10 ans de lutte contre la fraude mail avec DMARC

0
173

Le 30 janvier 2012, un groupement d’acteurs du numérique se réunissait pour soutenir l’adoption du protocole DMARC, et ainsi combattre spam, phishing et fraudes par mail, menaces des plus virulentes à l’échelle mondiale.

Tribune – DMARC – pour Domain-based Message Authentication, Reporting & Conformance, a ainsi été conçu pour empêcher les pirates informatiques d’usurper l’identité d’une organisation et de son domaine, en rejetant tous les messages non authentifiés.

10 ans plus tard, DMARC est toujours l’une des armes les plus efficaces pour se prémunir contre l’usurpation de noms de domaine. Pourtant, le mail reste le principal vecteur de propagation des cyberattaques à travers le monde avec 94% des menaces initiées par la messagerie, et des centaines de marques détournées chaque mois par des « hameçonneurs ».

Si la résistance s’est organisée, elle doit encore se renforcer pour fiabiliser davantage l’écosystème mail.

2012-2022 : 10 ans de combat contre la fraude mail

Le mail a fondamentalement révolutionné notre façon de communiquer. Cependant, les caractéristiques mêmes qui en font l’attrait – l’ouverture, l’interopérabilité – le rendent également vulnérables aux actions malveillantes. La promesse de DMARC est de s’attaquer aux menaces qui planent sur l’écosystème mail, sans compromettre son utilité en tant que moyen de communication.

  • L’adoption de DMARC s’est accélérée ces quatre dernières années en France: depuis une décennie, on constate des progrès considérables pour améliorer l’authentification des mails et de plus en plus de RSSI se sentent désormais concernés par l’adoption du standard DMARC. Ces dernières années son adoption a été notable : en janvier 2022, on note que 30 entreprises du CAC 40 ont un enregistrement DMARC, elles étaient même 31 en 2021, soit 8 de plus qu’en 2020 (23 en 2020 et 18 en 2019).
  • Pourtant, si cette initiative semble excellente sur le papier, de nombreuses entreprises peinent encore à déployer correctement le protocole DMARC :  Parmi les 31 entreprises du CAC 40 ayant un enregistrement DMARC, seulement 6 bloquent de manière proactive les mails frauduleux (15 %) et sont donc totalement conformes à DMARC.
  • Il existe également un certain décalage de maturité entre secteur privé et public : Si l’on regarde de près les ministères français, on constate que seuls 5 sur 14 ont mis en œuvre DMARC.

Il reste encore du chemin à parcourir pour combattre le fléau de la fraude par mail, car bien souvent considéré comme un projet ponctuel, DMARC est pourtant le pilier d’une stratégie de défense complète et doit être appliqué comme un projet à long terme pour pouvoir évoluer au même rythme que le paysage de la menace.

Les efforts de démocratisation de DMARC doivent se poursuivre

Aujourd’hui L’ANSSI, qui publie régulièrement des recommandations avisées pour aider les entreprises à adopter une meilleure posture en matière de cybersécurité, encourage fortement l’adoption du standard DMARC. En outre, le gouvernement propose également un autodiagnostic de cybersécurité. Au même titre que le nutriscore pour les aliments, cet outil permet ainsi aux entreprises de vérifier le niveau de sécurité des mails. Cette approche simplifiée permet d’obtenir une évaluation de synthèse et des indications sur la nécessité d’une potentielle remise à niveau.

Selon Loïc Guézo, Directeur Stratégie Cybersécurité EMEA chez Proofpoint :

« Sans DMARC, les cybercriminels disposent d’un outil puissant pour inciter les employés à commettre une erreur et donner des informations confidentielles qui peuvent avoir de graves conséquences. Il est donc primordial pour les entreprises de poursuivre leurs efforts en matière de protection des mails. Chez Proofpoint, nous encourageons vivement à utiliser ces outils mis à disposition des entreprises pour lutter contre les escroqueries par mail. La création d’un observatoire DMARC institutionnel à l’échelle nationale permettrait en outre d’accélérer ce processus. La fraude par mail demeure un problème majeur et implique toutes les parties prenantes d’une organisation, employés, clients, partenaires. Une attention toute particulière en la matière doit alors être l’affaire de tous. »

Exécuté au plus haut de ses capacités, DMARC constitue une barrière solide contre les cybercriminels qui tentent de se faire passer pour des organisations officielles. Il se complète désormais avec le volet BIMI (Brand Indicators for Message Identification), un nouveau standard qui facilite l’identification de l’émetteur d’un mail. BIMI n’est ouvert qu’aux noms de domaines protégés par le protocole DMARC, renforçant le protocole d’authentification au global. Désormais, avec ces capacités étendues, DMARC s’impose non seulement comme une arme efficace contre la fraude, mais aussi comme un moyen d’améliorer la réputation des expéditeurs et d’augmenter les taux de délivrabilité des mails.