DMARC à l'ère de la gratification
Je pense qu'on peut affirmer sans risque de se tromper que nous vivons à une époque où les gens sont obsédés par la rapidité. Ils veulent pouvoir acheter en un clic, être livrés le jour même, obtenir des mesures instantanées et un retour sur investissement immédiat. Si quelque chose n'apporte pas une valeur visible immédiate, il est souvent relégué au second plan, voire complètement écarté.
C'est quelque chose que je constate tous les jours avec DMARC et l'une des principales raisons, à mon avis, pour lesquelles l'adoption de DMARC continue de tarder. Ce n'est pas parce que DMARC n'est pas utile ou parce que le risque n'est pas réel, mais plutôt parce que DMARC exige de la patience, de la discipline et une vision à long terme. Ce sont là des qualités que de nombreuses organisations ont aujourd'hui du mal à privilégier.
La vérité sur DMARC, c'est qu'il ne s'agit pas d'un contrôle « à configurer puis à oublier ». DMARC oblige les organisations à faire face à la réalité de leur messagerie électronique et/ou de l'écosystème de messagerie électronique de leurs clients. Elles doivent répertorier et rationaliser chaque expéditeur. Des données doivent également être collectées afin de pouvoir prendre des décisions éclairées, ce qui prend du temps.
Les gens doivent apprendre à accepter les frictions à court terme pour bénéficier d'une protection à long terme. La publication d'une politique de p=none; cela marque plutôt le début du parcours DMARC dans la collecte de données. Il n'y a pas de pic spectaculaire sur le tableau de bord, pas d'applaudissements immédiats. Au contraire, il y a analyse, nettoyage, conversation et responsabilité.
Nous avons commencé à normaliser le fait d'éviter les tâches difficiles en les présentant comme facultatives. J'entends souvent des remarques telles que « Nous reviendrons plus tard sur la mise en application », « Nous n'avons encore eu aucun incident » ou « Est-ce vraiment nécessaire ? ». Il ne s'agit pas là d'objections techniques, mais culturelles. Elles reflètent un modèle social qui privilégie la commodité à l'engagement et le confort à la responsabilité. Or, une sécurité efficace n'a jamais fonctionné de cette manière.
« Difficile » ne signifie pas « mauvais ». Certains des systèmes les plus importants au monde ont été difficiles à mettre en œuvre. Les ceintures de sécurité, les codes de prévention des incendies, les contrôles financiers et les sauvegardes de données ont tous été difficiles à mettre en place, mais ils étaient tous nécessaires. Le DMARC appartient à cette catégorie. Le courrier électronique reste le principal vecteur d'attaque pour les entreprises du monde entier. Prétendre que des mesures partielles sont suffisantes ne rend pas une organisation plus sûre ; cela ne fait que retarder les conséquences. Le travail difficile qui est reporté ne disparaît pas, il s'accumule.
Les entreprises qui atteignent avec succès p=reject ont généralement un point commun : leurs dirigeants sont prêts à voir plus loin que le prochain trimestre. Ils comprennent que la maturité en matière de sécurité est un processus continu, et non une simple case à cocher. Ils savent que le travail de prévention est invisible lorsqu'il est efficace et que l'absence d'incidents ne garantit pas la sécurité.
L'adoption du DMARC est plus qu'une prouesse technique, c'est une déclaration de valeurs. En adoptant le DMARC, une organisation affirme : « Nous sommes prêts à faire les efforts nécessaires aujourd'hui pour que nos clients, nos employés et notre marque n'en paient pas le prix demain. »
La vraie question n'est pas « Le DMARC en vaut-il la peine ? », mais plutôt « Quand avons-nous commencé à croire que la difficulté était une raison valable pour ne pas faire ce qu'il faut ? ».
DMARC n'échoue pas parce qu'il est défaillant. Il échoue parce qu'il est relégué au second plan, mis en veilleuse ou conservé pour le moment opportun.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
