Dans l’écosystème digital d’aujourd’hui, 91 % des cyberattaques commencent par un email frauduleux. Pour les cabinets d’expertise comptable et les cabinets financiers, qui manipulent quotidiennement des données sensibles et confidentielles, cette statistique devrait faire réfléchir. Pourtant, nombreux sont ceux qui sous-estiment l’importance d’un paramétrage DMARC correct, s’exposant ainsi à des risques considérables.
Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) n’est plus une option, c’est une nécessité stratégique. Depuis le 5 mai 2025, Microsoft impose de nouvelles exigences strictes en matière d’authentification des emails, rejoignant ainsi Gmail et Yahoo qui appliquent ces règles depuis 2024.
DMARC est un protocole permettant aux entreprises de sécuriser leurs communications électroniques. Il fonctionne en synergie avec les protocoles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) pour créer une protection multicouche contre l’usurpation d’identité et le phishing.
Pour un cabinet comptable, DMARC représente bien plus qu’un simple protocole technique : c’est la garantie que vos emails arrivent à destination et que votre réputation professionnelle reste intacte.
DMARC contribue à la réputation, la sécurité et la visibilité en empêchant les cybercriminels de se faire passer pour le domaine de l’entreprise, ce qui réduit les risques de phishing. Les avantages incluent :
L’erreur la plus commune consiste à configurer DMARC en mode « none » (surveillance uniquement) et à ne jamais évoluer vers des politiques plus strictes. Lorsque vous commencez à utiliser DMARC, nous vous recommandons de définir l’option de règle (p) sur none, mais il faut modifier vos règles à mesure que vous découvrez comment les messages provenant de votre domaine sont authentifiés.
Impact pour les cabinets : Vos emails peuvent être utilisés par des cybercriminels pour du phishing ciblé contre vos clients, sans que vous en soyez informé.
Un sous-domaine oublié peut être utilisé par des attaquants pour envoyer de faux e-mails. Les cabinets comptables utilisent souvent plusieurs sous-domaines (client.cabinet.fr, compta.cabinet.fr, etc.) qui peuvent devenir des vecteurs d’attaque s’ils ne sont pas protégés.
Le nombre de rapports DMARC que vous recevez par e-mail peut varier et dépend de la quantité d’e-mails envoyés depuis votre domaine. De nombreux rapports peuvent être reçus chaque jour, jusqu’à plusieurs centaines dans les grandes entreprises. Sans une gestion appropriée, ces rapports deviennent inutiles.
Un cabinet comptable dont le domaine est utilisé pour du phishing voit sa crédibilité s’effondrer. Imaginez que vos clients reçoivent de faux emails de votre part demandant leurs informations bancaires ou fiscales. La confiance, socle de la relation client-expert comptable, peut être détruite en quelques heures.
Les entreprises qui n’ont pas anticipé ces nouvelles exigences risquent de voir leurs emails atterrir, au mieux dans les spams, et au pire d’être rejetés. Pour un cabinet comptable, cela signifie :
La profession d’expert-comptable étant strictement réglementée, l’expert-comptable est tenu par une responsabilité civile professionnelle et a l’obligation de respecter les normes de sa profession. Un défaut de sécurisation des communications peut engager cette responsabilité.
Un cabinet d’expertise comptable de 15 collaborateurs a vu son domaine utilisé pour une campagne de phishing ciblant ses clients PME. Résultat : 3 clients victimes de fraude, une plainte déposée et une perte de crédibilité qui a duré 18 mois.
Un cabinet parisien mal configuré a vu son domaine blacklisté par Microsoft Outlook. Pendant 2 semaines, aucun email n’arrivait chez 60% de ses clients, causant des retards dans les déclarations fiscales et une amende de 15 000€.
Avant toute configuration DMARC, il est essentiel de comprendre votre écosystème email actuel. Quels services envoient des emails en votre nom ? Votre logiciel comptable, votre CRM, votre système de sauvegarde ?
90% des incidents commencent par une erreur humaine. Vos équipes doivent comprendre les enjeux de sécurité email et savoir identifier les tentatives de phishing.
La configuration DMARC nécessite une expertise technique pointue. La mise en œuvre de DMARC dans une grande entreprise peut s’avérer complexe, mais des solutions automatisées permettent de simplifier ce processus.
Pour les cabinets comptables, faire appel à un spécialiste en cybersécurité n’est plus un luxe, c’est une nécessité. Un audit cybersécurité complet permet d’identifier les vulnérabilités et de mettre en place une stratégie de protection adaptée.
DMARC est recommandé comme une « bonne pratique » sous PCI DSS version 4.0, pour renforcer la sécurité email. Cette recommandation concerne particulièrement les cabinets gérant des données de paiement pour leurs clients.
Avec l’évolution des réglementations européennes sur la cybersécurité, DMARC pourrait devenir obligatoire pour certains secteurs, dont les services financiers et comptables.
Le paramétrage DMARC n’est pas qu’une question technique, c’est un enjeu de survie pour les cabinets comptables. Dans un environnement où la moindre faille peut compromettre des années de confiance client, ignorer DMARC revient à jouer à la roulette russe avec votre réputation professionnelle.
Les cybercriminels ciblent spécifiquement les PME et les cabinets comptables car ils savent que ces structures ont souvent des ressources limitées en cybersécurité. Ne leur facilitez pas la tâche.
L’heure n’est plus aux hésitations. Investir dans une configuration DMARC professionnelle aujourd’hui, c’est s’assurer que votre cabinet sera encore là demain, plus fort et plus sécurisé que jamais.
Pour en savoir plus sur les solutions de cybersécurité adaptées aux cabinets comptables, consultez notre guide complet sur la protection des PME françaises ou découvrez les meilleures pratiques DMARC recommandées par les experts du secteur.