Microsoft 365 ou Google Workspace : qui héberge les emails du SBF 120 ?

En 2026, Microsoft 365 reste largement dominant dans le SBF 120 : environ 68 % des sociétés de l'indice pointent leurs enregistrements MX vers les serveurs Exchange Online de Microsoft, contre 21 % vers Google Workspace. Les 11 % restants s'appuient sur des solutions hybrides ou sur site, souvent héritées de fusions-acquisitions récentes.

Cette répartition n'est pas un hasard. Le SBF 120 regroupe les 120 plus grandes capitalisations de la Bourse de Paris — grands groupes industriels, banques, assureurs, sociétés du CAC 40 en tête — dont les décisions d'infrastructure IT pèsent lourd dans les tendances du marché français. Analyser leurs enregistrements MX publics offre un instantané fiable et objectif du paysage de la messagerie d'entreprise en France.

Méthodologie : comment lire les MX du SBF 120 ?

L'enregistrement MX (Mail eXchanger) d'un domaine indique au réseau mondial vers quel serveur acheminer les e-mails entrants. Il est public, interrogeable via n'importe quel outil DNS, et constitue donc une source de données neutre pour cartographier les choix d'infrastructure de messagerie.

Pour cette analyse 2026, les domaines principaux des 120 sociétés composant l'indice ont été interrogés via des requêtes DNS automatisées. Lorsqu'un groupe possède plusieurs domaines actifs, c'est le domaine corporate principal — celui figurant dans les communications officielles — qui a été retenu.

Les signatures MX les plus courantes

  • Microsoft 365 / Exchange Online : suffixe mail.protection.outlook.com
  • Google Workspace : enregistrements pointant vers aspmx.l.google.com et ses variantes
  • Solutions hybrides / on-premise : hôtes personnalisés, souvent avec Postfix, Zimbra ou Exchange Server local
  • Providers tiers spécialisés : Proofpoint, Mimecast, Symantec Email Security (en relais MX devant M365 ou Workspace)

Un point méthodologique important : la présence d'un relais de sécurité tiers en position MX prioritaire ne signifie pas que la boîte mail elle-même est hébergée chez ce tiers. Il s'agit d'une passerelle de filtrage ; le flux est ensuite redirigé vers M365 ou Workspace en aval.

Résultats 2026 : la domination tranquille de Microsoft

Sur les 120 sociétés analysées, voici la répartition observée :

PlateformeNombre de sociétésPart de marché SBF 120
Microsoft 365 (Exchange Online)8268,3 %
Google Workspace2520,8 %
Hybride / On-premise97,5 %
Autre / non déterminé43,4 %

Microsoft consolide une avance structurelle, notamment dans les secteurs banque-finance, industrie lourde et défense, où la suite M365 s'intègre naturellement aux environnements Active Directory existants. Google Workspace progresse, quant à lui, dans les secteurs médias, retail et nouvelles technologies — des entreprises qui valorisent la collaboration en temps réel et la simplicité d'administration cloud-native.

Les secteurs où Google résiste le mieux

Parmi les 25 sociétés SBF 120 utilisant Google Workspace, on retrouve une sur-représentation des groupes issus de l'économie numérique et des médias (environ 40 % des utilisateurs Google dans l'indice), ainsi que des entreprises ayant opéré une migration cloud totale ces trois dernières années. La logique est souvent celle du greenfield : partir de zéro favorise Google, migrer depuis un SI existant favorise Microsoft.

Sécurité email dans le SBF 120 : l'angle SPF, DKIM et DMARC

Au-delà du choix de plateforme, l'analyse des enregistrements DNS révèle un autre enseignement : le niveau de maturité en sécurité email reste hétérogène, même au sein des plus grandes capitalisations françaises.

Selon nos observations, seulement 61 % des domaines SBF 120 publient un enregistrement DMARC en politique p=quarantine ou p=reject. Cela signifie que près de 4 grandes entreprises sur 10 laissent leur domaine exposé à l'usurpation d'identité par email — ce qu'on appelle le spoofing de domaine exact.

  • SPF : présent sur 94 % des domaines — quasi-universellement déployé
  • DKIM : présent sur 87 % des domaines — légèrement en retrait, souvent absent sur les sous-domaines secondaires
  • DMARC p=reject ou p=quarantine : seulement 61 % — marge de progression significative

Cette lacune est d'autant plus préoccupante que l'ANSSI, dans son panorama de la cybermenace 2024, soulignait que le phishing ciblant les grandes organisations françaises restait le vecteur d'attaque initial le plus fréquent. Un domaine sans DMARC en politique stricte est une porte entrouverte pour les attaquants qui cherchent à usurper l'identité d'un grand groupe auprès de ses fournisseurs, clients ou collaborateurs.

« Connaître son enregistrement MX, c'est bien. Savoir ce qui entre réellement dans la boîte de réception — spam, usurpation, phishing — c'est mieux. La posture de sécurité email d'une entreprise se lit autant dans ses DNS que dans ses logs de filtrage. » — L'équipe FrozenSpam

Microsoft 365 vs Google Workspace : ce que les MX ne disent pas

Les enregistrements MX révèlent le transporteur, pas la qualité du filtrage. Or, les deux plateformes leaders embarquent des solutions anti-spam natives aux performances très différentes selon les cas d'usage.

Microsoft Defender for Office 365 (anciennement ATP) propose une protection avancée avec sandboxing des pièces jointes et détonation des liens. Google Workspace inclut des protections anti-phishing renforcées depuis 2022, avec notamment la détection des tentatives de spoofing basées sur la ressemblance visuelle des domaines.

Les limites des filtrages natifs pour les usages B2B sensibles

Malgré ces améliorations, les deux solutions présentent des angles morts bien documentés :

  • Les spams transactionnels légitimes mais non sollicités (formulaires, démarchage automatisé) passent souvent au travers des filtres natifs
  • Le spam de confirmation de commande ou d'inscription — dit subscription bombing — reste difficile à bloquer sans logique de défi-réponse
  • Les adresses email exposées dans des annuaires publics ou des mentions légales sont récoltées massivement par des bots, indépendamment de la plateforme utilisée

C'est précisément sur ces vecteurs que des solutions complémentaires, comme le filtrage par défi-réponse, apportent une valeur ajoutée que les grands hyperscalers n'adressent pas nativement. Le challenge-response permet de vérifier, avant même l'entrée en boîte, que l'expéditeur est bien un humain — une logique orthogonale à celle du scoring bayésien utilisé par M365 et Workspace.

Ce que ce panorama change pour les équipes IT et les RSSI

Pour les directions informatiques et les responsables sécurité des sociétés cotées, ce panorama MX 2026 pose trois questions concrètes :

  1. Ma politique DMARC est-elle réellement en mode rejet ? Beaucoup d'entreprises ont un enregistrement DMARC en p=none — mode surveillance uniquement, sans protection active.
  2. Mon relais MX de sécurité est-il bien configuré en priorité haute ? Un mauvais ordonnancement MX peut court-circuiter l'outil de filtrage tiers.
  3. Mon adresse postmaster ou mes boîtes fonctionnelles sont-elles protégées contre le spam de masse ? Ces adresses structurelles, souvent moins surveillées, sont des cibles de choix pour les campagnes de spam automatisé.

La migration vers le cloud — qu'il s'agisse de M365 ou de Workspace — ne dispense pas d'une réflexion sur la couche de filtrage additionnelle. Au contraire : la centralisation de la messagerie d'entreprise dans le cloud en fait une cible encore plus attractive pour les acteurs malveillants.

Conclusion : un paysage dominé par Microsoft, mais des défis partagés

En 2026, Microsoft 365 héberge les emails de plus des deux tiers du SBF 120, consolidant une position de leader incontestée dans la grande entreprise française. Google Workspace, solide à 21 %, progresse dans les secteurs les plus agiles. Mais le vrai enseignement de cette analyse MX est ailleurs : la plateforme choisie importe moins que la rigueur de sa configuration DNS et la qualité des couches de protection complémentaires déployées au-dessus.

SPF, DKIM, DMARC en politique stricte, relais de sécurité correctement ordonnancés, filtrage défi-réponse pour les boîtes exposées : ce sont ces décisions opérationnelles qui déterminent réellement le niveau d'exposition au spam et au phishing — pas le logo affiché dans l'interface webmail.

Vous souhaitez auditer la configuration MX et anti-spam de votre domaine, ou découvrir comment FrozenSpam complète votre protection M365 ou Workspace ? Lancez votre pilote gratuit ou consultez nos tarifs pour les équipes IT et RSSI.