Passer au contenu principal
Pourquoi le DMARC doit figurer dans votre budget 2027

Pourquoi le DMARC doit figurer dans votre budget 2027

Perspectives en matière de sécurité

Au début de l'année, nous avons expliqué pourquoi les attaques par hameçonnage continuaient de porter leurs fruits malgré les mesures de sécurité modernes. Alors que nous entrons dans la seconde moitié de l'année, les entreprises de la région EMEA se projettent déjà vers 2027.

Les priorités stratégiques font actuellement l'objet de discussions et les budgets sont en cours de révision. Les dirigeants d'entreprise, les responsables de la sécurité des systèmes d'information (RSSI) et les équipes informatiques déterminent quelles initiatives permettront de réduire les risques, de renforcer la résilience et de préparer leurs organisations à faire face aux défis des années à venir. 

Les discussions récentes avec des RSSI et des responsables de la sécurité laissent entrevoir une évolution du débat sur la cybersécurité. Ces observations sont corroborées par les résultats d'une récente enquête menée auprès de RSSI et présentés lors d'un événement organisé par Cyber Ireland. 

L'évolution du paysage de la cybersécurité dans la région EMEA

L'enquête a révélé que les préoccupations liées à la conformité et à la gouvernance sont passées de 38 % en 2025 à 45 % en 2026. Parallèlement, la compromission des identifiants due au hameçonnage reste l'un des risques les plus importants auxquels sont confrontées les organisations, avec une hausse d'environ 20 % à 25 % sur la même période.

Par ailleurs, 59 % des organisations s’attendent à une augmentation de leurs budgets consacrés à la cybersécurité en 2026, bien que ce chiffre soit en baisse par rapport aux 68 % enregistrés l’année précédente, ce qui montre que, si les dépenses en matière de sécurité continuent d’augmenter, leur contrôle s’intensifie également. Le message qui se dégage à la fois de cet événement et des résultats de l’enquête est clair : les conseils d’administration et les équipes de direction se concentrent de plus en plus sur la résilience, la gouvernance et la réduction mesurable des risques plutôt que sur la technologie pour la technologie. 

Pourquoi le DMARC ne devrait pas rester en suspens sur la liste des tâches à accomplir

Dans ce contexte, le protocole DMARC mérite de figurer en tête de liste. Depuis des années, de nombreuses organisations reconnaissent l’importance de l’authentification des e-mails. Le protocole DMARC figure dans les registres des risques, est évoqué lors des audits et fait l’objet de discussions à la suite d’incidents de hameçonnage. Pourtant, malgré une prise de conscience généralisée, il reste souvent relégué dans la catégorie des « choses auxquelles il faudrait s’attaquer ». 

2027 sera sans doute l'année où cela changera. 

En réalité, le protocole DMARC ne se limite pas à la lutte contre les attaques de hameçonnage. Le courrier électronique reste le principal moyen de communication des entreprises avec leurs clients, fournisseurs, partenaires et collaborateurs, et constitue un enjeu commercial incontournable. Parallèlement, les fournisseurs de messagerie continuent de renforcer leurs exigences en matière de confiance et d'authentification des expéditeurs

Le DMARC n'est plus seulement une question de sécurité

Les entreprises ne peuvent plus partir du principe que les e-mails légitimes parviendront dans la boîte de réception simplement parce qu’ils ont été envoyés depuis un domaine reconnu. Cela signifie que l’authentification des e-mails n’est plus seulement une question de sécurité ; c’est un enjeu commercial, et des e-mails mal authentifiés peuvent nuire à la délivrabilité, affecter l’engagement des clients, réduire la confiance dans les communications et créer des frictions inutiles au sein de l’entreprise. Parallèlement, l’utilisation non autorisée de votre domaine peut nuire à la réputation de votre marque et exposer vos clients, partenaires et employés à la fraude.

Comprendre la directive NIS 2, la directive DORA et les nouvelles réglementations

Dans toute la région EMEA, ces enjeux prennent de plus en plus d’importance. Les organisations doivent faire face à l’évolution des exigences réglementaires, à l’augmentation des risques liés à la chaîne d’approvisionnement et à des attentes croissantes en matière de confiance numérique. Des initiatives telles que la directive NIS2 et le règlement DORA incitent les organisations à adopter une approche plus structurée en matière de gouvernance de la cybersécurité, de résilience et de gestion des risques.

Les conseils d'administration et les comités de gestion des risques posent des questions de plus en plus pointues sur la résilience, la gouvernance et la réduction des risques. Ils recherchent des moyens concrets de réduire les risques tout en soutenant les objectifs de l'entreprise. Dans ce contexte, la fiabilité des e-mails et le protocole DMARC méritent de figurer dans le registre des risques.

Les organisations qui ont officiellement reconnu la sécurité des e-mails comme un risque opérationnel ont réussi à mobiliser le soutien nécessaire à la mise en place de programmes DMARC efficaces. Le parcours de l’université de Dublin , par exemple, montre comment les directives en matière de sécurité des e-mails et de gestion des risques ont permis d’obtenir l’adhésion de l’organisation et de favoriser la mise en œuvre du protocole DMARC.

7 questions à poser à votre équipe de sécurité avant 2027

  1. Des tiers non autorisés peuvent-ils envoyer des e-mails en utilisant notre domaine ?
  2. Connaissons-nous tous les services qui envoient des e-mails en notre nom ?
  3. Les failles de notre système d'authentification des e-mails pourraient-elles nuire à la délivrabilité ?
  4. Nos clients, fournisseurs ou collaborateurs pourraient-ils être victimes d'attaques par usurpation d'identité utilisant notre marque ?
  5. Sommes-nous en train de réduire activement ce risque, ou nous contentons-nous simplement de reconnaître son existence ?
  6. La question de la fiabilité des e-mails figure-t-elle toujours dans notre registre des risques, ou avons-nous pris des mesures à ce sujet ?
  7. Que devons-nous faire pour être prêts à mettre en œuvre avec succès le protocole DMARC en 2027 ?

DMARC contribue à protéger les domaines contre toute utilisation non autorisée et permet de savoir qui envoie des e-mails au nom de l'organisation. Il permet également de réduire le risque que le nom de votre organisation soit associé à des campagnes de hameçonnage, à des tentatives de fraude ou à des signalements de violations de données. 

Il est important de noter que DMARC est l’une des rares initiatives capables d’améliorer à la fois la sécurité et les résultats commerciaux. Lorsqu’elles examineront leurs priorités pour 2027, les organisations devraient se poser une question simple : la confiance dans les e-mails figure-t-elle toujours sur notre registre des risques, ou avons-nous réellement pris des mesures pour y remédier ? Si la protection des domaines, la délivrabilité et la réputation de la marque constituent depuis plusieurs années des risques non résolus, c’est maintenant le moment idéal pour y remédier.

La réussite de la mise en œuvre du protocole DMARC ne se résume pas à une simple question de technologie

L'un des principaux enseignements tirés des organisations qui ont mis en œuvre avec succès le protocole DMARC est que le facteur humain joue un rôle essentiel. Le défi ne réside généralement pas dans la publication d'un enregistrement DNS ; il consiste plutôt à comprendre votre écosystème de messagerie, à identifier les expéditeurs légitimes, à gérer les services tiers, à impliquer les parties prenantes et à mener à bien le processus de mise en œuvre sans perturber les communications de l'entreprise. 

La technologie est importante, mais l'expérience compte aussi

C'est pourquoi une autre question importante à se poser aujourd'hui est la suivante :

Que devons-nous faire dès maintenant pour être prêts à mettre en œuvre avec succès le protocole DMARC en 2027 ?

Nous avons abordé bon nombre de ces thèmes lors de notre webinaire organisé en collaboration avec l'université de Dublin, et pour de nombreuses organisations, cela implique de dresser un inventaire de leurs services de messagerie électronique. Pour d'autres, cela signifie obtenir une meilleure visibilité sur les personnes qui envoient des e-mails en leur nom. Pour beaucoup, cela revient à trouver des partenaires expérimentés capables de les accompagner tout au long du processus et de les aider à éviter les écueils courants.

Alors que l'IA rend les attaques par usurpation d'identité de plus en plus convaincantes et que la confiance devient un atout commercial de plus en plus précieux, les entreprises auront besoin de bien plus que de simples outils. Elles auront besoin de personnes qui comprennent ces défis, qui ont déjà aidé d'autres organisations à les surmonter et qui sont capables de mener à bien un projet complexe.

En fin de compte, 2027 pourrait être l'année où votre organisation comblera les lacunes de son registre des risques, améliorera la délivrabilité de ses e-mails, renforcera la réputation de sa marque, réduira l'exposition aux usurpations d'identité et gagnera en confiance dans l'un de ses canaux de communication les plus importants : l'e-mail. 2027 devrait être l'année où vous ferez passer la confiance dans l'e-mail du statut de « risque accepté » à celui de « risque maîtrisé ».

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.


Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.