Defaults.Exposed

Defaults.Exposed › Rapports

NIS2 exige-t-elle DMARC ? Authentification des e-mails et cyberhygiène de l'UE (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées par terminaison de domaine nationale (ccTLD, une approximation du pays, et non de l’enregistrement de l’entreprise), sur 261 millions de domaines évalués. « Peut empêcher l’usurpation d’identité » = une politique DMARC appliquée (quarantine/reject). Les références à NIS2 ci-dessous sont générales ; ceci ne constitue pas un conseil juridique. Voir comment nous évaluons.

NIS2 ne mentionne pas DMARC par son nom — mais elle exige des « mesures appropriées de cyberhygiène », et empêcher que votre domaine soit usurpé dans les e-mails est à peu près aussi élémentaire que la cyberhygiène puisse l’être. La directive NIS2 de l’UE (date limite de transposition octobre 2024) oblige les entités essentielles et importantes à prendre des mesures techniques appropriées et proportionnées contre le risque cyber. L’authentification des e-mails — SPF, DKIM et une politique DMARC appliquée — est la mesure standard contre l’usurpation qui correspond à cette obligation. Le recensement montre que la plupart des domaines de l’UE n’en sont pas encore là.

À quel point les domaines de l’UE sont-ils exposés aujourd’hui ?

Part des domaines sur chaque terminaison nationale dotés d’une politique DMARC appliquée (plus c’est élevé, mieux c’est ; les autres peuvent être usurpés). Au 2026-06-29 :

Pays (terminaison)Peut empêcher l’usurpation d’identité
Pays-Bas (.nl)29,43%
Pologne (.pl)23,36%
Allemagne (.de)21,38%
Espagne (.es)15,02%
Belgique (.be)14,91%
France (.fr)13,65%
Suède (.se)10,18%
Irlande (.ie)8,79%
Italie (.it)5,24%

Même le leader de l’UE, les Pays-Bas, n’a que 29,43% de ses domaines capables d’empêcher l’usurpation d’identité. L’Italie se situe à 5,24%. À titre de comparaison, le taux d’application mondial n’est que de 10,59% — donc l’Europe est en tête du monde et laisse malgré tout la grande majorité de ses entreprises usurpables.

Ce que cela signifie pour une entreprise relevant de NIS2

Si vous êtes une entité essentielle ou importante (ou dans la chaîne d’approvisionnement de l’une d’elles), l’authentification des e-mails est une mesure peu coûteuse, visible et défendable à mettre en place :

NIS2 ne vous remettra pas une liste de contrôle indiquant « définissez p=reject ». Mais lorsque la directive demande des mesures proportionnées contre des risques évidents, un domaine non protégé que n’importe qui peut usurper est une lacune difficile à défendre.

Foire aux questions

NIS2 exige-t-elle légalement DMARC ? NIS2 ne nomme pas DMARC. Elle exige des mesures appropriées et proportionnées de cyberhygiène et de gestion des risques ; l’authentification des e-mails (SPF/DKIM/DMARC) est la mesure standard qui traite le risque d’usurpation d’e-mail, elle est donc largement considérée comme relevant du champ d’application. Confirmez les détails avec votre conseiller en conformité.

Quelle est la posture minimale d’authentification des e-mails ? SPF et DKIM publiés, et DMARC réglé sur une politique appliquée (quarantine ou reject). Un enregistrement DMARC en p=none surveille mais ne protège pas.

Comment les pays de l’UE se comparent-ils sur ce point ? Au 2026-06-29, l’application va d’environ 5,24% (.it) à 29,43% (.nl). La plupart des domaines de l’UE ne peuvent toujours pas empêcher l’usurpation d’identité.

Est-ce coûteux à corriger ? Non — c’est une configuration DNS, gratuite à modifier. Le coût, c’est le temps de le faire dans le bon ordre.

Vérifiez la posture e-mail de votre domaine pertinente pour NIS2

Vérifiez si votre domaine peut être usurpé — et exactement ce qu’il faut corriger — en toute confidentialité et gratuitement.

Vérifiez votre domaine → · Corriger DMARC → · L’Europe face au monde → · Quelqu’un peut-il usurper votre domaine ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.