Passer au contenu principal

1️⃣ Comprendre Slash : les bannières de détection

Cet article vous explique ce qu'est Slash, comment fonctionnent les bannières de détection injectées dans les emails et quelles actions vos collaborateurs peuvent prendre.

❶ Qu'est-ce que Slash ?

Slash est la solution de Riot qui protège vos collaborateurs contre les attaques de phishing sophistiquées et ciblées qui passent au travers des filtres natifs de Google ou Microsoft.

Slash s'installe en complément de votre messagerie (Gmail ou Outlook) et s'appuie sur des modèles de langage (LLMs) pour analyser le contexte et l'intention de chaque email entrant. Lorsqu'un email est jugé suspicieux, une bannière de détection est injectée directement dans le corps du message pour alerter le collaborateur.

👉 Les trois fonctionnalités clés :

  • Protection des emails : analyse en temps réel de tous les emails entrants.

  • Alerte in-situ : la bannière s'affiche directement dans la boîte mail du collaborateur, sans changement de contexte.

  • Protection contre l'usurpation d'identité : lorsque Slash soupçonne qu'un collaborateur est usurpé, Albert demande automatiquement confirmation à la personne concernée via un canal sécurisé (Slack, Teams ou Google Chat).

👍 Bon à savoir : Slash complète vos défenses existantes sans interférer avec elles. Il fonctionne aux côtés de Microsoft Defender, Mimecast, Proofpoint ou tout autre filtre amont, car il s'appuie sur les API Gmail/Outlook et agit directement dans la boîte mail de l'utilisateur.

❷ Comment fonctionne la détection ?

Slash repose sur un modèle hybride qui combine deux approches complémentaires :

  • Analyse contextuelle des métadonnées : évaluation de la sécurité des domaines, des URLs et des en-têtes, et estimation de la fiabilité des expéditeurs externes en fonction de la fréquence des échanges passés.

  • Analyse sémantique : basée sur des modèles de langage (LLMs), elle identifie les scénarios de phishing typiques à partir du contexte et du ton du message.

👉 Les scénarios de phishing détectés :

  • Usurpation de collaborateur — l'expéditeur se fait passer pour un collaborateur interne pour manipuler le destinataire et l'inciter à effectuer une action sensible.

  • Imitation de service — l'email imite un service en ligne connu (DocuSign, Microsoft, etc.) pour dérober des identifiants.

  • Tentative d'extorsion — message menaçant exigeant un paiement, sous prétexte de détenir des informations compromettantes.

  • Fraude au paiement partenaire (avertissement) — tentative d'usurpation d'un partenaire commercial pour demander un paiement ou un changement de coordonnées bancaires.

  • Indicateurs suspects (avertissement) — l'email présente des signaux techniques associés au phishing, sans correspondre à un scénario précis.

👍 Bon à savoir : contrairement à beaucoup de solutions, Slash ne déclenche pas d'alerte automatique à chaque nouvel expéditeur. Seuls les emails jugés potentiellement malveillants génèrent une bannière, ce qui évite de saturer les collaborateurs d'alertes inutiles et préserve la valeur du signal.

❸ La bannière de détection

Du point de vue du collaborateur, les alertes Slash apparaissent directement dans le corps de l'email sous forme de bannière interactive.

Chaque bannière contient :

  • Une explication contextuelle : une courte description du motif de l'alerte (ton suspect, sentiment d'urgence, incohérence de domaine, URL douteuse, service imité…). Cela aide le collaborateur à comprendre le risque et développe progressivement ses réflexes de sécurité.

  • Trois actions possibles directement depuis la bannière.

❹ Les trois actions disponibles depuis la bannière

👉 Signaler (Report)

  • L'email est immédiatement déplacé vers les spams du collaborateur qui le signale.

  • Un ticket est créé dans Inbox (ou mis à jour si un autre collaborateur a déjà signalé le même email).

  • Si l'option Block Threat est activée dans Inbox et que le ticket est confirmé comme malveillant, l'email est déplacé vers les spams de tous les collaborateurs qui l'ont reçu, et les futurs emails issus de la même attaque sont bloqués à l'arrivée.

👉 Je fais confiance à cet expéditeur (looks safe)

  • La bannière disparaît et le collaborateur peut répondre normalement à l'email.

  • Slash mémorise que le domaine de l'expéditeur est considéré comme sûr pour ce collaborateur uniquement — les autres collaborateurs continueront de voir la bannière si l'expéditeur les contacte.

👉 En savoir plus (Ask Albert)

  • Une conversation avec Albert s'ouvre dans une nouvelle fenêtre.

  • Albert explique pourquoi l'email semble suspect et pourquoi le collaborateur ne doit pas y répondre ni cliquer sur les liens.

❺ Le workflow de protection contre l'usurpation interne

Slash propose un workflow de vérification automatique lorsqu'une usurpation de l'identité d'un collaborateur interne est détectée. Cette fonctionnalité s'active dans les paramètres de Slash (option Auto Impersonation Protection).

👉 Comment ça fonctionne ?

Lorsqu'une usurpation interne est suspectée, Albert contacte automatiquement le collaborateur usurpé via un canal sécurisé (Slack, Teams ou Google Chat) pour vérifier la légitimité de l'email :

  • Si le collaborateur confirme l'usurpation (« No, I'm being impersonated ») : l'email est immédiatement déplacé vers les spams de toutes les boîtes mail concernées, et un ticket clos est créé dans Inbox pour suivi.

  • Si le collaborateur confirme la légitimité (« Yep, that was me ») : la bannière est retirée et l'email reste dans la boîte de réception. Aucun ticket n'est créé.

👍 Bon à savoir : contrairement aux autres scénarios où le collaborateur doit signaler manuellement l'email depuis la bannière, le workflow d'usurpation est entièrement automatique. Albert déclenche la vérification sans attendre d'action de la part de l'utilisateur.

❻ Compatibilité

Slash nécessite que la boîte mail soit hébergée par Gmail ou Outlook, car nous utilisons leurs API pour injecter les bannières. Une fois injectée, la bannière s'affiche correctement sur tous les clients mail, y compris :

  • Apple Mail (macOS, iOS)

  • Outlook desktop, web et mobile

  • Gmail web et mobile (Android, iOS)

  • Tout autre client desktop ou mobile

Il n'y a aucun délai ajouté à la réception de l'email pendant l'analyse Slash.

À retenir

  • Slash est une couche complémentaire qui s'ajoute à vos défenses existantes (Defender, Mimecast, Proofpoint, etc.).

  • L'analyse repose sur un modèle hybride : métadonnées + sémantique (LLMs).

  • La bannière propose trois actions claires : Signaler, Faire confiance, En savoir plus.

  • Le workflow d'usurpation interne est automatique et déclenche une vérification via Slack, Teams ou Google Chat.

Articles connexes
1️⃣ Activer/Désactiver vos employés
1️⃣ Comprendre le Smishing
2️⃣ Comment installer les bannières de détection (Slash)
1️⃣ Comprendre Inbox
Avez-vous trouvé la réponse à votre question ?