Ce que les données globales révèlent

Le tableau de l'adoption est plus nuancé que ne le suggère le livre blanc, et d'autres recherches récentes méritent d'être examinées en parallèle.

Selon le rapport EasyDMARC 2026 sur l'adoption et l'application du DMARC, l'adoption parmi les Fortune 500 a atteint 475 entreprises sur 500, avec plus de 80 % ayant des politiques au niveau d'application. Ce chiffre contredit celui de TrustNFT, même si l'écart s'explique probablement par la date de collecte des données et la définition retenue pour "enregistrement DMARC valide".

Là où les deux sources convergent, c'est sur le déficit d'application en dehors du Fortune 500. Seules 15,2 % des entreprises de l'Inc. 5000 ont atteint le niveau d'application p=reject, et plus de la moitié se contentent d'une politique de surveillance p=none qui offre une visibilité mais les laisse exposées aux attaques de phishing. Les données à l'échelle des domaines sont encore plus préoccupantes : en décembre 2025, seuls 14,9 % des domaines issus d'un échantillon de 73,3 millions avaient mis en place une politique DMARC, et à peine 2,5 % appliquaient le paramètre le plus strict p=reject, tandis que 83,9 % de l'ensemble des domaines ne présentaient aucun enregistrement DMARC visible, selon le suivi mondial de l'adoption du DMARC par Red Sift.

Comme le souligne EasyDMARC dans son rapport 2026, l'adoption du DMARC s'est généralisée, mais l'adoption seule ne garantit pas la protection. De nombreuses organisations ont mis en place des enregistrements DMARC pour satisfaire des exigences techniques sans pour autant progresser vers des politiques bloquant activement les emails usurpés. En France, le contexte réglementaire du RGPD renforce encore l'obligation de protéger les données des destinataires, ce qui donne à ces lacunes une dimension supplémentaire sur le plan de la conformité.

Pour les email marketers, les conséquences concrètes sont bien réelles. Les recherches de CSC en matière de sécurité des domaines montrent que 80 % des domaines ressemblant à ceux des marques du Global 2000 appartiennent à des tiers, et que 42 % d'entre eux sont configurés pour envoyer des emails. Lorsque des cybercriminels envoient des emails sosies convaincants qui passent leurs propres vérifications DMARC, les destinataires victimes cessent souvent d'interagir avec la vraie marque.

La proposition blockchain

Le livre blanc de TrustNFT inclut une feuille de route d'implémentation en quatre couches couvrant SPF, DKIM, DMARC et la vérification blockchain, ainsi qu'une comparaison technique de ce que chaque couche protège et des vulnérabilités qui subsistent sans la pile complète.

Les recherches de la société indiquent que la mise en place de la pile d'authentification complète combinée à la vérification des domaines ancrée dans la blockchain réduit les attaques d'usurpation réussies jusqu'à 67 % lorsqu'elle est entièrement déployée. TrustNFT Verify permet aux entreprises d'enregistrer leurs domaines d'envoi sur la blockchain via un processus nécessitant l'ajout d'un seul enregistrement DNS, la vérification complète étant généralement finalisée en 48 heures.

Il convient de préciser que TrustNFT est un éditeur qui commercialise un produit. Le chiffre de 67 % provient de ses propres recherches, et le livre blanc est à la fois un argumentaire technique et un outil de promotion commerciale. Une vérification indépendante de cette affirmation n'est pas encore disponible.

Ce que les email marketers doivent retenir

Le DMARC reste un socle incontournable. Le coût moyen d'une violation liée au phishing s'élevait à environ 4,88 millions de dollars en 2025, et les organisations ayant appliqué le DMARC au niveau politique ont réduit la distribution réussie de phishing de 69 % à 14 %, selon le rapport EasyDMARC 2025 sur l'adoption du DMARC. Cela suffit à justifier l'objectif d'atteindre p=reject.

Mais le livre blanc de TrustNFT pointe quelque chose que les marketers négligent souvent : l'authentification est invisible pour les destinataires. Lorsque votre marque est usurpée via un domaine sosie, vos abonnés ne peuvent pas faire la différence, et les dommages réputationnels vous incombent, peu importe la qualité de vos propres enregistrements DNS.

Les priorités immédiates pour toute équipe marketing ou growth sont claires :

• Faites évoluer votre politique DMARC de p=none vers p=quarantine ou p=reject
• Configurez les rapports agrégés RUA pour identifier les expéditeurs agissant en votre nom
• Surveillez les enregistrements de domaines sosies ciblant votre marque
• Assurez-vous que chaque plateforme d'envoi tierce (ESP, CRM, emails transactionnels) est correctement incluse dans votre enregistrement SPF et signe avec DKIM

Que la vérification blockchain devienne ou non une couche standard de la pile de confiance email reste à voir. Ce qui est déjà établi, c'est que le DMARC n'a jamais été conçu pour résoudre le problème de l'usurpation de marque à l'échelle de l'écosystème des domaines. Le considérer comme une solution complète expose à la fois vos clients et votre réputation d'expéditeur.

Ce que les données globales révèlent

Le tableau de l'adoption est plus nuancé que ne le suggère le livre blanc, et d'autres recherches récentes méritent d'être examinées en parallèle.

Selon le rapport EasyDMARC 2026 sur l'adoption et l'application du DMARC, l'adoption parmi les Fortune 500 a atteint 475 entreprises sur 500, avec plus de 80 % ayant des politiques au niveau d'application. Ce chiffre contredit celui de TrustNFT, même si l'écart s'explique probablement par la date de collecte des données et la définition retenue pour "enregistrement DMARC valide".

Là où les deux sources convergent, c'est sur le déficit d'application en dehors du Fortune 500. Seules 15,2 % des entreprises de l'Inc. 5000 ont atteint le niveau d'application p=reject, et plus de la moitié se contentent d'une politique de surveillance p=none qui offre une visibilité mais les laisse exposées aux attaques de phishing. Les données à l'échelle des domaines sont encore plus préoccupantes : en décembre 2025, seuls 14,9 % des domaines issus d'un échantillon de 73,3 millions avaient mis en place une politique DMARC, et à peine 2,5 % appliquaient le paramètre le plus strict p=reject, tandis que 83,9 % de l'ensemble des domaines ne présentaient aucun enregistrement DMARC visible, selon le suivi mondial de l'adoption du DMARC par Red Sift.

Comme le souligne EasyDMARC dans son rapport 2026, l'adoption du DMARC s'est généralisée, mais l'adoption seule ne garantit pas la protection. De nombreuses organisations ont mis en place des enregistrements DMARC pour satisfaire des exigences techniques sans pour autant progresser vers des politiques bloquant activement les emails usurpés. En France, le contexte réglementaire du RGPD renforce encore l'obligation de protéger les données des destinataires, ce qui donne à ces lacunes une dimension supplémentaire sur le plan de la conformité.

Pour les email marketers, les conséquences concrètes sont bien réelles. Les recherches de CSC en matière de sécurité des domaines montrent que 80 % des domaines ressemblant à ceux des marques du Global 2000 appartiennent à des tiers, et que 42 % d'entre eux sont configurés pour envoyer des emails. Lorsque des cybercriminels envoient des emails sosies convaincants qui passent leurs propres vérifications DMARC, les destinataires victimes cessent souvent d'interagir avec la vraie marque.

La proposition blockchain

Le livre blanc de TrustNFT inclut une feuille de route d'implémentation en quatre couches couvrant SPF, DKIM, DMARC et la vérification blockchain, ainsi qu'une comparaison technique de ce que chaque couche protège et des vulnérabilités qui subsistent sans la pile complète.

Les recherches de la société indiquent que la mise en place de la pile d'authentification complète combinée à la vérification des domaines ancrée dans la blockchain réduit les attaques d'usurpation réussies jusqu'à 67 % lorsqu'elle est entièrement déployée. TrustNFT Verify permet aux entreprises d'enregistrer leurs domaines d'envoi sur la blockchain via un processus nécessitant l'ajout d'un seul enregistrement DNS, la vérification complète étant généralement finalisée en 48 heures.

Il convient de préciser que TrustNFT est un éditeur qui commercialise un produit. Le chiffre de 67 % provient de ses propres recherches, et le livre blanc est à la fois un argumentaire technique et un outil de promotion commerciale. Une vérification indépendante de cette affirmation n'est pas encore disponible.

Ce que les email marketers doivent retenir

Le DMARC reste un socle incontournable. Le coût moyen d'une violation liée au phishing s'élevait à environ 4,88 millions de dollars en 2025, et les organisations ayant appliqué le DMARC au niveau politique ont réduit la distribution réussie de phishing de 69 % à 14 %, selon le rapport EasyDMARC 2025 sur l'adoption du DMARC. Cela suffit à justifier l'objectif d'atteindre p=reject.

Mais le livre blanc de TrustNFT pointe quelque chose que les marketers négligent souvent : l'authentification est invisible pour les destinataires. Lorsque votre marque est usurpée via un domaine sosie, vos abonnés ne peuvent pas faire la différence, et les dommages réputationnels vous incombent, peu importe la qualité de vos propres enregistrements DNS.

Les priorités immédiates pour toute équipe marketing ou growth sont claires :

• Faites évoluer votre politique DMARC de p=none vers p=quarantine ou p=reject
• Configurez les rapports agrégés RUA pour identifier les expéditeurs agissant en votre nom
• Surveillez les enregistrements de domaines sosies ciblant votre marque
• Assurez-vous que chaque plateforme d'envoi tierce (ESP, CRM, emails transactionnels) est correctement incluse dans votre enregistrement SPF et signe avec DKIM

Que la vérification blockchain devienne ou non une couche standard de la pile de confiance email reste à voir. Ce qui est déjà établi, c'est que le DMARC n'a jamais été conçu pour résoudre le problème de l'usurpation de marque à l'échelle de l'écosystème des domaines. Le considérer comme une solution complète expose à la fois vos clients et votre réputation d'expéditeur.