BIMI, le levier marketing pour accélérer la sécurisation des emails par DMARC

Une meilleure visibilité

La possibilité de faire apparaître leur logo ou une icône pertinente dans la boîte de messagerie des destinataires ciblés a toutes les chances de séduire les équipes marketing qui cherchent à capter l’attention des clients en s’appuyant sur leur identité visuelle pour sortir du lot et améliorer ainsi l’ouverture et la lecture des messages. On sait en effet que le facteur le plus important pour déclencher l’ouverture d’un e-mail est l’identification rapide de l’émetteur, en l’occurrence la marque ou l’entreprise.

Il sera possible d’utiliser des visuels différents en fonction de la période de l’année, du type de message ou même de la catégorie socio-professionnelle des destinataires de la campagne d’e-mailing pour une plus importante personnalisation et pour mieux capter l’attention de la cible lors de la réception du message. On peut imaginer une déclinaison de ces images pour les soldes, en fonction des saisons ou des univers de la marque.

Il faut certainement s’attendre à une véritable compétition entre les acteurs du e-commerce ou les marques dans chaque secteur d’activité, pour être le premier à avoir son logo affiché sur l’en-tête de ses emails de campagne et ainsi gagner en visibilité dans la boîte de réception des consommateurs.

Protection des domaines

Cependant, pour prétendre utiliser ce nouveau standard BIMI, l’entreprise devra au préalable avoir sécurisé son domaine contre l’usurpation d’identité en implémentant une politique d’authentification des emails DMARC (Domain-based Message Authentication, Reporting & Conformance) en mode renforcé (reject ou quarantaine). DMARC a été conçu par les principaux acteurs de l’email (Return Path, Yahoo, Gmail, AOL, Microsoft…) pour lutter efficacement contre le phishing qui ne cesse d’augmenter. Cette initiative a rapidement été suivie par des entreprises comme Paypal, Facebook ou LinkedIn qui ont été les premiers à se protéger.

BIMI est un levier supplémentaire pour pousser à entreprendre une démarche de protection de l’identité de la messagerie d’entreprise qui pouvait jusqu’à présent paraître contraignante, voire en opposition aux besoins des équipes marketing qui y voyaient une contrainte faisant baisser leur taux de délivrabilité d’email. Le standard DMARC est récent (2012) et son adoption en France est lente. Les entreprises françaises tardent à protéger leurs domaines : 1/3 des 500 domaines les plus populaires en France ont implémenté le standard et un peu moins de 1% des domaines en .fr sont protégés par DMARC.

Marketing et Informatique : même cause

Beaucoup d’entreprises n’ont pas encore entrepris de démarche DMARC, certainement en raison de la relative complexité du concept, mais également à cause du manque de maîtrise des services qui gèrent l’émission des emails marketing dans l’entreprise. On pourrait presque parler de « Shadow IT des mails » tellement il est parfois compliqué de cartographier qui envoie des emails au sein d’une entreprise (le marketing, la communication externe, les RH, certains outils dans le cloud…). Les actions d’emailing sont très souvent externalisées. Pour la DSI, l’enjeu consiste dès lors à reprendre la main sur tous ces services afin d’implémenter correctement DMARC et protéger son identité mail. Elle devra définir un processus maîtrisé et préciser les bonnes pratiques en termes d’émission d’emails.

La recrudescence des campagnes de spams, du phishing et de la fraude par email d'imposteurs (Business Email Compromise - BEC) devrait pourtant inciter les DSI à protéger activement leurs messageries en activant une politique DMARC renforcée sur leurs domaines.

En France, depuis 2017, l’ANSSI recommande aux entreprises dans son « Guide d’hygiène informatique » de protéger leurs domaines avec DMARC. Bien qu’il n’existe pour le moment aucune autre directive, il faut s’attendre à ce qu’une position plus ferme soit prise à l’avenir, à l’image de ce qu’on peut observer à l’étranger. Les gouvernements britannique et américain ont déjà entrepris une campagne de mise en conformité DMARC des emails de l’ensemble de leurs agences gouvernementales. En octobre 2017, le Département américain de la sécurité intérieure a ordonné à toutes les agences fédérales une mise en conformité DMARC qui est effective depuis janvier 2018.

L’arrivée de BIMI montre que les équipes sécurité ne sont plus les seules à avoir besoin de DMARC. Les équipes marketing qui voudront disposer de ce standard pour leurs campagnes d’emailing auront besoin que leur domaine soit conforme à DMARC. C’est ainsi que le marketing par l’email devrait booster la mise en conformité DMARC. En outre, l’adhésion de l’équipe marketing à ce projet de renforcement de leur efficacité ne pourra qu'appuyer la demande de la DSI auprès de la direction. Et pourquoi pas octroyer une part du budget marketing à ces implémentations ?