Defaults.Exposed › Corrections › Guides
Le questionnaire de sécurité d'un client demande l'authentification e-mail — répondez-y (et corrigez les lacunes) en un après-midi (2026)
Publié 2026-07-08
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines évalués — nous ne publions jamais les résultats d’un domaine individuel. Voir comment nous notons.
Votre client pose la question parce que les règles européennes de sécurité de la chaîne d’approvisionnement l’obligent désormais à vérifier ses fournisseurs. Les questions ont un point de départ de deux minutes : un scan gratuit note exactement ce qu’elles sondent. Seuls 7,4% des domaines ont une authentification e-mail pleinement alignée et appliquée, selon le recensement Defaults.Exposed portant sur 261 086 232 domaines (au 2026-06-29) — la plupart des fournisseurs ne peuvent pas encore répondre « oui » non plus.
Voici le plan pour l’après-midi : lancez le scan gratuit, lisez le rapport noté d’une page, répondez honnêtement à ce qui est déjà vrai, et corrigez les victoires rapides gratuites le jour même. Pour tout ce qui est plus profond, un rapport daté plus une courte note de remédiation est une réponse intérimaire acceptable — et meilleure qu’un « oui » sans preuve.
Pourquoi notre plus gros client nous interroge-t-il soudainement sur notre sécurité e-mail ?
Ce n’est pas personnel. Si votre client est dans le périmètre de NIS2 — la directive européenne sur la sécurité des réseaux et de l’information — l’article 21(2)(d) l’oblige à gérer la sécurité de sa chaîne d’approvisionnement, et le règlement d’exécution de la Commission (UE) 2024/2690 détaille les mesures, nommant spécifiquement la sécurité e-mail. Alors les achats envoient un questionnaire à chaque fournisseur ; vous n’êtes peut-être pas vous-même couvert par NIS2, mais c’est ainsi que l’obligation redescend jusqu’à vous. L’échéance et la conséquence — rester sur la liste des fournisseurs approuvés — existent parce que votre client doit montrer à un régulateur qu’il a fait la vérification. (Nous avons détaillé ce que NIS2 dit réellement sur l’authentification e-mail.) Les assureurs posent désormais les mêmes questions — si votre formulaire de renouvellement a aussi commencé, c’est la version assurance de cet après-midi.
Que signifient réellement les questions ?
La section sécurité e-mail d’un questionnaire fournisseur typique, c’est quatre questions déguisées en acronymes. Traduites une fois, puis on les laisse tomber.
| Ce que demande le questionnaire | Ce que cela signifie en clair | Comment le rapport de scan y répond |
|---|---|---|
| « Appliquez-vous une politique DMARC ? » (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Avez-vous dit aux serveurs de messagerie du monde entier de refuser les e-mails qui usurpent votre domaine ? La ligne où la plupart des fournisseurs échouent : seuls 7,4% des 261 086 232 domaines évalués ont cet alignement et cette application (recensement au 2026-06-29). | Indique et note votre politique. « Appliqué » signifie reject ou quarantine ; « surveillance seulement » ne bloque encore rien — dites lequel, honnêtement. |
| « SPF est-il configuré avec une politique restrictive ? » (SPF — Sender Policy Framework) | Avez-vous publié la liste des serveurs autorisés à envoyer des e-mails au nom de votre entreprise — et se termine-t-elle fermement (« personne d’autre ») ou en haussant les épaules (« et peut-être d’autres ») ? | Montre si la liste existe, est valide, et se termine fermement ou mollement. |
| « Les e-mails sortants sont-ils signés numériquement (DKIM) ? » (DKIM — DomainKeys Identified Mail) | Votre e-mail porte-t-il une signature inviolable prouvant qu’il vient de votre domaine — sous votre nom, pas celui par défaut de votre prestataire ? | Montre si une signature existe au nom de votre domaine — le piège du défaut du prestataire est la lacune la plus fréquente que le scan trouve. |
| « Surveillez-vous l’usurpation de domaine ? » | Si quelqu’un envoyait de faux e-mails en votre nom, le sauriez-vous — ou le premier signe serait-il un appel furieux ? | Montre si l’adresse de rapport est activée, pour que les tentatives d’usurpation vous parviennent. |
Chacune de ces réponses provient des réglages publics de votre domaine — pas d’audit, pas d’agence, pas d’accès à vos systèmes. C’est pourquoi le plan de l’après-midi fonctionne. Ces quatre points ne sont aussi que les lignes e-mail d’une liste plus longue : ce que la cyberassurance et les questionnaires fournisseurs vérifient sur votre domaine répertorie chaque contrôle qu’ils sondent, avec le taux de réussite à l’échelle d’Internet pour chacun. Cette page, elle, reste avec votre après-midi — quoi répondre, et quoi corriger en premier.
Comment répondre avant l’échéance ? Le plan de l’après-midi
- Lancez le scan gratuit sur defaults.exposed — deux minutes, avant que quiconque ne touche à quoi que ce soit. Il lit les réglages publics de votre domaine et note exactement les quatre domaines ci-dessus. Pas d’inscription, pas d’accès à votre e-mail.
- Lisez le rapport noté. Une page, en langage clair, datée — chaque note correspond à une question du questionnaire, donc vous connaissez vos vraies réponses au lieu de deviner.
- Répondez ce qui est déjà vrai. Là où le rapport montre un pass, dites oui et dites pourquoi (« vérifié par scan indépendant », avec la date).
- Corrigez les victoires rapides gratuites le jour même. Les lacunes courantes sont des réglages, pas des achats : une liste d’expéditeurs qui se termine mollement (le correctif SPF), une règle anti-usurpation manquante ou bloquée en mode surveillance (le correctif DMARC), une signature au nom par défaut du prestataire. Tout gratuit, la plupart du temps un enregistrement DNS chacun — transmettez la page de correction à qui gère votre domaine, et plusieurs « non » deviennent « oui » avant le retour du formulaire.
- Pour tout ce qui est plus profond, envoyez le rapport daté avec une note de remédiation. Passer à une politique pleinement appliquée prend correctement des semaines de surveillance au préalable — ne prétendez jamais que c’est fait quand ce n’est pas le cas. « Scan indépendant joint ; déploiement de l’application en cours, cible septembre » est une réponse intérimaire acceptable pour toute équipe achats compétente. Un faux « oui » ne l’est pas : les équipes achats revérifient, souvent avec exactement ce genre de scan.
Ce questionnaire peut-il réellement jouer en notre faveur ?
Oui — à cause de ce que tout le monde renvoie. La plupart des fournisseurs répondent par un « oui » nu et sans rien derrière, alors que seuls 7,4% des 261 086 232 domaines évalués ont réellement la posture alignée et appliquée qui est sondée (recensement au 2026-06-29). Un rapport daté, noté de façon indépendante — même montrant une lacune et une date de remédiation — bat un « oui » sans preuve, parce que l’un est vérifiable et l’autre est un espoir. On ne vous demande pas d’être parfait ; on vous demande d’être vérifiable. Peu de vos concurrents sur cette liste le seront.
Et si ce qui vous tracasse vraiment, c’est cette histoire de fraude à la facture entendue lors d’une soirée de réseautage, mêmes réglages, même vérification de deux minutes.
Questions fréquentes
Et si je ne peux pas tout corriger avant l’échéance ? Envoyez ce qui est vrai : le rapport daté, ce que vous avez corrigé cette semaine, et un plan daté pour le reste. Les évaluateurs de la chaîne d’approvisionnement NIS2 jugent si les fournisseurs gèrent le risque, pas s’ils sont irréprochables — un rapport noté avec une note de remédiation est de la gestion du risque, par écrit. Ce qui échoue aux revues, c’est le silence, ou une affirmation qui ne survit pas à une revérification.
Mon prestataire informatique peut-il s’occuper de cela ? Les réglages gratuits, oui — la liste d’expéditeurs, votre propre signature, la règle anti-usurpation sont du travail DNS courant, et les pages de correction ci-dessus sont écrites pour cette passation. Ce que les prestataires jugent raisonnablement en dehors de leur périmètre, c’est la couche décisionnelle : quelle politique appliquer, quand il est sûr de resserrer, quoi dire au client entre-temps. Le rapport noté transforme ces décisions en document, pour qu’aucun de vous deux n’improvise.
Vont-ils vraiment nous retirer comme fournisseur ? Pour une réponse vide ou une fausse affirmation prise sur le fait — éventuellement, oui ; le client a un régulateur à qui répondre. Pour une lacune honnête avec une date de remédiation — très improbable : sur tous les 261 086 232 domaines évalués, seuls 10,59% appliquent la politique anti-usurpation que ces questionnaires demandent (recensement au 2026-06-29). Être honnête avec un plan vous garde sur la liste.
Nous ne sommes pas couverts par NIS2 — pouvons-nous ignorer le questionnaire ? L’obligation est celle de votre client, et il s’en acquitte en choisissant des fournisseurs vérifiables. La marge pour se démarquer est énorme : seuls 7,4% de tous les 261 086 232 domaines évalués ont une authentification e-mail alignée et appliquée (recensement au 2026-06-29). Un après-midi vous place devant presque tous les autres noms sur cette liste de fournisseurs.
Transmettez le rapport à votre contact informatique
Ne retapez rien de tout cela. Lancez le scan gratuit, puis transmettez deux choses à qui s’occupe de votre domaine : le rapport noté et cet article. Le rapport dit exactement quels réglages changer ; les pages de correction donnent les étapes. Quand le rapport corrigé revient, les réponses au questionnaire s’écrivent toutes seules — note par note. Puis classez-le : le prochain client demandera les mêmes quatre choses, votre renouvellement d’assurance le fait déjà, et un rapport daté que vous pouvez joindre en cinq minutes fait la différence entre un après-midi et un exercice de la dernière minute.
Vérifiez votre domaine → · Ce que vérifient les questionnaires sur votre domaine → · Cette histoire de fraude à la facture que vous avez entendue → · Données agrégées uniquement. Données stockées et traitées dans l’UE.