Les ministères et services publics français seraient-ils devenus les cibles privilégiées des cybercriminels ? Une étude de Proofpoint dévoile une vulnérabilité inquiétante : près de trois quarts des institutions analysées n’auraient pas adopté les protections adéquates pour empêcher l’usurpation de leurs noms de domaine. Une faille qui expose directement les citoyens à la fraude par courriel.
Fraude : 3 ministères français sur 4 exposent les citoyens
By
Published on 11 mars 2025 11h21
18%18% des ministères n’ont même pas de politique DMARC
Le 6 février 2025, Proofpoint, entreprise spécialisée dans la cybersécurité, a publié une étude alarmante sur la sécurité des courriels des institutions publiques françaises. Selon cette analyse, 74 % des ministères et services publics ne disposent pas du niveau de protection adéquat contre l’usurpation de noms de domaine. Une négligence qui ouvre grand la porte aux attaques par hameçonnage et usurpation d’identité. Mais pourquoi ces institutions n'ont-elles pas encore adopté des mesures simples comme le protocole DMARC ?
Fraude : l’état alarmant de la cybersécurité des services publics
Un défaut d’implémentation du DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole essentiel pour prévenir l’usurpation d’identité via les courriels. Il permet d’authentifier l’expéditeur d’un message avant qu’il n’arrive dans la boîte de réception du destinataire. Pourtant, l’étude de Proofpoint révèle que, sur les 27 ministères et institutions analysés, seuls 26 % appliquent la politique DMARC au niveau le plus strict, dit "rejet". Concrètement, cela signifie que trois quarts des organismes gouvernementaux n’empêchent pas activement les courriels frauduleux d’atteindre leurs destinataires.
Données principales relevées par Proofpoint :
| Catégorie | Nombre d’institutions analysées | Adoption de DMARC | Niveau "Rejet" appliqué |
|---|---|---|---|
| Ministères | 16 | 75 % | 25 % |
| Services publics | 11 | 82 % | 27 % |
| Total | 27 | 77 % | 26 % |
Ce manque de rigueur expose directement les citoyens à des attaques de type hameçonnage utilisant les noms de domaine des services publics.
Pourquoi la menace est-elle si préoccupante ?
Des administrations particulièrement ciblées
Les cybercriminels ne choisissent pas leurs cibles au hasard. Les services publics traitent une quantité massive d’informations sensibles, allant des données personnelles des citoyens aux démarches administratives. Une attaque réussie pourrait conduire au vol d’identités, à des fraudes financières ou même à la paralysie de services cruciaux.
Les risques identifiés :
- Hameçonnage (phishing) : des courriels frauduleux imitant les communications officielles trompent les citoyens pour obtenir leurs informations personnelles.
- Usurpation d’identité : les cybercriminels se font passer pour des institutions officielles afin d’extorquer des fonds ou des données.
- Perturbation des services : en compromettant l’intégrité des échanges numériques, certaines attaques pourraient ralentir, voire bloquer, les démarches administratives.
Comme l’explique Loïc Guézo, Directeur de la Stratégie Cybersécurité chez Proofpoint : « Il est crucial que les institutions publiques françaises renforcent leurs défenses en matière de courriel. Une usurpation réussie de l’une de ces entités pourrait entraîner une perte de confiance générale envers les services publics français. »
Pourquoi les administrations tardent-elles à agir ?
Un manque de sensibilisation et des contraintes techniques
Alors que l’implémentation de DMARC repose sur une simple modification des enregistrements DNS, plusieurs obstacles expliquent la lenteur des services publics :
- Complexité perçue : Les administrateurs informatiques hésitent à modifier des paramètres aussi critiques, par crainte de perturber les services de messagerie.
- Manque de directives nationales : Il n’existe pas encore de politique gouvernementale contraignante sur l’implémentation du DMARC.
- Priorités en cybersécurité : Les ressources sont souvent allouées en priorité à d’autres formes de protection, comme les pare-feux ou la détection des intrusions.
Les mesures à adopter d’urgence
Proofpoint insiste sur l’urgence de généraliser DMARC au niveau "rejet" pour sécuriser les échanges numériques entre l’administration et les citoyens. Outre cette nécessité technique, la sensibilisation des utilisateurs reste un levier essentiel pour réduire la menace.
Bonnes pratiques pour les citoyens :
- Vérifier l’adresse de l’expéditeur avant d’ouvrir un courriel d’une administration.
- Ne jamais cliquer sur un lien suspect ou répondre à une demande de paiement par courriel.
- Utiliser des mots de passe uniques et activer l’authentification multi-facteurs (MFA) pour les services administratifs en ligne.
En l’absence de protection efficace, les citoyens restent exposés à des tentatives de fraude massives. La mise en place généralisée de DMARC avec la politique "rejet" devrait être une priorité absolue pour restaurer la confiance numérique et réduire significativement les risques de cyberattaques. Mais en attendant une réaction ferme des pouvoirs publics, les citoyens doivent redoubler de vigilance face aux messages frauduleux.