandés comme Red Sift.

Les secteurs de la santé et de la finance gèrent des données très sensibles, ce qui en fait des cibles privilégiées pour le phishing et la fraude. En 2024, 48 % des organisations de santé et 73 % des institutions financières ont signalé des attaques de phishing, tandis que 61 % des organisations de santé ne disposent pas d’une protection adéquate contre les violations de données.

DMARC empêche les emails frauduleux d’usurper l’identité d’hôpitaux, d’assureurs, de banques et de prestataires de paiement, réduisant ainsi le phishing, l’usurpation et l’accès non autorisé. Imposer p=reject permet qu’uniquement les expéditeurs autorisés utilisent le domaine d’une organisation, contribuant ainsi à prévenir la fraude, à soutenir la conformité et à entretenir la confiance des clients.

DMARC n’est pas un simple bonus. Dès le 31 mars 2025, PCI DSS v4.0 impose aux structures traitant des paiements par carte de mettre en place DMARC en "quarantine" ou "reject" pour empêcher l’usurpation et renforcer la sécurité. Le non-respect expose à des sanctions pouvant aller de 5 000 à 100 000 $ par mois, selon la gravité et la durée du manquement.

Red Sift recommande :

Au-delà de la sécurité, DMARC améliore la délivrabilité des emails, garantissant que les messages légitimes atteignent les boîtes de réception tout en limitant spam et hameçonnage. Son adoption aide à gérer le risque, protège les données sensibles et sécurise la communication.

De nombreux secteurs critiques restent très vulnérables, subissant régulièrement des attaques. Les solutions existent, mais nombre d’acteurs n’agissent pas encore.

Certaines organisations ignorent DMARC ou manquent d’expertise sans incitations ni campagnes menées par les autorités gouvernementales ou les centres nationaux de cybersécurité. À ce jour, seules quelques autorités nationales se sont engagées sur le sujet. Exemples :

• CISA (Cybersecurity and Infrastructure Security Agency) : DMARC est obligatoire pour les agences fédérales américaines via la Binding Operational Directive (BOD) 18-01, imposant une politique DMARC en p=reject pour limiter l’usurpation et le phishing.
• ENISA (Agence européenne pour la cybersécurité) : diffuse guides et bonnes pratiques pour DMARC dans l’UE, soulignant son rôle dans la sécurisation des emails, mais sans pouvoir d’application comparable à la CISA.
• NCCs (Centres nationaux de cybersécurité) : Le NCSC au Royaume-Uni est un ardent défenseur de DMARC et fournit des recommandations pour améliorer la sécurité email gouvernementale. Les autres NCCs, selon les pays, œuvrent à la sensibilisation et à l’implémentation de DMARC au niveau national, à travers outils, formations, et conseils, selon les politiques locales.

Les cursus en cybersécurité et informatique, universitaires ou professionnels, devraient inclure l’initiation à DMARC et proposer des modules dédiés à la sécurité des emails et à la prévention des attaques évoluées. Quelques exemples :

Royaume-Uni et Europe :

• SANS Institute : Organisation de formations spécialisées à Londres, privilégiant la pratique pour couvrir différents domaines de la cybersécurité, dont les emails.
• OPSWAT Academy : Programme complet visant à sensibiliser et à former à la sécurité et à l’analyse des emails.
• University of Southampton : Propose un cursus "Comprehensive Cybersecurity" accrédité par le NCSC britannique, couvrant de nombreux aspects de la cybersécurité, y compris les emails.

Canada et États-Unis :

• Cisco – Securing Email with Cisco Email Security Appliance (SESA) : Module pratique pour déployer et utiliser la solution Cisco Email Security Appliance pour contrer phishing et ransomware.
• SANS Institute (US et Canada) : Formations animées par des experts sur tous les aspects de la cybersécurité, y compris l’email, partout en Amérique du Nord.
• Texas A&M Engineering Certificate Series : Série complète de certificats en cybersécurité destinée aux employés d’État, locaux, tribaux ou territoriaux, aux salariés du privé et aux étudiants qui utilisent l’informatique au quotidien. Les cours sont gratuits grâce à des fonds du Department of Homeland Security (DHS) et de la Federal Emergency Management Agency (FEMA).

Au fil de l’évolution des menaces, DMARC doit aussi évoluer. Les organisations doivent rester informées sur les avancées en authentification email et cybersécurité pour maintenir leur protection. Les groupes de travail et les associations professionnelles doivent continuer de mobiliser gouvernements et dirigeants privés pour faire de DMARC une priorité.

Les nouvelles technologies ouvrent de nouveaux modes d’attaque pour les cybercriminels. Au-delà de DMARC, voici quatre axes où un renforcement de l’application profiterait à tous :

1. L’intelligence artificielle appliquée à la veille des menaces avec DMARC Renforcer l’application de DMARC en intégrant des outils d’IA capables de détecter le phishing, le BEC et les emails frauduleux ou deepfake en temps réel. L’IA permet d’optimiser les politiques SPF, DKIM et DMARC pour bloquer les attaques en amont. Red Sift Radar détecte et corrige les problèmes de sécurité jusqu’à 10 fois plus vite, via Red Sift Pulse Platform.
2. Sécurité email Zero Trust avec DMARC Renforcer l’architecture Zero Trust en couplant DMARC p=reject et vérification continue des emails. L’IA repère les anomalies et valide les identités pour empêcher vol d’identifiants, menaces internes et accès illicites.
3. Blockchain et DMARC pour la chaîne d’approvisionnement Sécuriser les emails des tiers grâce au couplage DMARC/blockchain, ce qui permet de rendre inviolables les preuves d’authentification. Valider les journaux SPF/DKIM pour bloquer phishing, usurpation fournisseur et fraude à la facture.
4. Chatbots IA et DMARC pour la sensibilisation sécurité Déployer des chatbots d’IA qui analysent les journaux DMARC en temps réel, permettant aux salariés de vérifier instantanément des emails suspects. Automatiser les alertes phishing sur Slack, Teams ou WhatsApp, pour améliorer la sensibilisation et les réactions face aux incidents.

Parvenir à un consensus mondial sur DMARC n’est pas un simple enjeu technique : c’est une responsabilité collective. En s’appuyant sur les réglementations existantes, en relevant les défis régionaux et en encourageant la coopération, nous pouvons rendre le numérique plus sûr pour tous.

Red Sift OnDMARC a été conçu pour accélérer la transition de la surveillance à l’application, sans la complexité ni les délais qui freinent habituellement les projets DMARC. Notre plateforme offre des rapports complets, la technologie Dynamic SPF qui gère automatiquement votre enregistrement SPF dès que vos sources d’envoi évoluent, éliminant ainsi l’un des principaux obstacles à l’application stricte.

Nous atteignons généralement l’application totale DMARC en 6 à 8 semaines au lieu de 6 à 12 mois dans la plupart des entreprises, grâce à l’expertise dédiée de nos spécialistes en authentification email, qui maîtrisent les enjeux des environnements complexes. Que vous commenciez de zéro ou soyez bloqué à "quarantine", OnDMARC vous donne la visibilité, l’automatisation et l’accompagnement pour sécuriser votre domaine contre l’usurpation tout en maintenant la continuité de votre activité.

Alors que l’application obligatoire de DMARC se généralise et que les régulateurs s’attendent à l’authentification des emails, différer l’implémentation n’est plus seulement un risque de sécurité : c’est aussi un désavantage concurrentiel. OnDMARC lève les obstacles techniques et accélère votre déploiement, vous laissant vous concentrer sur le développement de votre entreprise pendant que nous gérons la sécurité email.

1. Gouvernements : Adapter la réglementation pour rendre DMARC obligatoire.
2. Entreprises : Déployez DMARC pour protéger vos domaines et clients. Choisissez Red Sift OnDMARC et lancez-vous en toute simplicité.
3. Organisations internationales : Promouvez DMARC comme standard mondial et outil contre les acteurs malveillants.
4. Particuliers : Défendez la sécurité email dans votre communauté, vérifiez gratuitement la situation DMARC de votre société et signalez d’éventuels problèmes via Red Sift Investigate.

Ensemble, rapprochons-nous d’un monde où les attaques via email appartiennent au passé. Rendons l’application mondiale de DMARC réelle.