Skip to main content
Le statut DMARC des 100 premières banques mondiales - réexaminé

Le statut DMARC des 100 premières banques mondiales - réexaminé

- 21 juin 2023
Nouvelles des écosystèmes

Note de l'éditeur : Cet article a été mis à jour le 21 juin 2023 pour inclure des informations sur le mandat DMARC dans PCI DSS v4.0, dont la publication est prévue pour mars 2025.

Au deuxième trimestre 2021, nous avons étudié l'adoption du DMARC par les 100 premières banques mondiales en fonction de leurs actifs déclarés. Un an plus tard, nous avons fait le point sur l'adoption du DMARC dans le secteur très ciblé des services financiers.

Taux d'adoption de DMARC par les banques

Voici ce que nous avons appris :

  • Augmentation de 28% des politiques DMARC mises en place p=reject
  • Augmentation de 200 % du nombre de politiques DMARC mises en place p=quarantine
  • 29% de diminution des politiques DMARC réglées sur p=none
  • Diminution de 18% des entreprises ne disposant pas d'une politique DMARC

Les tendances que nous avons observées illustrent une progression optimiste de la conformité DMARC dans la croissance des politiquesp=quarantine et p=reject . Les banques et les institutions financières utilisent DMARC et ses technologies sous-jacentes comme des contrôles basés sur le domaine pour traiter :

  • Fraude par courrier électronique - le cas d'utilisation initial de DMARC. DMARC permet de savoir comment un domaine est utilisé et empêche les expéditeurs non autorisés d'envoyer des e-mails au nom d'une organisation.
  • Fiabilité du courrier électronique - Les organisations ont besoin que le courrier électronique soit fiable. DMARC est la base de la livraison du courrier électronique, et c'est souvent la première mesure prise pour résoudre les problèmes de livraison du courrier électronique.
  • Conformité - Les industries, les gouvernements et les réglementations exigent de plus en plus la mise en place de DMARC. Il devient également une exigence pour de nombreux fournisseurs d'assurance cybersécurité.

Ces contrôles sont plus importants que jamais. Dans son dernier rapport sur les tendances de l'activité de phishing, l'Anti-Phishing Working Group (APWG) indique qu'au premier trimestre 2021, "les attaques de phishing contre le secteur financier, qui comprend les banques, sont restées le plus grand ensemble d'attaques, représentant 23,6 % de l'ensemble du phishing."

En outre, au premier trimestre 2022, l'APWG a "observé 1 025 968 attaques de phishing au total. C'est le pire trimestre pour le phishing que l'APWG ait jamais observé, et la première fois que le total trimestriel a dépassé le million."

Mandat DMARC de l'industrie des cartes de paiement

Le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) a annoncé que "l'exigence DMARC est une meilleure pratique jusqu'au 31 mars 2025, après quoi elle sera obligatoire et devra être pleinement prise en compte lors d'une évaluation PCI DSS".

Le PCI SSC concentre ses travaux sur la sécurité des données des comptes de paiement au niveau mondial et élabore des normes et des services de soutien qui favorisent l'éducation, la sensibilisation et la mise en œuvre efficace par les parties prenantes.

Lors de l'élaboration de contrôles anti-hameçonnage, les entités sont encouragées à envisager une combinaison d'approches. Par exemple, l'utilisation de contrôles anti-spoofing tels que Domain-based Message Authentication, Reporting & Conformance (DMARC), Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM) permettra d'empêcher les hameçonneurs d'usurper le domaine de l'entité et d'usurper l'identité du personnel.

Exigences et procédures de test de la norme de sécurité des données PCI, version 4.0

Ce mandat arrivant à échéance en 2025, nous allons suivre l'évolution de l'adoption de DMARC dans le secteur financier pour voir comment l'exigence PCI SSC DMARC influe sur l'adoption de DMARC. Les exigences de la norme PCI DSS s'appliquent à l'environnement des données des titulaires de cartes (CDE), qui comprend les éléments suivants :

  • Composants du système, personnes et processus qui stockent, traitent et transmettent les données du titulaire de la carte et/ou les données d'authentification sensibles
  • Composants du système qui ne peuvent pas stocker, traiter ou transmettre des données relatives aux titulaires de cartes (CHD) ou des données d'authentification sensibles (SAD), mais qui disposent d'une connectivité illimitée avec des composants du système qui stockent, traitent ou transmettent des CHD/SAD.
  • Les composants du système, les personnes et les processus qui pourraient avoir un impact sur la sécurité du CDE.

RELATIF : Jetez un œil aux taux d'adoption de DMARC dans d'autres secteurs

Nous sommes là pour vous aider

Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.

Vous pouvez nous contacter ou vous inscrire pour un essai gratuit, où notre équipe d'accueil et d'assistance vous aidera tout au long du processus.

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.

BanquesTendances de l'adoption de DMARCRecherche

Postes connexes