88% des organisations du secteur public français exposent les citoyens au risque de fraude par e-mail

06/03/2026 - 06:55

Une analyse de l'entreprise de cybersécurité Proofpoint révèle qu'une majorité d'organisations du secteur public en France ne bloque pas de manière proactive les e-mails frauduleux susceptibles d'atteindre le grand public

PARIS, France le 6 mars 2026 – Proofpoint, Inc., leader en cybersécurité et conformité, publie aujourd'hui les résultats d'une nouvelle étude analysant la posture de sécurité des e-mails de près de 300 organisations du secteur public en France. Les résultats montrent que 88 % de ces organisations ne disposent pas des mesures de sécurité nécessaires pour aider à se protéger contre l'usurpation d'identité de domaine, pouvant ainsi exposer le public au risque de fraude par e-mail.

Pour établir l'état actuel des défenses contre le risque d'usurpation d'identité, Proofpoint a analysé les niveaux d'adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance), une mesure de protection fondamentale des e-mails, au sein d'un large éventail d'organisations du secteur public français : départements, métropoles, conseils régionaux, centres hospitaliers universitaires et universités. Malgré les recommandations claires des autorités nationales compétentes, telles que l'ANSSI, l'étude met en évidence un manque de protection contre l'usurpation d'identité par e-mail et les attaques de phishing, pouvant augmenter le risque de fraude et de pertes de données.

Voici les principales conclusions de l’enquête Proofpoint :

Une organisation sur dix ne dispose d’aucune protection de base : 10 % des noms de domaines ne disposent d'aucun enregistrement DMARC, ce qui les rend plus vulnérables à la fraude par courriel.
La majorité se fie à une surveillance insuffisante : La majorité des organisations disposant d'enregistrements DMARC (51 %) mettent en œuvre uniquement une politique de surveillance du nom de domaine, qui n'empêche pas complètement les courriels frauduleux d'atteindre les destinataires.
Adoption limitée de la politique "Rejet" : Seulement 12 % des entités analysées ont mis en œuvre une politique DMARC "Rejet", le niveau de protection le plus strict, créé pour bloquer activement les courriels non autorisés d'atteindre les boîtes de réception, indiquant que la 88% des organisations pourraient être davantage exposées aux risques de fraude par courrier électronique.

Résultats détaillés de l'étude :

Conseils régionaux : Seuls 9% des conseils régionaux bloquent proactivement les emails frauduleux en ayant adopté « Rejet », bien que 87% des conseils régionaux aient un enregistrement DMARC.
Départements : Un pourcentage élevé de départements ont adopté DMARC (92 %), mais seulement 14 % utilisent la politique "Rejet".
Métropoles : Seules 41% des métropoles disposent d'un enregistrement DMARC, avec un pourcentage plus faible (18 %) mettant en œuvre la politique "Rejet".
Préfectures : Les taux d'adoption parmi les préfectures est modéré (70 %), avec un faible pourcentage (8 %) utilisant la politique "Rejet".
CHU (Centres Hospitaliers Universitaires) : Un pourcentage élevé de CHU ont adopté DMARC (88 %), mais seule une petite fraction (13 %) utilise la politique "Rejet".
Universités : Bien que 86% des meilleures universités Françaises aient adopté le protocole DMARC, seulement 8% utilisent la politique « Rejet ».

Implications et recommandations :

Le manque d'adoption généralisée de la politique "Rejet" pourrait laisser les citoyens plus vulnérables aux attaques de phishing, aux attaques par compromission de courriels professionnels (BEC) et à d'autres menaces véhiculées par courriel qui peuvent imiter des entités gouvernementales de confiance.

Les cybercriminels peuvent exploiter ces vulnérabilités pour :

Voler des données personnelles : Obtenir des informations sensibles telles que les numéros de sécurité sociale, les informations financières et les dossiers médicaux.
Diffuser de la désinformation : Disséminer des informations fausses ou trompeuses qui peuvent saper la confiance du public et perturber les services essentiels.
Mener des fraudes financières : Inciter les citoyens à effectuer des paiements frauduleux ou à fournir une aide financière à de fausses organisations.

L’ANSSI recommande explicitement la mise en œuvre de DMARC dans son Guide d'hygiène informatique, aux côtés d'autres protocoles d'authentification des emails comme SPF et DKIM. Il s'agit d'une mesure gratuite, accessible à toute organisation et ne nécessitant qu'une simple modification des enregistrements DNS. Malgré ces recommandations claires et la simplicité de déploiement, l'absence de politique nationale contraignante contribue à ralentir l'adoption du protocole à son niveau de protection maximal, laissant une large partie des services publics potentiellement plus vulnérables.

« À l'approche des élections municipales, les communes et métropoles françaises pourraient devenir des cibles privilégiées pour les cybercriminels cherchant à diffuser de la désinformation ou à tromper les citoyens via de faux courriels officiels » explique Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint. « En période électorale, la confiance entre les citoyens et leurs institutions locales est encore plus cruciale. Une usurpation réussie du nom de domaine d'une mairie pourrait compromettre des données personnelles et créer des perturbations dans le processus démocratique en propageant de fausses informations sur les inscriptions électorales, les bureaux de vote ou les résultats. Sécuriser les communications officielles par l'adoption du protocole DMARC au niveau "rejet" est une mesure importante que les collectivités devraient considérer de mettre en place avant le début des campagnes électorales municipales. »

Méthodologie :

Proofpoint a analysé les enregistrements DMARC de 297 collectivités territoriales et services publics français, notamment les conseils régionaux, les départements, les métropoles, les préfectures et les centres hospitaliers universitaires. L'analyse a été menée en janvier 2026.

DMARC est un protocole indépendant d'authentification des emails conçu pour protéger les noms de domaine contre les tentatives d’usurpation frauduleuses. Une simple modification DNS aide à authentifier l'identité de l'expéditeur avant qu'un message n'atteigne sa destination. Le DMARC offre trois niveaux de protection : la surveillance, la mise en quarantaine et le rejet, ce dernier étant le plus sécurisé pour aider à empêcher les messages suspects d'atteindre les boîtes de réception.

###     

À propos de Proofpoint, Inc.    

Proofpoint, inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris 85 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.      

Connectez-vous avec Proofpoint : X | LinkedIn (en anglais seulement) | Facebook (en anglais seulement) | Youtube   

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.  

La cybersécurité pour l’environnement de travail agentique commence avec la plateforme de sécurité de Proofpoint, centrée sur les personnes et les agents.

Participez à un événement Protect en direct et découvrez comment protéger les personnes, les données et l’IA

Stoppez les cybermenaces grâce à une protection multicanale pilotée par l’IA.

Découvrez Core Email Protection en action — bloquez 99,99 % des menaces par e-mail.

Transformez la sécurité des données grâce à une approche unifiée et omnicanale.

Comprenez les principaux risques liés à la sécurité des données auxquels les organisations sont confrontées — et comment garder une longueur d’avance.

Les technologies Proofpoint au service d’une sécurité centrée sur les personnes et les agents.

Explorez les offres Proofpoint.

Optimisez les solutions Proofpoint grâce à des services d’experts.

« Le partenariat avec Proofpoint est une extension de notre équipe. » — Celesta Capital

Des solutions complètes pour répondre aux menaces de cybersécurité actuelles.

Découvrez les nouveaux risques liés à l’IA — et comment bâtir une base sécurisée pour une adoption en entreprise.

Une protection supérieure pour tous les secteurs, des petites entreprises aux grandes organisations.

Découvrez les risques de sécurité que les organisations de santé ne peuvent pas se permettre d’ignorer.

Plus de 80 entreprises du Fortune 100 choisissent Proofpoint pour protéger leurs collaborateurs, leurs données et leur IA.

Vous évaluez des fournisseurs de sécurité ? Comparez-nous grâce à des comparaisons côte à côte.

Recherches, analyses et ressources proposées par les experts Proofpoint.

Nouveaux agents, nouvelles attaques : sécuriser la collaboration à l’ère agentique

Bénéficiez de notre expertise en matière de renseignement sur les menaces et d’analyses exclusives que vous ne trouverez nulle part ailleurs.

Proofpoint DISCARDED : récits issus des coulisses de la recherche sur les menaces

En savoir plus sur l’équipe qui fait progresser une sécurité centrée sur les personnes et les agents.

Prêt à rejoindre une entreprise qui redéfinit la cybersécurité ?