Les sites e-commerce français progressent dans la sécurisation de leurs courriels, mais 42 % n'atteignent pas une protection complète, exposant les acheteurs durant la période des fêtes.

PARIS, France – le 26 novembre 2025 – Proofpoint, Inc., l’un des leaders dans les domaines de la cybersécurité et de la conformité, révèle aujourd'hui les conclusions d’une nouvelle étude sur le niveau de sécurité des messageries des principaux sites de e-commerce en France à l'approche du Black Friday et de la saison des achats de fin d'année. Les résultats, basés sur une analyse du taux d'adoption du DMARC (Domain-based Message Authentication, Reporting and Conformance) parmi les 50 plus grands détaillants français, révèlent que 42 % d'entre eux exposent encore leurs clients au risque de fraude par e-mail.

Le DMARC est un protocole d'authentification des e-mails conçu pour protéger les noms de domaine contre les tentatives d’usurpation frauduleuses. Une simple modification DNS authentifie l'identité de l'expéditeur avant qu'un message n'atteigne sa destination. Le DMARC offre trois niveaux de protection : la surveillance, la mise en quarantaine (quarantine) et le rejet (reject), ce dernier étant le plus sécurisé pour empêcher les messages suspects d'atteindre les boîtes de réception.

L'étude, menée en novembre 2025, a analysé 50 plus grands sites et applications de e-commerce en France, contre 20 l'année précédente. Les résultats montrent une adoption quasi-universelle d’un niveau de base du DMARC, mais une mise en œuvre incomplète de sa protection la plus robuste.

Progression et points d'attention de la protection DMARC des sites marchands français

Le protocole DMARC est un mécanisme d'authentification par courriel conçu pour protéger les noms de domaine contre les abus et l'usurpation d'identité par les cybercriminels. Il offre trois niveaux de protection : la surveillance (p=none), la quarantaine (p=quarantine) et le rejet (p=reject), ce dernier étant le plus sûr car il bloque activement les messages frauduleux avant qu'ils n'atteignent la boîte de réception des clients.

Les principales conclusions de l’étude de Proofpoint sont les suivantes :

• 100 % des 50 principaux sites marchands français ont désormais publié un enregistrement DMARC standard. C'est une nette amélioration par rapport aux 95 % observés en 2024 (90 % en 2023), démontrant une prise de conscience grandissante de l'importance de ce protocole.
• Malgré cette adoption généralisée, seuls 58 % (29 sur 50) de ces sites ont configuré leur politique DMARC au niveau de protection recommandé et le plus strict, le « rejet » (contre 60 % en 2024). Cela signifie que 42 % des sites n'empêchent toujours pas proactivement les courriels frauduleux d'atteindre leurs clients. Cette légère régression en pourcentage par rapport à l'année dernière, malgré une couverture DMARC totale, souligne l'urgence d'une transition vers des politiques plus robustes.
• Concernant les domaines .fr spécifiquement : L'analyse des domaines .fr sur le panel de 50 sites (représentant 28 des domaines étudiés) montre une tendance positive. Environ deux tiers (61 %) des sites avec une extension .fr ont désormais une politique DMARC en « rejet », une amélioration notable par rapport aux 55 % de l'année précédente. Cela indique une meilleure sécurisation de cette catégorie de domaines.

Les cybercriminels usurpent les noms de domaine pour piéger les consommateurs avec de faux courriels, contenant des liens malveillants ou des pièces jointes infectées. L'avènement de l'IA générative rend ces attaques encore plus sophistiquées, permettant la création de messages ultra-crédibles et personnalisés dans diverses langues, augmentant ainsi les risques pour les acheteurs en ligne.

« Nous saluons l'engagement des géants du e-commerce français qui ont désormais publié un enregistrement DMARC. C'est une étape fondamentale vers une meilleure sécurisation des échanges. Cependant, l’étude révèle une légère stagnation, voire une régression, dans l'adoption de la politique de rejet, le niveau le plus sûr. » déclare Xavier Daspre, directeur technique France chez Proofpoint. « Alors que nous entrons dans une période dynamique d’achats en ligne, il est impératif que les 42 % de sites encore en politique « surveillance » ou « quarantaine » passent au « rejet ». Sans cette mesure proactive, ils laissent la porte ouverte aux cybercriminels qui ciblent les consommateurs avec des courriels usurpant leur marque. Protéger les clients contre la fraude par courriel n'est pas seulement une bonne pratique de cybersécurité, c'est aussi un impératif de confiance et de réputation pour les entreprises. »

Conseils de Proofpoint pour des achats en ligne sécurisés :

• Protégez vos mots de passe : Utilisez des mots de passe uniques et complexes pour chaque compte, si possible via un gestionnaire de mots de passe, et activez l'authentification multifactorielle (MFA).
• Méfiez-vous des sites factices : Vérifiez toujours l'adresse URL avant de saisir des informations personnelles. Les sites frauduleux imitent souvent des marques connues pour dérober des données ou vendre des contrefaçons.
• Évitez les menaces d'hameçonnage (phishing et smishing) : Soyez extrêmement prudent face aux courriels et SMS inattendus, surtout ceux qui demandent des informations personnelles ou financières. Ne cliquez pas sur des liens suspects.
• Entrez l'adresse directement : Pour accéder à des offres ou des sites marchands, tapez directement l'adresse connue dans votre navigateur plutôt que de cliquer sur des liens dans des courriels ou des publicités.
• Vérifiez avant d'acheter : Lisez les avis et commentaires en ligne avant de télécharger une nouvelle application ou de visiter un site web inconnu, même si l'apparence est convaincante.

Méthodologie

Pour évaluer le niveau d’adoption de la protection DMARC, Proofpoint a réalisé une analyse des noms de domaines principaux des 50 premiers sites & applications de e-commerce français d'après le classement Meltwater. L’analyse a été conduite en novembre 2025.

À propos de Proofpoint, Inc.     

Proofpoint, Inc. est un leader mondial de la cybersécurité centré sur l’humain et l'IA agentique, pour sécuriser les interactions entre humain, données et agents IA sur les plateformes de messagerie et de collaboration. Plus de 80 entreprises du classement Fortune 100, et des millions de grandes et petites entreprises font confiance à Proofpoint pour stopper les menaces, prévenir la perte de données, et renforcer la résilience des personnes et des flux de travail IA. Proofpoint offre aux organisations la plateforme de collaboration et de sécurité des données dont elles ont besoin pour protéger et autonomiser leurs employés tout en adoptant l'IA de manière sécurisée et productive. Pour en savoir plus : www.proofpoint.com.

Connectez-vous avec Proofpoint : LinkedIn

Proofpoint est une marque déposée ou un nom commercial de Proofpoint, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce contenues dans le présent document sont la propriété de leurs propriétaires respectifs.