📚 Bonnes pratiques

Analyse email

Quand analyser un email ?

Analysez systématiquement les emails suspects présentant un ou plusieurs de ces signaux :

✉️ Expéditeur inconnu ou adresse inhabituelle
🔗 Liens vers des URLs étranges ou raccourcies
💰 Demande urgente d'argent ou de données personnelles
📎 Pièce jointe inattendue (surtout .exe, .zip, .doc avec macros)
🎁 Offre "trop belle pour être vraie" (loterie, héritage, colis inattendu)
🏦 Prétendue communication de banque, impôts, livraison
🔐 Demande de vérification de compte / identifiants

Interpréter un score ambigu (31-60)

Un score "suspicious" ne signifie pas forcément que l'email est malveillant. Vérifiez :

Les raisons listées : sont-elles pertinentes pour cet email ?
SPF/DKIM/DMARC : un seul fail peut être un problème de configuration légitime
Le contexte : attendiez-vous un email de cet expéditeur ?
Le domaine : vérifiez l'âge du domaine sur whois.domaintools.com

Ne jamais faire après un email dangereux

❌ Ne jamais cliquer sur les liens
❌ Ne jamais ouvrir les pièces jointes
❌ Ne jamais répondre en donnant des informations personnelles
❌ Ne jamais appeler le numéro de téléphone indiqué dans l'email

Vérification de numéros

Quand vérifier un numéro ?

Avant de rappeler un numéro inconnu
Après un appel suspect (fraude au faux conseiller bancaire, fausse sécurité sociale)
Avant de saisir un code reçu par SMS d'un numéro inconnu
En cas de SMS commercial non sollicité

Interpréter les résultats ARCEP

Badge	Action recommandée
`OK`	Pas de signal négatif — prudence normale
`ARCEP`	Probablement démarchage — évitez de rappeler
`SPAM`	Spam confirmé — bloquer et signaler
`SIGNALÉ`	Signalé par la communauté — prudence

Utiliser le mode lot efficacement

Pour vérifier une liste de numéros (ex: liste d'appels entrants) :

0612345678
+33 6 98 76 54 32
06-55-44-33-22
0033 6 11 22 33 44

Collez tous les numéros dans la zone de texte, un par ligne.

Automatisation avec n8n/Make

Workflow recommandé pour PME

1. Réception email entrant
2. Extraire les headers (script email client)
3. POST → analyze-email-headers
4. Si score > 60 :
   → Créer ticket dans Jira/Notion
   → Alerter le canal Slack #sécurité
   → Mettre l'email en quarantaine
5. Si score > 80 :
   → Alerter le DSI par SMS

Conseils n8n

Utilisez des nœuds de condition pour filtrer par score
Configurez un webhook de test pour valider le payload avant la mise en production
Activez les retry sur les nœuds d'envoi (Slack, email) pour la résilience

Templates prêts à l'emploi (Q3 2026)

Des templates n8n/Make seront disponibles dans la marketplace :

Alerte Slack si score > 60
Rapport quotidien d'analyses par email
Workflow PME : analyse + ticket + notification

Exports et rapports

Choisir le bon format

Cas d'usage	Format recommandé
Backup & archivage	JSON
Intégration SIEM	JSON ou XML
Rapport Excel / Sheets	CSV
Réunion sécurité	PDF (Q2 2026)
Événement calendarisé	ICS
Alerte équipe	Slack

Fréquence d'export recommandée

PME : export CSV hebdomadaire pour revue sécurité
SOC : export JSON quotidien vers SIEM
Audit : export complet mensuel en archive

Sécurité des clés API

Bonnes pratiques

Ne jamais partager vos clés API dans le code source
Ne jamais committer de fichier .env avec des clés réelles
Utiliser des clés distinctes par environnement (dev/staging/prod)
Renouveler les clés régulièrement (tous les 3 mois)
Surveiller les compteurs d'utilisation dans les Paramètres

Rotation des clés

En cas de compromission suspectée :

Révoquer immédiatement la clé dans le dashboard du service (IPQS/AbuseIPDB/VirusTotal)
Générer une nouvelle clé
Mettre à jour dans les Paramètres BlocMail
Vérifier les logs d'utilisation pour détecter des appels non autorisés

Performance

Optimiser l'utilisation des crédits

Analysez en priorité les emails à fort signal d'alerte (expéditeur inconnu + contenu urgent)
Utilisez le mode lot pour BlocNumEtSMS (un crédit par lot, pas par numéro)
Évitez de ré-analyser le même email plusieurs fois

Accélérer les analyses

Activez seulement les APIs de réputation dont vous avez besoin (réduire la latence du step ip_reputation)
Si vous n'utilisez pas les résultats VirusTotal, désactivez-le dans les Paramètres

RGPD & Confidentialité

Pour les PME traitant des données de clients

Les en-têtes email peuvent contenir des données personnelles (adresses email, IPs)
Informez vos utilisateurs/clients si vous analysez leurs emails
Configurez une politique de rétention cohérente (suppression après 90 jours recommandée)
Désignez un DPO si requis par votre activité
Exportez et supprimez les données d'un utilisateur sur demande (droit à l'oubli)

Analyse email​

Quand analyser un email ?​

Interpréter un score ambigu (31-60)​

Ne jamais faire après un email dangereux​

Vérification de numéros​

Quand vérifier un numéro ?​

Interpréter les résultats ARCEP​

Utiliser le mode lot efficacement​

Automatisation avec n8n/Make​

Workflow recommandé pour PME​

Conseils n8n​

Templates prêts à l'emploi (Q3 2026)​

Exports et rapports​

Choisir le bon format​

Fréquence d'export recommandée​

Sécurité des clés API​

Bonnes pratiques​

Rotation des clés​

Performance​

Optimiser l'utilisation des crédits​

Accélérer les analyses​

RGPD & Confidentialité​

Pour les PME traitant des données de clients​