Près des trois quarts des ministères et services publics français exposent les citoyens à la fraude par courriel

Selon un rapport de Proofpoint

Près des trois quarts des ministères et services publics français exposent les citoyens à la fraude par courriel, selon un rapport de Proofpoint

En 2024, les organismes gouvernementaux ont subi une pression accrue et des attaques à répétition de la part des cybercriminels. Une tendance qui devrait se confirmer en 2025 face aux lacunes de sécurité encore existantes dans le service public comme le révèle la dernière étude de Proofpoint. Selon le rapport, 74% ministères et services publics français n’ont toujours pas mis en place les mesures de sécurité nécessaires pour se protéger contre l’usurpation de nom de domaine à ce jour.

Les organismes gouvernementaux peinent à évoluer au rythme de la dématérialisation accélérée des démarches administratives en France et des échanges par email. Pourtant, l’absence de protection des systèmes de messagerie expose directement les citoyens aux risques de fraudes (hameçonnage, usurpation d’identité…) voire peuvent mener à des fuites de données personnelles massives, comme nous l’avons déjà vu par le passé.

Proofpoint, Inc., l’un des leaders dans les domaines de la cybersécurité et de la conformité, a publié les résultats d'une nouvelle étude analysant le niveau de sécurité des courriels des ministères et principaux services publics français. L'étude révèle que 74% de ces organismes nationaux n’ont pas mis en place les mesures de sécurité nécessaires pour se protéger contre l’usurpation de nom de domaine, exposant ainsi les citoyens français au risque de fraude par courrier électronique.

Ces résultats sont basés sur l'analyse de l'adoption du protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) par les ministères et institutions publiques. DMARC est un protocole d'authentification des courriels, conçu pour protéger les noms de domaine contre les abus des cybercriminels. Une simple modification du DNS permet d’authentifier l'identité de l'expéditeur avant qu'un message n'atteigne sa destination. DMARC offre trois niveaux de protection : surveillance, quarantaine et rejet, ce dernier étant le plus sûr pour empêcher les messages suspects d'arriver en boîte de réception.


Les principales conclusions de l’étude sont les suivantes :

• Sur les 27 ministères et institutions publiques combinés qui ont été analysés, 21 (77%) ont publié un enregistrement DMARC.
• Cependant, seuls 7 des 27 ministères et institutions publiques analysés (26%) ont le niveau de protection DMARC le plus élevé ("rejet". Cela signifie que 74% de ces organismes gouvernementaux n'empêchent pas activement les courriels frauduleux d'atteindre les boîtes de réception de leurs destinataires, les exposant ainsi à des tentatives d’hameçonnage, d’usurpation d’identité et autres attaques par courriels sous les couleurs du secteur public français.
• Parmi les 16 ministères uniquement, seuls 4 (25%) appliquent la politique DMARC "rejet", tandis que 75% ne la mettent pas en œuvre. Aussi, 25% n’appliquent aucune politique DMARC, laissant leur nom de domaine sans surveillance.
• Résultats similaires du côté des services publics, sur les 11 analysés, seuls 27% utilisent le niveau "rejet", indiquant que 73% restent vulnérables dont 18% n’ont même pas de politique DMARC.

Le secteur public : une cible de choix

Les organismes gouvernementaux sont une cible privilégiée des cybercriminels, en témoignent les nombreuses tentatives de cyberattaques sur le secteurs qui se sont succédé en 2024.

Ces portails nationaux, utilisés pour de nombreuses démarches administratives dématérialisées pour les citoyens français, détiennent des informations sensibles, voire critiques, sur l’ensemble du pays. Une attaque réussie peut dès lors avoir des conséquences graves, allant d’une simple perturbation des services publics, au vol de données. Une grande partie des communications initiées par les services publics et à destination des citoyens est faite par simple courriel. Dès lors, l'adoption généralisée de protection DMARC au niveau le plus stricte - "rejet" - est essentielle pour authentifier les communications officielles issues de ces sources autorisées et légitimes et ainsi atténuer les risques d’usurpation d’identités.

Plusieurs facteurs peuvent contribuer à la faible adoption de DMARC parmi les organisations publiques françaises. De prime abord, la mise en œuvre peut sembler complexe, d'autant plus qu'une sensibilisation insuffisante aux risques d'usurpation de domaine persiste. Modifier le DNS d'un service critique, par exemple celui d’un ministère, peut être intimidant. De plus, face à d'autres priorités en matière de cybersécurité et en l'absence de politiques nationales claires dédiées aux approches modernes de sécurité des courriels, le déploiement de DMARC reste encore souvent relégué au second plan.

Comme le souligne Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint : "Il est crucial que les institutions publiques françaises renforcent leurs défenses en matière de courriel, pour protéger non seulement l’ensemble de l’infrastructure numérique du pays mais également ses citoyens. Une usurpation réussie de l’une de ces entités pourrait entraîner une perte de confiance général envers les service public français."

"Le protocole DMARC à son plus haut niveau “rejet” est une mesure simple et efficace pouvant considérablement réduire le risque de fraude par courriel et sécuriser les échanges avec les citoyens. Certains services de l’état font déjà partie des marques les plus usurpées par les cybercriminels, leur sécurisation doit donc être une priorité politique pour protéger efficacement les citoyens français."

Alors que les institutions doivent mettre en place des mesures fortes pour protéger le public, les utilisateurs doivent également être extrêmement vigilants et garder à l'esprit les recommandations suivantes :

• Méfiez-vous des courriels, SMS ou appels non sollicités, surtout s'ils suggèrent de prendre des mesures "urgentes" ou demande un paiement.
• Ne partagez jamais d'informations financières ou de mots de passe par courriel ou SMS.
• Créer des mots de passe unique pour chaque compte en ligne que vous utilisez. Utilisez par exemple trois mots choisis pour créer un mot de passe fort et facile mémorisable, et activez l'authentification multi-facteurs (MFA) chaque fois que possible.

À propos de Proofpoint   
 
Proofpoint est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risque des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques.

Source : Proofpoint

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

93 % des universités françaises les plus réputées exposent leurs étudiants, collaborateurs et partenaires au risque de fraude par email, selon une étude de Proofpoint

197 % d'augmentation des cyberattaques par e-mail en 2024, près de 50 % des utilisateurs ont été la cible d'attaques par e-mail au moins une fois, selon Acronis

Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023. Découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés