Defaults.Exposed › Articles
L'état de la sécurité des domaines en 2026
Published 2026-06-27
Chiffres au 2026-06-27 · méthodologie v7. Il s’agit d’un rapport récurrent : chaque édition remesure la même population afin que les chiffres puissent être suivis dans le temps. Toutes les données sont agrégées — nous ne publions jamais la note d’une entreprise en particulier. Les domaines en
.comsont entièrement notés (129M de domaines) et inclus dans les totaux ci-dessous.
L’essentiel : la majeure partie d’Internet échoue aux bases de la sécurité des domaines
Nous avons mesuré 261 752 302 domaines actifs selon 34 critères de sécurité — authentification des e-mails (SPF, DKIM, DMARC), TLS et certificats, en-têtes de sécurité web et DNS (y compris DNSSEC). Le constat est sans appel :
- 86,3 % obtiennent un F — la note la plus basse.
- Moins de 0,02 % décrochent un A ou un A+ — soit environ 1 domaine sur 4 700.
- Seul environ 1 sur 27 atteint un C ou mieux.
Il ne s’agit pas de quelques sites laissés à l’abandon. C’est l’état par défaut d’Internet : les protections qui empêchent l’usurpation de vos e-mails et la tromperie de vos visiteurs ne sont tout simplement pas activées sur l’écrasante majorité des domaines.
Répartition des notes (262M de domaines)
| Note | Domaines | Part |
|---|---|---|
| A+ | 6 708 | 0,0 % |
| A | 49 443 | 0,0 % |
| B | 1 142 198 | 0,4 % |
| C | 8 566 735 | 3,3 % |
| D | 26 225 422 | 10,0 % |
| F | 225 761 796 | 86,3 % |
Cela varie beaucoup selon le pays et le TLD
La sécurité des domaines varie fortement selon le pays et selon l’extension du domaine. Les registres nationaux bien établis — en Europe notamment — tendent à mieux protéger leurs entreprises, tandis que les extensions génériques bon marché et à fort volume, prisées pour les enregistrements en masse, s’en sortent le moins bien. Mais « le mieux » reste relatif : même les extensions les plus solides laissent la plupart de leurs domaines avec un F.
Ces classements évoluent au fil de la croissance du recensement ; nous les maintenons donc à jour en continu plutôt que de les figer ici :
- Les TLD les plus et les moins sécurisés →
- La sécurité des domaines par pays →
- La sécurité des domaines par secteur →
Ce que cela signifie pour votre activité
Une note insuffisante n’est pas un simple score abstrait. Concrètement, elle indique généralement qu’une ou plusieurs de ces affirmations sont vraies pour votre domaine :
- Vos e-mails peuvent être usurpés. Sans SPF et DMARC appliqués, un escroc peut envoyer un e-mail qui semble provenir exactement de vous — à vos clients, vos employés et vos fournisseurs — et il arrive bien dans la boîte de réception. C’est ainsi que fonctionnent les arnaques aux fausses factures et à la fraude au président.
- Vos vrais e-mails risquent davantage de finir à la poubelle. Google et Yahoo se méfient de plus en plus des domaines non authentifiés ; vos devis et factures légitimes atterrissent donc discrètement dans les spams.
- Vous échouerez aux contrôles de sécurité des autres. Les gros clients lancent une analyse rapide avant de signer. « Domaine non protégé — usurpation possible » suffit à perdre le contrat.
- Votre site peut faire fuir vos visiteurs. Un certificat manquant ou défectueux affiche aux internautes une page rouge « Non sécurisé ».
La bonne nouvelle : la plupart de ces correctifs sont gratuits et rapides à mettre en place — souvent quelques lignes dans les paramètres de votre domaine. L’obstacle n’est presque jamais le coût ; c’est que personne n’a jamais dit au propriétaire que cela comptait.
Comment nous l’avons mesuré
- 34 critères, observables de l’extérieur — aucun accès aux systèmes de qui que ce soit n’est requis. (Méthodologie complète.)
- Réussite / échec / N/A. Lorsqu’un critère ne peut réellement pas être déterminé, il est marqué N/A et exclu — il ne compte jamais comme un échec.
- Un vrai échec est un vrai échec. Un domaine sans SPF/DMARC obtient une mauvaise note parce qu’il peut réellement être usurpé — pas à cause de notre façon de compter.
- Uniquement agrégé. Ce sont des tendances de population ; la note d’un domaine donné n’est montrée qu’à son propriétaire vérifié.
- Les données sont stockées et traitées au sein de l’UE.
(Une future édition ajoutera la part des domaines qui ne publient aucune protection contre l’usurpation d’e-mails, une fois ce découpage par critère achevé sur l’ensemble de la population.)
Découvrez où se situe votre propre domaine
Ce sont des moyennes. Votre domaine fait peut-être partie des 0,02 % qui décrochent un A — ou des 86,3 % qui n’y parviennent pas. Vous pouvez le vérifier en toute confidentialité et gratuitement, et voir exactement lesquels des 34 critères vous réussissez et comment corriger ceux que vous échouez.