Sécurité email des PME françaises : pourquoi tester SPF, DKIM et DMARC est urgent
La plupart des PME françaises n'ont pas de politique DMARC en mode reject. Résultat : n'importe qui peut envoyer un email en leur nom. Voici comment tester votre domaine et corriger le problème.
Votre comptable reçoit un email du dirigeant un mardi matin. « Règle cette facture fournisseur, c'est urgent, je suis en déplacement. » L'adresse est la bonne : prénom.nom@votredomaine.fr. Le comptable vérifie l'expéditeur, voit le bon nom de domaine, et exécute le virement de 47 000 €.
L'email ne venait pas du dirigeant. N'importe qui l'avait envoyé, depuis n'importe quel serveur. Votre domaine n'avait aucun mécanisme pour empêcher ça.
Ce scénario se répète tous les jours en France. Le FBI IC3 estime que la fraude par email d'entreprise (BEC, Business Email Compromise) a coûté 2,9 milliards de dollars aux entreprises dans le monde en 2023 (FBI, Internet Crime Report 2023). En France, Cybermalveillance.gouv.fr a enregistré plus de 280 000 demandes d'assistance liées à des cyberattaques en 2024, dont la majorité impliquaient un email frauduleux comme vecteur initial.
Et pourtant, la solution technique existe depuis plus de dix ans. Elle s'appelle SPF, DKIM et DMARC.
Testez votre domaine maintenant. Notre test gratuit de sécurité email vérifie vos enregistrements SPF, DKIM, DMARC et BIMI en quelques secondes. Score sur 10 avec recommandations.
SPF, DKIM, DMARC : ce que chaque protocole fait concrètement
Avant de parler d'adoption et de chiffres, il faut comprendre ce que font ces trois protocoles. Ils travaillent ensemble, mais chacun a un rôle distinct.
SPF : qui a le droit d'envoyer en votre nom
SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Quand un serveur reçoit un email prétendant venir de votre domaine, il vérifie l'enregistrement SPF : le serveur expéditeur est-il dans la liste ?
Concrètement, un enregistrement SPF ressemble à ça :
v=spf1 include:_spf.google.com include:sendgrid.net -all
Ce qui signifie : « Seuls les serveurs de Google Workspace et SendGrid ont le droit d'envoyer des emails pour ce domaine. Tout le reste doit être rejeté (-all). »
Le piège fréquent chez les PME : l'enregistrement SPF existe, mais il ne couvre pas tous les services. La messagerie principale est déclarée, mais le CRM qui envoie des notifications, la plateforme de facturation, ou l'outil de newsletter ne le sont pas. Résultat : des emails légitimes échouent au test SPF, et l'entreprise finit par mettre ~all (soft fail) au lieu de -all (hard fail), ce qui ne bloque rien.
DKIM : la signature qui garantit l'intégrité
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur expéditeur signe le message avec une clé privée. Le serveur destinataire récupère la clé publique dans le DNS du domaine et vérifie que le message n'a pas été modifié en transit.
DKIM répond à une question que SPF ne couvre pas : même si le serveur est autorisé, est-ce que le contenu de l'email est intact ? Un email intercepté et modifié entre deux serveurs échouera la vérification DKIM.
Le piège fréquent : DKIM est activé par défaut chez certains fournisseurs (Google Workspace, par exemple), mais la clé publique n'est pas toujours publiée dans le DNS du domaine. L'hébergeur signe avec sa propre clé, ce qui fait passer DKIM pour le domaine de l'hébergeur, pas pour le vôtre. L'alignement DMARC échoue.
DMARC : la politique qui relie tout
DMARC (Domain-based Message Authentication, Reporting and Conformance) fait deux choses :
- Il vérifie que SPF ou DKIM passe et que le domaine est aligné (le domaine dans le « From » visible correspond au domaine vérifié par SPF ou DKIM).
- Il indique aux serveurs destinataires quoi faire quand la vérification échoue : rien (
p=none), mettre en spam (p=quarantine), ou rejeter (p=reject).
Sans DMARC, SPF et DKIM existent mais personne ne sait quoi faire quand ils échouent. C'est comme installer une alarme sans brancher la sirène.
Le piège fréquent : publier un enregistrement DMARC avec p=none et ne jamais aller plus loin. p=none signifie « observez, mais ne bloquez rien ». C'est un point de départ, pas une protection. L'ANSSI recommande d'atteindre p=reject pour une protection effective (ANSSI, guide d'hygiène informatique, recommandation 26).
L'état réel de l'adoption en France
Les chiffres sur l'adoption de DMARC par les PME françaises sont préoccupants. Selon une étude Proofpoint publiée en septembre 2024, 80 % des entreprises du CAC 40 ont un enregistrement DMARC, mais seulement 24 % sont en mode reject (Proofpoint, "DMARC adoption among top French companies", 2024). Si les plus grandes entreprises françaises en sont là, la situation des PME est logiquement pire.
À l'échelle mondiale, le rapport Sendmarc 2024 indique que 85 % des emails de phishing proviennent de domaines sans DMARC en mode enforce (quarantine ou reject). Le rapport Agari 2023 montre que 73 % des domaines analysés n'ont aucune politique DMARC ou sont en p=none.
Pour les PME françaises entre 10 et 500 salariés, le constat est simple : la grande majorité n'a pas de DMARC en mode reject. Les raisons sont toujours les mêmes : manque de connaissance du protocole, peur de bloquer des emails légitimes, et absence de compétence technique en interne.
Résultat concret : n'importe qui peut envoyer un email qui affiche l'adresse de votre entreprise. Vos clients, vos fournisseurs et vos banques recevront cet email et n'auront aucun moyen automatique de savoir que ce n'est pas vous.
Audit SPF DKIM DMARC gratuit. Testez la sécurité email de votre domaine en 10 secondes. L'outil vérifie chaque protocole et vous donne un plan d'action.
Pourquoi c'est grave pour une PME
La fraude au président (BEC)
Un attaquant envoie un email au directeur administratif et financier de votre entreprise. L'email affiche l'adresse du dirigeant. Il demande un virement urgent sur un nouveau compte bancaire. Le DAF vérifie l'adresse : c'est bien celle du patron. Il exécute le virement.
La fraude au président est la forme d'attaque par email la plus coûteuse. Le FBI IC3 rapporte 21 489 plaintes BEC en 2023, pour des pertes totales de 2,9 milliards de dollars (FBI, Internet Crime Report 2023). En France, la Police Judiciaire et la Direction Générale de la Sécurité Intérieure (DGSI) traitent des centaines de cas chaque année, avec un préjudice médian estimé à 150 000 euros par attaque réussie sur une PME (source : rapport CESIN 2024, enquêtes OCLCTIC).
Avec DMARC en mode reject, l'email du faux dirigeant ne serait jamais arrivé dans la boîte de réception du DAF. Le serveur de messagerie aurait vérifié que le serveur expéditeur n'est pas autorisé par le domaine du dirigeant et aurait rejeté l'email avant qu'il n'atteigne la boîte de réception.
Le phishing de vos clients et fournisseurs
Un attaquant envoie un email à vos clients en se faisant passer pour votre entreprise. « Votre facture est disponible, cliquez ici pour la consulter. » Le lien pointe vers une page qui capture les identifiants du client ou installe un logiciel malveillant.
Vos clients ne peuvent pas distinguer cet email d'un vrai. L'adresse est la bonne. Les vérifications techniques (quand elles existent) passent parce que votre domaine n'a pas de DMARC en mode reject.
Les conséquences dépassent la perte financière immédiate : perte de confiance de vos clients, atteinte à votre réputation commerciale, et risque juridique si des données personnelles sont compromises via un email envoyé depuis votre domaine (RGPD, article 32 : obligation de sécurité des traitements).
La dégradation de votre délivrabilité
Si des spammeurs utilisent votre domaine pour envoyer du spam - ce qui est trivial sans DMARC - la réputation de votre domaine se dégrade chez les fournisseurs de messagerie. Gmail, Microsoft 365, Yahoo : tous maintiennent un score de réputation par domaine.
C'est un cercle vicieux : votre domaine est utilisé pour du spam → votre réputation baisse → vos emails légitimes sont filtrés → vos commerciaux se plaignent que les devis n'arrivent plus → vous ne comprenez pas pourquoi.
Le rapport Return Path 2023 indique qu'un domaine avec une mauvaise réputation voit jusqu'à 20 % de ses emails légitimes atterrir en spam. Pour une PME dont l'activité commerciale passe par l'email, l'impact sur le chiffre d'affaires est direct.
Ce que font les entreprises qui se protègent
Les entreprises avec DMARC en mode reject partagent trois caractéristiques :
1. Elles connaissent tous leurs flux email
Avant d'activer DMARC, elles ont inventorié chaque service qui envoie des emails en leur nom : messagerie principale (Google Workspace, Microsoft 365, OVH), CRM (HubSpot, Salesforce, Pipedrive), newsletter (Mailchimp, Brevo, Sendinblue), facturation (Pennylane, QuickBooks), support (Zendesk, Freshdesk), signature électronique (DocuSign, Yousign).
Sans cet inventaire, activer DMARC en mode reject risque de bloquer des emails légitimes. C'est la raison pour laquelle on commence toujours par p=none.
2. Elles ont monté progressivement
Aucune n'est passée directement de zéro à reject. Le parcours standard suit trois étapes :
-
p=none(2 à 4 semaines) : DMARC est publié mais ne bloque rien. Les rapports DMARC (adresse rua) permettent de voir quels serveurs envoient des emails pour votre domaine et lesquels passent ou échouent l'authentification. -
p=quarantine(2 à 4 semaines) : Les emails qui échouent l'authentification sont mis en spam. C'est le moment de vérifier que vos rapports DMARC ne montrent plus de faux positifs. -
p=reject(définitif) : Les emails non authentifiés sont rejetés. Votre domaine est protégé.
Les rapports DMARC agrégés (envoyés quotidiennement par Gmail, Yahoo, Microsoft et les autres fournisseurs de messagerie) permettent de vérifier que tout fonctionne à chaque étape. Des outils gratuits comme Postmark DMARC Weekly Digests ou les fonctions intégrées de Google Workspace facilitent leur lecture.
3. Elles maintiennent la configuration
Un nouveau service email (changement de CRM, ajout d'un outil de support) signifie un nouveau include dans le SPF et une nouvelle signature DKIM à configurer. Les entreprises protégées ont un processus interne : quand on ajoute un outil qui envoie des emails, on met à jour l'authentification.
Le test de sécurité email devrait être exécuté à chaque changement d'outil, et au minimum une fois par trimestre.
Guide pas-à-pas. Si vous voulez configurer SPF, DKIM et DMARC sur votre domaine, suivez notre guide de configuration pour PME. Exemples concrets pour OVH, Google Workspace et Microsoft 365.
Les excuses qui reviennent toujours
« On n'est qu'une PME, personne ne va usurper notre domaine. »
L'usurpation de domaine est automatisée. Les attaquants ne choisissent pas manuellement leurs cibles. Ils scannent des millions de domaines, identifient ceux qui n'ont pas de DMARC en mode enforce et les utilisent pour envoyer du spam et du phishing. Votre taille n'a aucune importance. Votre absence de protection en a une.
Le rapport CESIN 2024 montre que les PME de 50 à 250 salariés sont la cible la plus fréquente des attaques par email en France, devant les grandes entreprises. La raison : elles ont des moyens financiers suffisants pour que l'attaque soit rentable, mais rarement une équipe sécurité dédiée.
« Notre hébergeur s'en occupe. »
Votre hébergeur configure peut-être un SPF par défaut. Mais DKIM et DMARC sont à votre charge. Et même le SPF par défaut ne couvre que la messagerie de l'hébergeur, pas vos autres services (newsletter, CRM, facturation).
Vérifiez par vous-même. Le test de sécurité email montre exactement ce qui est configuré et ce qui manque.
« On a un antispam, ça suffit. »
L'antispam protège vos boîtes de réception contre les emails entrants malveillants. SPF, DKIM et DMARC protègent votre domaine contre l'usurpation sortante. Ce sont deux protections différentes, et elles sont complémentaires.
Un antispam empêche vos employés de recevoir du phishing. DMARC empêche un attaquant d'envoyer du phishing en se faisant passer pour vous. Les deux sont nécessaires.
« DMARC va bloquer nos emails. »
Pas si vous procédez dans l'ordre. Commencez par p=none pour observer. Lisez les rapports. Ajoutez les sources manquantes dans votre SPF. Passez à quarantine, puis reject. C'est un processus de quelques semaines, pas un interrupteur binaire.
La configuration complète (SPF + DKIM + DMARC reject) prend entre 30 minutes et 1 heure pour une PME avec un seul fournisseur de messagerie, plus 4 à 8 semaines de montée progressive pour les rapports DMARC.
Ce que Google et Yahoo imposent depuis février 2024
Depuis février 2024, Google et Yahoo ont durci leurs exigences pour les expéditeurs d'emails. Ces règles ne sont pas optionnelles : ne pas les respecter entraîne le rejet pur et simple de vos emails, ou leur classement en spam.
Pour tous les expéditeurs :
- SPF ou DKIM obligatoire
- Enregistrement DNS reverse (PTR) valide
- Taux de spam inférieur à 0,3 % (signalements dans Gmail)
Pour les expéditeurs de plus de 5 000 emails par jour :
- SPF et DKIM obligatoires (les deux)
- DMARC au minimum
p=none - Alignement du domaine dans le header From
- Lien de désinscription en un clic (List-Unsubscribe)
Plusieurs PME françaises ont découvert ces exigences quand leurs newsletters ont brutalement arrêté d'arriver en boîte de réception. Le problème ne vient pas de la plateforme d'envoi (Brevo, Mailchimp, etc.) mais de l'authentification du domaine expéditeur.
BIMI : le logo de marque comme preuve visuelle
BIMI (Brand Indicators for Message Identification) est un protocole plus récent qui permet d'afficher le logo de votre entreprise à côté de vos emails dans la boîte de réception du destinataire (Gmail, Yahoo, Apple Mail).
BIMI exige DMARC en mode p=quarantine ou p=reject comme prérequis. C'est un argument commercial supplémentaire pour passer à DMARC reject : vos emails deviennent visuellement identifiables, ce qui renforce la confiance de vos destinataires et réduit le risque qu'ils confondent un email frauduleux avec un vrai.
Les chiffres à retenir
| Indicateur | Valeur | Source |
|---|---|---|
| Pertes mondiales BEC en 2023 | 2,9 milliards $ | FBI IC3, Internet Crime Report 2023 |
| Plaintes BEC enregistrées en 2023 | 21 489 | FBI IC3, 2023 |
| Cyberattaques commençant par un email | 91 % | Verizon DBIR, 2024 |
| Emails de phishing depuis des domaines sans DMARC enforce | 85 % | Sendmarc, 2024 |
| Entreprises du CAC 40 avec DMARC reject | 24 % | Proofpoint, septembre 2024 |
| Demandes d'assistance Cybermalveillance.gouv.fr en 2024 | 280 000+ | Cybermalveillance.gouv.fr, bilan 2024 |
| Préjudice médian BEC sur une PME française | ~150 000 € | CESIN / OCLCTIC, 2024 |
Le test prend 10 secondes
Voici ce que vous pouvez faire maintenant, en moins d'une minute :
- Testez la sécurité email de votre domaine avec notre outil gratuit - audit SPF, DKIM, DMARC et BIMI instantané
- Partagez le résultat avec votre prestataire informatique ou votre responsable technique
- Suivez le guide de configuration pour corriger ce qui manque
La couche technique est la base. Mais même avec SPF, DKIM et DMARC en mode reject, 91 % des cyberattaques commencent par un email que les filtres laissent passer (Verizon DBIR, 2024), parce que l'email vient d'un domaine tiers légitime, d'un compte compromis ou d'un service cloud détourné.
La protection technique empêche l'usurpation de votre domaine. La formation de vos équipes empêche le clic sur l'email de phishing qui passe quand même.
nophi.sh combine les deux. Simulations de phishing réalistes, micro-formations automatiques, rapports de conformité NIS2. Testez gratuitement.
Pour aller plus loin
- Guide : configurer SPF, DKIM et DMARC pour votre PME
- Analyseur d'en-têtes email - vérifiez les résultats d'authentification sur un email reçu
- Tracer l'origine d'un email suspect grâce aux en-têtes
- Guide ANSSI d'hygiène informatique - recommandation 26 sur l'authentification email
- Exigences expéditeurs Google 2024