Quel est l’usage de DMARC par les entreprises du CAC40 en 2023 ? Après un premier article écrit par JLO – l’adoption de DMARC par les entreprises du CAC40 – en juillet 2020 et une première mise à jour réalisée en décembre 2021, je vous partage une nouvelle mise à jour en ce mois d’août 2023 ! Je peux déjà vous dire que l’adoption de DMARC a bien évoluée en 3 ans ! La suite dans l’article ci-dessous…
Petit rappel sur la méthodo de notre analyse !
Pour cette étude – commencé en 2020 – nous avons analysé les domaines utilisés par les entreprises du CAC40 dans leurs communications e-mails internes (domaines des adresses e-mails des collaborateurs ou domaines des sites web). Les domaines utilisés à des fins marketing ne sont donc pas représentés dans cette étude.
Pour chaque domaine, nous avons recueilli les informations suivantes :
- L’enregistrement DMARC présent sur le domaine principal ;
- La politique de sécurité du domaine principal et des sous-domaines ;
- La solution de monitoring DMARC utilisée ;
- La politique d’alignement des domaines.
Cette liste d’entreprises a évolué depuis la dernière mise à jour de décembre 2021 ! Ainsi, les sociétés (EDENRED, ORANGE, PERNOD RICARD, PUBLICIS, RENAULT, SAFRAN) sont actuellement dans le classement 2023. Aucune société n’est sortie depuis du CAC40.
| Liste 2020 (juillet) | Liste 2021 (décembre) | Liste 2023 (août) |
|---|---|---|
| ACCORHOTELS AIR LIQUIDE AIRBUS ARCELORMITTAL ATOS AXA BNP PARIBAS BOUYGUES CAPGEMINI CARREFOUR CREDIT AGRICOLE DANONE DASSAULT SYSTEMES ENGIE ESSILORLUXOTTICA HERMES KERING LEGRAND L’OREAL LVMH MICHELIN PSA GROUPE SAINT-GOBAIN SANOFI SCHNEIDER ELECTRIC SOCIETE GENERALE SODEXO STMICROELECTRONICS TECHNIPFMC THALES TOTAL UNIBAIL-WFD VEOLIA ENVIRONNEMENT VINCI VIVENDI | AIR LIQUIDE AIRBUS ALSTOM ARCELORMITTAL AXA BNP PARIBAS BOUYGUES CAPGEMINI CARREFOUR CREDIT AGRICOLE DANONE DASSAULT SYSTEMES ENGIE ESSILORLUXOTTICA EUROFINS SCIENTIF HERMES KERING LEGRAND L’OREAL LVMH MICHELIN SAINT-GOBAIN SANOFI SCHNEIDER ELECTRIC SOCIETE GENERALE STELLANTIS NV STMICROELECTRONICS TELEPERFORMANCE THALES TOTAL UNIBAIL-WFD UNIVERSAL MUSIC GR VEOLIA ENVIRONNEMENT VINCI VIVENDI WORLDLINE | AIR LIQUIDE AIRBUS ALSTOM ARCELORMITTAL AXA BNP PARIBAS BOUYGUES CAPGEMINI CARREFOUR CREDIT AGRICOLE DANONE DASSAULT SYSTEMES EDENRED ENGIE ESSILORLUXOTTICA EUROFINS SCIENTIF HERMES KERING LEGRAND L’OREAL LVMH MICHELIN ORANGE PERNOD RICARD PUBLICIS RENAULT SAFRAN SAINT-GOBAIN SANOFI SCHNEIDER ELECTRIC SOCIETE GENERALE STELLANTIS NV STMICROELECTRONICS TELEPERFORMANCE THALES TOTAL UNIBAIL-WFD VEOLIA ENVIRONNEMENT VINCI WORLDLINE |
Quelle adoption de DMARC au sein des entreprises du CAC40 en 2023 ?
01. Quel est l’usage de DMARC parmi les entreprises du CAC40 ?
Lorsque l’on regarde les chiffres de 2020 et 2023, on remarque que l’adoption de DMARC a considérablement évolué !
- Adoption en hausse de 25 points en 3 ans ;
- 4 entreprises présentes en 2020 n’ont toujours pas déployé DMARC en août 2023.
On notera qu’on frôle les 100% ! Sur les 40 entreprises du CAC40, CARREFOUR (carrefour.com) ; LEGRAND (legrand.fr) ; SAFRAN (safran-group.com) ; SAINT-GOBAIN (saint-gobain.com) n’ont toujours pas publié d’enregistrement DMARC sur leur domaine principal. À noter qu’entre 2021 et 2023, ORANGE (Télécommunication) a déployé DMARC sur le domaine orange.com !
02. Quelles sont les politiques DMARC déployées ?
Parmi les 36 entreprises du CAC40 qui ont déployé DMARC, on constate que l’utilisation d’une politique de sécurité restrictive (REJECT ou QUARANTINE) s’est considérablement développée entre 2020 et 2023 :
- Adoption d’une politique de sécurité restrictive REJECT ou QUARANTINE : + 37 points ;
- Adoption de la politique de sécurité REJECT : + 38 points.
Aujourd’hui, 61% des entreprises du CAC40 ont déployé une politique DMARC restrictive, alors qu’en 2020, seulement 24% avait passé ce cap ! Gros point positif, l’utilisation du p=reject n’est plus forcément un sujet tabou puisque son utilisation est passée de 12% en 2020 à 50% en 2023.
L'utilisation de la politique de sécurité DMARC vous permettra de définir une action à appliquer sur un e-mail en cas de non-conformité. Même si aujourd'hui tous les FAI / Webmails / Entreprises n'interprètent pas les politiques de sécurité DMARC, des FAI majeurs (Gmail, Microsoft, Yahoo, La Poste, ...) l'appliquent et donc vous protège (ainsi que vos utilisateurs) d'éventuelles utilisations frauduleuses de votre nom de domaine ! Ce qui n'est pas rien ;)
03. Quelle sont les solutions de monitoring utilisées ?
Comme en juillet 2020 et en décembre 2021, 35% des adresses de récolte des feedbacks DMARC pointent vers des adresses internes (catégorie « INTERNE » dans le graphique), ce qui ne nous permet pas d’identifier la solution de monitoring DMARC utilisée. D’ailleurs, il est fort probable que, dans certains cas, ces feedbacks ne soient même pas monitorés correctement et que d’autres soient redirigés vers des solutions commerciales.
Autre point important, PROOFPOINT reste le principal outil de monitoring DMARC utilisé, ce qui reste logique puisque leur solution reste utilisée massivement par les principales entreprises françaises dans leur lutte contre le spam (j’ai pu le remarquer sur des analyses dues à des blocages de domaines BtoB).
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
De nouvelles solutions s’invitent dans ce classement, je pense notamment à DMARC ADVISOR ou DMARC ANALYSER. À noter que seulement 2 entreprises n’ont pas déclaré le tag RUA (et donc ne font aucun suivi), il s’agit de BOUYGUES et WORLDLINE.
La mise en place de DMARC vous permettra de recevoir des rapports de nombreuses messageries (FAI, entreprises) afin d'avoir une vue précise de l'activité de votre domaine principal et ses sous-domaines. Ces rapports vous permettront de vérifier les niveaux d'authentification (avec SPF & DKIM) ainsi que leurs alignements. Ils pourront également vous permettre de détecter des flux e-mails légitimes mal configurés (et donc de les corriger) et de détecter aussi des flux e-mails non-légitimes (cf. phishing).
MAJ des bons… et des moins bons élèves !
En 2023, il n’y a pas vraiment de grandes surprises ! Je vous propose de vous lister ici les bons et mauvais élèves :
- Le Super Bon élève : TOTAL › Total a déployé une politique DMARC à REJECT pour son domaine et ses sous-domaines avec des alignements SPF et DKIM à STRICT.
- Le Bon élève : ENGIE › Engie a déployé une politique DMARC à REJECT pour son domaine et ses sous-domaines avec un alignement DKIM à STRICT.
- Les Mauvais élèves : BOUYGUES, WORLDLINE › Ils ont déployé un enregistrement DMARC avec une politique à NONE sur leur domaine mais ils ne monitorent pas les flux !
- Les Super Mauvais élèves : CARREFOUR, LEGRAND, SAFRAN et SAINT-GOBAIN › Aucune de ces 4 entreprises n’a déployé d’enregistrement DMARC !
Je conclus…
Après un an sans mise à jour, j’avoue que je m’attendais à quelques évolutions mais pas à ce point-là… Quand je compare les chiffres de 2023 à 2020, je suis agréablement surpris de voir à quel point l’implémentation de DMARC a bien progressé (90% tout de même). Je constate aussi que beaucoup d’entreprises ont franchi le cap et applique désormais une politique REJECT (50%) à leur domaine (voir sous-domaines)… Bref, une vraie prise de conscience qui renforce la protection des noms de domaine !
Rendez-vous en août 2024 pour une nouvelle MAJ et j’espère cette fois-ci avoir plus de suprises 🙂
Badsender vous accompagne dans votre déploiement DMARC
Le déploiement de DMARC n’est pas à réaliser « à la légère ». C’est plus que simplement ajouter un nouvel enregistrement DNS. Badsender accompagne ses clients dans la sécurisation de leurs flux emails via DMARC :
- Mise en place d’une solution de monitoring DMARC : configuration des noms de domaines, création de filtres et de tableaux de bords dans l’outil de monitoring, création d’alertes automatisées, …
- Audit des flux emails : vérification de l’authentification des différents flux, validation de l’alignement des noms de domaines, détection des flux illégitimes, …
- Mise en conformité des différentes sources d’emails : montée en compétence des équipes, validation de modifications effectuées, …
- Passage progressif à une policy=reject : une fois un niveau de conformité acceptable atteint, passage progressive en politique de rejet.
- Configuration de BIMI
La philosophie de travail de Badsender est de vous apporter les outils, mais surtout les compétences afin que vous équipes puissent devenir autonomes sur le sujet de DMARC. Après une phase active de déploiement de DMARC, nous restons disponibles au besoin sous forme de support dédié.
N’hésitez pas à partager, liker, commenter… Bref, faites du bruit !!!!!
La dernière étude réalisée sur l’usage de DMARC :
2 réponses
totalenergie.fr utilise DMARC.fr depuis 3 ans, une solution qui connaît une montée en puissance sur le marché français. Il serait opportun de la mentionner.
totalenergies.fr