Defaults.Exposed › Rapports
NIS2 exige-t-elle DMARC ? Authentification des e-mails et cyberhygiène de l'UE (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées par terminaison de domaine nationale (ccTLD, une approximation du pays, et non de l’enregistrement de l’entreprise), sur 261 millions de domaines évalués. « Peut empêcher l’usurpation d’identité » = une politique DMARC appliquée (
quarantine/reject). Les références à NIS2 ci-dessous sont générales ; ceci ne constitue pas un conseil juridique. Voir comment nous évaluons.
NIS2 ne mentionne pas DMARC par son nom — mais elle exige des « mesures appropriées de cyberhygiène », et empêcher que votre domaine soit usurpé dans les e-mails est à peu près aussi élémentaire que la cyberhygiène puisse l’être. La directive NIS2 de l’UE (date limite de transposition octobre 2024) oblige les entités essentielles et importantes à prendre des mesures techniques appropriées et proportionnées contre le risque cyber. L’authentification des e-mails — SPF, DKIM et une politique DMARC appliquée — est la mesure standard contre l’usurpation qui correspond à cette obligation. Le recensement montre que la plupart des domaines de l’UE n’en sont pas encore là.
À quel point les domaines de l’UE sont-ils exposés aujourd’hui ?
Part des domaines sur chaque terminaison nationale dotés d’une politique DMARC appliquée (plus c’est élevé, mieux c’est ; les autres peuvent être usurpés). Au 2026-06-29 :
| Pays (terminaison) | Peut empêcher l’usurpation d’identité |
|---|---|
| Pays-Bas (.nl) | 29,43% |
| Pologne (.pl) | 23,36% |
| Allemagne (.de) | 21,38% |
| Espagne (.es) | 15,02% |
| Belgique (.be) | 14,91% |
| France (.fr) | 13,65% |
| Suède (.se) | 10,18% |
| Irlande (.ie) | 8,79% |
| Italie (.it) | 5,24% |
Même le leader de l’UE, les Pays-Bas, n’a que 29,43% de ses domaines capables d’empêcher l’usurpation d’identité. L’Italie se situe à 5,24%. À titre de comparaison, le taux d’application mondial n’est que de 10,59% — donc l’Europe est en tête du monde et laisse malgré tout la grande majorité de ses entreprises usurpables.
Ce que cela signifie pour une entreprise relevant de NIS2
Si vous êtes une entité essentielle ou importante (ou dans la chaîne d’approvisionnement de l’une d’elles), l’authentification des e-mails est une mesure peu coûteuse, visible et défendable à mettre en place :
- SPF + DKIM + DMARC appliqué empêche les criminels d’envoyer des e-mails au nom de votre organisation — le mécanisme à l’origine de la fraude à la facture et des arnaques au président.
- C’est une configuration DNS gratuite, et non l’achat d’un produit — son absence est donc difficile à justifier lors d’un audit.
- C’est vérifiable de l’extérieur — auditeurs, assureurs et partenaires peuvent le vérifier en quelques secondes, ce qui est précisément la raison pour laquelle « le domaine peut être usurpé » est un constat qu’il vaut la peine de clôturer avant que quelqu’un d’autre ne le soulève.
NIS2 ne vous remettra pas une liste de contrôle indiquant « définissez p=reject ». Mais lorsque la directive demande des mesures proportionnées contre des risques évidents, un domaine non protégé que n’importe qui peut usurper est une lacune difficile à défendre.
Foire aux questions
NIS2 exige-t-elle légalement DMARC ? NIS2 ne nomme pas DMARC. Elle exige des mesures appropriées et proportionnées de cyberhygiène et de gestion des risques ; l’authentification des e-mails (SPF/DKIM/DMARC) est la mesure standard qui traite le risque d’usurpation d’e-mail, elle est donc largement considérée comme relevant du champ d’application. Confirmez les détails avec votre conseiller en conformité.
Quelle est la posture minimale d’authentification des e-mails ?
SPF et DKIM publiés, et DMARC réglé sur une politique appliquée (quarantine ou reject). Un enregistrement DMARC en p=none surveille mais ne protège pas.
Comment les pays de l’UE se comparent-ils sur ce point ? Au 2026-06-29, l’application va d’environ 5,24% (.it) à 29,43% (.nl). La plupart des domaines de l’UE ne peuvent toujours pas empêcher l’usurpation d’identité.
Est-ce coûteux à corriger ? Non — c’est une configuration DNS, gratuite à modifier. Le coût, c’est le temps de le faire dans le bon ordre.
Vérifiez la posture e-mail de votre domaine pertinente pour NIS2
Vérifiez si votre domaine peut être usurpé — et exactement ce qu’il faut corriger — en toute confidentialité et gratuitement.
Vérifiez votre domaine → · Corriger DMARC → · L’Europe face au monde → · Quelqu’un peut-il usurper votre domaine ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.