La fraude par email constitue aujourd’hui l’une des principales cybermenaces pesant sur les entreprises et services publics en France : une récente étude de Proofpoint révèle que 74.6% des sociétés françaises interrogées considèrent que la fraude par email est bien une des priorités de leur direction.

Si l’impact économique des cyberattaques reste toujours difficile à chiffrer précisément, le FBI estime que les pertes dues à la fraude par email ont atteint le montant incroyable de 26 milliards de dollars (de juin 2016 à juillet 2019) à l’échelle mondiale.

A ce chiffre s’ajoutent les récentes conclusions de recherches Proofpoint selon lesquelles les attaques par email auraient touché plus de 90% des organisations dans le monde depuis le début de cette année ; une statistique en augmentation annuelle de 77% ! Sans compter les nombreuses attaques de cette nature, non déclarées chaque année …

Pourtant, créé en 2012 entre autres par des opérateurs majeurs de messagerie tels que Google, Yahoo, AOL et Microsoft, le standard DMARC (Domain-based Message Authentication, Reporting & Conformance) constitue sans doute à ce jour l’arme la plus puissante pour lutter contre une classe de phishing très effective : le domain spoofing (ou usurpation de domaine).

DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails. Il vérifie que vous êtes bien celui que vous prétendez être en authentifiant correctement les expéditeurs par rapport aux cadres DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établis. Cette authentification protège employés, clients et partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance.

Adoption de DMARC auprès des entreprises du CAC 40 et des principaux ministères

Afin d’évaluer l’adoption du standard DMARC en France, Proofpoint a réalisé en septembre 2019 une analyse inédite des enregistrements DMARC des domaines Internet des entreprises du CAC 40 ainsi que de nos principaux ministères et services publics français. L’objectif était d’évaluer combien de ces organisations françaises sont déjà en bonne voie pour se protéger efficacement contre la fraude email, via l’adoption du protocole, tel que recommandé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Voici les principales conclusions de cette analyse :

  • Seulement 45% des sociétés du CAC 40 publient un enregistrement DMARC, soit 18 sociétés sur 40
  • Sur les 18 entreprises qui ont adopté le standard DMARC, une seule bloque de façon proactive les emails frauduleux (et est donc entièrement conforme DMARC) et deux mettent en quarantaine les messages
  • Plus de 55% des plus grandes organisations françaises restent complètement exposées à la fraude par email et à l’usurpation d’identité

Concernant les ministères français et services publics, les experts Proofpoint ont réalisé cette analyse DMARC sur les 14 ministères suivants :

  • Ministère de la Transition Ecologique et Solidaire
  • Ministère des Affaires Etrangères
  • Ministère de la Culture
  • Ministère des Armées
  • Ministère de l’Economie
  • Ministère de l’Intérieur
  • Ministère de l’Education Nationale
  • Ministère de la Justice
  • Ministère des Solidarités et de la Santé
  • Ministère du Travail
  • Ministère de l’Agriculture
  • Ministère des Sports
  • Ministère des Outre-Mer
  • Ministère de la Cohésion des territoires et des Relations avec les collectivités territoriales

Seulement 3 ministères protègent leur domaine institutionnel contre les attaques d’usurpation d’identité, le Ministère de la Cohésion des territoires et des Relations avec les collectivités territoriales étant le seul à avoir déployé le protocole DMARC.

Sur les 5 principales organisations de service public analysées (Service Public, Impôts, Collectivités Locales, Fonction publique et Préfecture de Police), une seule est protégée contre les attaques d’usurpation d’identité de domaine : les Impôts.

Signes de progrès dans un contexte de risque accru ?

Alors que selon une autre récente étude de Proofpoint, 77 % des entreprises françaises s’attendaient à être victimes d’une fraude par email au cours des 12 prochains mois, seulement 18 entreprises sur les 40 plus influentes du CAC 40 ont un enregistrement DMARC !

Selon un autre sondage Proofpoint de 2018, plus de la moitié des grandes entreprises interrogées (57%) a mis en place un programme de sensibilisation sur le phishing et 43% utilisent des méthodes d’authentification du courrier électronique.

Le constat est clair : les plus grandes entreprises commencent à réellement comprendre les risques de ces cyberattaques sur la pérennité de leur organisation, et si elles agissent bien en conséquence, il reste manifestement à mettre en œuvre ces mesures proactives pour s’en protéger.

 

__________
Loïc Guézo est Director, Cybersecurity Strategy de Proofpoint