
Adoption de DMARC par les détaillants européens
Le mandat DMARC Google-Yahoo de cette année a affecté beaucoup d'entreprises, y compris le commerce de détail. La transformation numérique en cours signifie que les détaillants sont de plus en plus dépendants des revenus en ligne. Pendant la pandémie, entre 20 et 30 % des achats dans le commerce de détail ont été effectués en ligne plutôt qu'en magasin.
Pour atteindre les consommateurs là où ils font leurs achats, les détaillants doivent disposer d'un emplacement bien visible dans la boîte de réception et d'une livraison fiable des courriels. L'exigence PCI DMARC de 2025 ayant un impact sur les détaillants, nous avons décidé qu'il serait opportun d'examiner de plus près la manière dont les détaillants se protègent et protègent leurs clients.
Le commerce de détail est particulièrement vulnérable aux exploits tels que le phishing, et ce pour plusieurs raisons :
- La dépendance vis-à-vis des chaînes d'approvisionnement et des services de tiers (tels que la facturation, l'hébergement de sites web, les modules de panier d'achat en ligne, les services de publicité, etc.
- Les cartes-cadeaux sont des cibles attrayantes pour les criminels car elles sont pratiques, portables et anonymes.
- Les problèmes de personnel liés aux pics saisonniers qui font appel à des travailleurs temporaires et à un taux de rotation plus élevé que la moyenne contribuent à une main-d'œuvre inexpérimentée qui n'est peut-être pas correctement formée pour identifier les escroqueries en matière de cybersécurité.
- L'essor des programmes de fidélisation et de récompense signifie que les détaillants hébergent une quantité de plus en plus importante d'informations personnelles identifiables (IPI), et les acteurs malveillants l'ont remarqué.
L'hameçonnage et la collecte d'informations d'identification restent une priorité tout au long de l'année en tant que principal vecteur d'intrusion dans la plupart des opérations cybercriminelles. Les membres signalent une prévalence constante des tentatives d'hameçonnage avec des thèmes de leurre impliquant des promotions de produits populaires ciblant les consommateurs pour la collecte d'informations personnelles.
Rapport RH-ISAC 2024 sur les tendances en matière de cybermenaces pendant les fêtes de fin d'année
Escroqueries par hameçonnage dans le commerce de détail européen
Les campagnes de phishing ciblent souvent les grandes entreprises de vente au détail, notamment dans le but d'inciter les clients à divulguer leurs informations de paiement. La mise en œuvre de DMARC avec une politique d'application protège les marques de détail en empêchant les attaquants d'envoyer des courriels semblant provenir de leurs domaines et en protégeant les clients contre les tentatives d'usurpation d'identité.
Les cyberattaques les plus courantes dans le monde de la vente au détail sont les faux courriels de confirmation de commande, l'hameçonnage pour obtenir des informations d'identification, les escroqueries à la carte-cadeau, les fausses promotions et la fraude à la facture, qui peuvent toutes être atténuées par DMARC.
Au début de l'année 2024, le détaillant européen Pepco (qui exploite des magasins sous les marques Pepco, Poundland et Dealz) a subi une perte de 15,5 millions d'euros à la suite d'une escroquerie par hameçonnage ( Business Email Compromise - BEC), lorsque des criminels ont usurpé des courriels légitimes d'employés pour tromper le personnel financier et l'inciter à transférer des fonds. DMARC est une mesure préventive clé pour se défendre contre les exploits de BEC.
Statut DMARC des 500 premiers détaillants européens
Nous avons interrogé les domaines de courrier électronique des 500 premiers détaillants en Europe (en fonction du chiffre d'affaires estimé) pour voir comment l'adoption de DMARC a progressé.

Tout d'abord, les bonnes nouvelles : il est réjouissant de constater que le taux le plus élevé appartient à p=rejectL'objectif ultime du déploiement de DMARC est d'éliminer les courriels illégitimes avant qu'ils n'atteignent la boîte de réception. Ajouter les domaines couverts par une politique p=quarantine qui envoie les mauvais courriels dans le dossier spam, et 41 % de ces détaillants ont une politique DMARC au niveau de l'application.
Selon le site web de la Commission européenne consacré à la surveillance du déploiement des normes Internet, le taux de soutien de la politique DMARC stricte pour les domaines basés dans l'UE est actuellement de 35 % en moyenne cumulée, avec des différences entre les différents pays. Il semble donc que le secteur de la vente au détail (du moins les grands détaillants) ait une longueur d'avance, avec un taux de 41 %.
Cependant, la mauvaise nouvelle est que plus de la moitié des 59 % restants n'ont pas d'enregistrement DMARC, ont un enregistrement DMARC mal formé (erreurs de syntaxe ou non-respect des meilleures pratiques prescrites), ou ont publié une politique p=none tout cela équivaut à une absence de protection contre le phishing et l'usurpation d'identité par DMARC et ses fondements d'authentification SPF et DKIM.
Questions relatives au FPS
En examinant de plus près l'adoption de la technologie de soutien SPF, nous avons découvert que 13 % des enregistrements SPF étaient mal formés ou ne respectaient pas les meilleures pratiques prescrites, ce qui signifie que leurs domaines ne sont pas entièrement protégés. Le problème le plus courant est l'utilisation incorrecte de la syntaxe SPF, suivie par des enregistrements dépassant la limite de 10 consultations, ce qui entraîne l'erreur Too Many Lookups (trop de consultations). Nous fournissons des conseils pour résoudre ces problèmes sans avoir recours à des solutions de contournement telles que l'aplatissement SPF, qui peut compromettre votre position en matière de sécurité.
Par ailleurs, 11 % des propriétaires de domaines ont complètement contourné le SPF en ne l'appliquant pas et en s'appuyant uniquement sur le DKIM. Il convient de noter que près d'un quart des entreprises figurant sur cette liste n'utilisent pas SPF ou l'appliquent de manière incorrecte.
Statut DMARC des 100 premiers détaillants en France
Nous avons décidé de creuser un peu plus et d'examiner les résultats de manière plus détaillée. Nous avons choisi les 100 premiers détaillants en France (toujours en fonction du chiffre d'affaires estimé), car ils sont les plus présents dans le top 500 européen, avec l'Allemagne.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) encourage la mise en œuvre de certains protocoles ayant pour rôle de vérifier l'authenticité et l'intégrité des courriels, notamment DMARC, SPF et DKIM.

Cependant, le secteur français de la vente au détail ne compte que 32% de ses 100 premiers domaines avec des politiques à un niveau d'application et 68% sont exposés, soit parce qu'ils n'ont pas d'enregistrement DMARC, soit parce qu'ils ont des problèmes avec leur enregistrement actuel. Ces chiffres sont inférieurs de 9 % à ceux du top 500 européen, qui se situent respectivement à 41 % et 59 %.
Statut DMARC des 100 premiers détaillants en Allemagne
Nous avons choisi les 100 premiers détaillants en Allemagne, l'autre grande présence de l'UE dans le top 500 européen.
L'authentification de l'expéditeur est plus efficace lorsque SPF est combiné avec DKIM et DMARC. DKIM garantit que le message n'a pas été modifié et qu'il provient bien de l'expéditeur indiqué. Lorsqu'il est associé à DMARC, le serveur du destinataire reçoit des instructions claires sur la manière de traiter les courriers électroniques non authentifiés. Ces protocoles ne sont pas nouveaux, mais ils doivent être adoptés plus largement si nous voulons améliorer de manière significative la sécurité des communications par courrier électronique.
Claudia Plattner, présidente de l'Office fédéral allemand de la sécurité de l'information (BSI)

Un peu mieux que leurs voisins français, nous constatons que 40 % des 100 premiers détaillants allemands bénéficient d'un enregistrement DMARC correctement formaté lors de la mise en œuvre, tandis que 60 % n'en bénéficient pas.
Statut DMARC des 100 premiers détaillants au Royaume-Uni
Nous nous intéressons également au Royaume-Uni, que nous avons inclus dans le top 500 européen. Près de 90 % des entreprises britanniques victimes de cybercriminalité ont signalé des incidents de phishing, la cyberattaque la plus courante touchant les entreprises britanniques.
Le Brexit a fait craindre à certains que l'écosystème de cybersécurité du Royaume-Uni ne soit affecté par une réduction de l'efficacité opérationnelle, une exclusion du processus décisionnel de l'UE et une pénurie potentielle de compétences.

Bon nombre de ces préoccupations ne se sont pas concrétisées, car la coopération entre les agences de renseignement nationales n'a pas été directement affectée et le Royaume-Uni exerce toujours une influence significative grâce à son vaste réseau de partenariats internationaux.
Le centre national de cybersécurité du Royaume-Uni a également créé Mail Check, une plateforme gratuite permettant d'évaluer la conformité de la sécurité du courrier électronique. Mail Check aide les organisations du secteur public à mettre en œuvre SPF, DKIM, DMARC et TLS.
C'est ce qui ressort des résultats, puisque 58 % des 100 premiers détaillants britanniques ont mis en place une politique DMARC, dépassant ainsi les moyennes des 500 premiers détaillants européens (41 %) et la moyenne de la surveillance du déploiement des normes Internet de la Commission européenne (35 %).
Statut DMARC des 100 premiers détaillants en Irlande
Nous nous intéressons de plus près à l'Irlande, car c'est là que se trouve le siège de l'unité commerciale européenne de dmarcian, et nous soutenons activement la communauté locale de la cybersécurité par des actions de sensibilisation, de collaboration et de plaidoyer.
L'Irlande est classée comme le pays le plus hameçonné au monde, avec près de deux tiers des adultes irlandais victimes de tentatives d'hameçonnage.

Et comme le montrent les chiffres, nous avons du pain sur la planche, du moins en ce qui concerne le secteur irlandais de la vente au détail. Avec 19 % de politiques d'application (81 % ne bénéficiant pas de DMARC), il est beaucoup plus bas que dans les autres régions que nous avons étudiées.
Toutefois, cela ne veut pas dire que l'Irlande est à la traîne en ce qui concerne l'adoption de DMARC, que nous avons étudiée plus tôt cette année. En fait, la surveillance du déploiement des normes Internet de la Commission européenne montre que 36 % des domaines irlandais ont une politique d'application, soit un peu plus que la moyenne de l'UE.
Comparaison de l'application de la politique DMARC

Cette comparaison montre que, parmi les catégories étudiées, trois des cinq catégories se situent à six points de pourcentage ou moins de la moyenne européenne (ALL). Aux deux extrémités du spectre, seuls 19 % des 100 premiers domaines de vente au détail en Irlande sont protégés, et 58 % des 100 premiers domaines de vente au détail au Royaume-Uni sont à l'abri de l'hameçonnage par nom de domaine exact.
Ce qui est clair pour toutes les catégories, c'est que si l'adoption du DMARC est encore en développement, elle progresse. Comme nous le voyons avec Google et Yahoo, les exigences des expéditeurs de courrier électronique jouent un rôle important dans l'expansion de l'adoption de DMARC, tout comme les initiatives gouvernementales et les associations de réglementation. Alors que DMARC continue à devenir une nécessité plutôt qu'un simple gadget, dmarcian s'engage à éduquer et à défendre les intérêts des détaillants afin de les aider à protéger leurs clients et à renforcer la réputation de leur marque sur le marché du commerce électronique en constante évolution.
Les détaillants européens restent des cibles de choix pour les attaques de phishing par courrier électronique, étant donné la richesse des données sensibles des clients qu'ils gèrent, depuis les détails de paiement jusqu'aux informations personnelles. En adoptant des mesures robustes telles que DMARC, ils peuvent non seulement préserver la confiance des consommateurs, mais aussi limiter les pertes financières importantes.
Dermot Harnett, directeur du siège européen de dmarcian
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité de l'email et la mission de rendre l'email et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian et nos partenaires ont aidé les détaillants à atteindre l'application DMARC pour garder leurs clients et leur marque en sécurité. Nous aidons les gens à sécuriser leurs domaines contre le phishing et à gérer la sécurité de leurs emails sur le long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.