ⶠà quoi sert le module Inbox ?
Inbox est le module Riot qui centralise tous les emails signalés par vos collaborateurs et permet à votre équipe sécurité de les traiter rapidement, avec ou sans l'aide de l'IA.
đ Trois objectifs principaux :
Faciliter et accélérer le traitement des emails suspects signalés par les collaborateurs.
Envoyer automatiquement une notification de suivi au collaborateur aprÚs traitement du ticket (sûr, spam ou frauduleux).
Centraliser tous vos emails malveillants Ă un seul endroit, avec un historique complet et des indicateurs d'usage.
Avec l'option Block Threat activée (voir section 5), Inbox permet en plus de neutraliser une attaque sur toute l'organisation à partir d'un seul signalement.
â· Comment un email arrive dans Inbox ?
Il existe trois méthodes pour qu'un email signalé remonte dans Inbox :
đ 1. Le Phishing Reporter Riot (recommandĂ©)
Un add-in Outlook ou un bouton Gmail qui permet Ă vos collaborateurs de signaler un email en un seul clic depuis leur boĂźte mail. Compatible avec Outlook desktop, web et mobile, et Gmail web et mobile.
đ 2. Le bouton natif Outlook
Si vous préférez utiliser le bouton "Report" natif de Microsoft, nous pouvons l'intercepter pour que les emails signalés arrivent automatiquement dans Inbox.
đ 3. Le transfert d'email (forwarding)
Le collaborateur transfÚre l'email suspect à une adresse de réception dédiée (ou à un alias plus simple à mémoriser, par exemple [email protected]). Cette méthode est la seule qui fonctionne sur tous les clients mail, y compris Apple Mail.
đ Bon Ă savoir : contrairement Ă Outlook, Gmail ne permet pas aux outils tiers d'intercepter les signalements faits via son bouton natif "Signaler un phishing". Les emails signalĂ©s ainsi partent directement chez Google et n'arrivent jamais dans Inbox. Pour Gmail, utilisez impĂ©rativement le Phishing Reporter Riot ou la mĂ©thode par transfert.
đ Que se passe-t-il quand un collaborateur signale un email ?
Le collaborateur reçoit une confirmation immédiate (un message in-product avec le Phishing Reporter, ou un email de confirmation avec le bouton natif ou le transfert).
Un ticket est créé dans Inbox.
Si plusieurs collaborateurs signalent le mĂȘme email, leurs signalements sont fusionnĂ©s dans un mĂȘme ticket â un seul ticket Ă traiter par l'admin.
Le ticket est ensuite traité selon le mode de traitement configuré (voir section 4).
Une fois le ticket traité, le collaborateur reçoit une notification de suivi par email lui indiquant l'issue (sûr, spam ou frauduleux).
➠La boßte de réception et le traitement d'un ticket
Lorsque vous ouvrez le module, vous arrivez directement dans votre boßte de réception.
đ Naviguer dans la liste
Rechercher un email par mot-clé depuis la barre de recherche.
Filtrer par tickets ouverts ou par tickets assignĂ©s Ă vous-mĂȘme.
Trier sur les derniers emails signalés ou la derniÚre activité dans Inbox.
Chaque ligne de la liste affiche : le titre de l'email, le nombre de signalements, les étiquettes appliquées, le délai depuis le signalement, et un indicateur de statut :
đ” Bulle bleue : l'email n'a pas encore Ă©tĂ© traitĂ©.
â Check bleu : l'email a Ă©tĂ© traitĂ© (« marquĂ© comme »).
đ Traiter un email
En cliquant sur la prévisualisation, vous accédez au contenu de l'email signalé. Depuis le menu « ⊠» en haut à droite, vous pouvez :
Marquer l'email comme Sûr, Spam ou Frauduleux.
Afficher les en-tĂȘtes en cliquant sur le texte bleu.
Télécharger l'email au format
.eml.Retirer l'email de la vue Inbox.
Lorsque l'IA est activée, les emails marqués comme frauduleux sont catégorisés en 3 types de menaces :
Usurpation d'employé
Paiement partenaire
Imitation de service
Si l'IA est désactivée, l'email est simplement marqué comme frauduleux, sans répartition par type de menace.
âč Choisir son mode de traitement
Inbox propose trois modes de traitement, Ă configurer dans ParamĂštres > Analyse des menaces :
đ Manuel
Tous les tickets doivent ĂȘtre passĂ©s en revue et dĂ©cidĂ©s par les administrateurs. L'IA n'intervient pas.
đ Manuel avec suggestions IA (mode recommandĂ© pour dĂ©marrer)
Les tickets sont toujours traités manuellement, mais l'IA propose une pré-étiquette (sûr, spam ou frauduleux). Vous gardez la main pour valider ou modifier la suggestion. Ce mode permet à l'IA de s'entraßner sur vos cas réels avant un éventuel passage en automatique.
đ Automatique
Tous les tickets sont traitĂ©s automatiquement par l'IA. Aucune action humaine n'est requise â vous n'avez jamais de tickets en attente.
đ Bon Ă savoir : l'IA d'Inbox sait analyser les emails dans toutes les langues. Elle s'appuie sur un grand modĂšle de langage (LLM) via Azure OpenAI, ce qui rend l'analyse multilingue native et fiable.
đ Comment l'IA analyse-t-elle un email ?
Pour étiqueter un email comme sûr, spam ou frauduleux, l'IA combine plusieurs signaux :
Signes de phishing : fautes d'orthographe, demandes d'informations personnelles, incitations Ă agir rapidement.
Examen technique : expéditeur, destinataire, objet, contenu, DKIM, DMARC, SPF, SCL.
Adresse IP et domaine de l'expéditeur, comparés à des listes d'IP et de domaines malveillants connus.
Activité suspecte : adresse d'expéditeur falsifiée, adresse de réponse différente, etc.
En-tĂȘtes de l'email comparĂ©s Ă ceux d'emails frauduleux connus.
Plateforme de renseignement sur les menaces pour les IP malveillantes associées.
Corps de l'email et liens : langage suspect, demandes urgentes, liens douteux et certificats de sécurité.
âș DĂ©multiplier l'effet : Block Threat, allowlist & blocklist
Trois paramĂštres permettent d'aller plus loin qu'un simple traitement ticket par ticket.
â
đ Block Threat
Lorsque cette option est activée, un seul signalement protÚge toute l'organisation :
L'email signalé est immédiatement déplacé vers les spams du collaborateur qui le signale.
Une fois le ticket confirmé comme malveillant (manuellement ou par l'IA), l'email est déplacé vers les spams de tous les collaborateurs qui l'ont reçu.
Les futurs emails issus de la mĂȘme attaque sont automatiquement dĂ©placĂ©s vers les spams Ă l'arrivĂ©e, en temps rĂ©el.
Si un admin reclasse l'email comme sûr, les emails sont restaurés dans les boßtes de réception.
đ Bon Ă savoir : une attaque est identifiĂ©e par la combinaison adresse de l'expĂ©diteur + objet. Le systĂšme gĂšre les variations alĂ©atoires (noms, identifiants, chaĂźnes alĂ©atoires) que les attaquants insĂšrent dans l'objet pour contourner les filtres classiques. L'activation de Block Threat nĂ©cessite les permissions de lecture/Ă©criture sur les boĂźtes mail.
đ ExpĂ©diteurs autorisĂ©s (allowlist)
Les expéditeurs ou domaines ajoutés à cette liste sont toujours considérés comme sûrs. Si un collaborateur signale un email d'un expéditeur autorisé, le Phishing Reporter lui indique immédiatement que l'expéditeur est considéré comme fiable par votre organisation.
đ ExpĂ©diteurs bloquĂ©s (blocklist)
Les expéditeurs ou domaines ajoutés à cette liste sont toujours considérés comme malveillants. Si un collaborateur signale un email d'un expéditeur bloqué, le Phishing Reporter lui indique immédiatement que l'expéditeur est connu comme malveillant. Avec Block Threat activé, les emails d'expéditeurs bloqués sont automatiquement déplacés vers les spams dÚs leur réception, sans création de ticket ni revue manuelle.
⻠Détails et activité d'un ticket
Le panneau situé à droite de l'écran vous donne tout le contexte autour du ticket :
đ DĂ©tails
Le ou les collaborateur(s) ayant signalé l'email.
đ ActivitĂ©
L'historique complet du traitement de l'email â particuliĂšrement utile pour fournir un second avis ou suivre l'Ă©volution depuis le signalement. Vous y retrouvez Ă©galement le commentaire laissĂ© par le collaborateur au moment du signalement.
⌠Configurer ses notifications admin
Chaque administrateur peut configurer ses notifications dans son profil (cliquer sur son nom en bas Ă gauche de son compte Riot) :
Envoi immĂ©diat (Send right away) â un email dĂšs qu'un ticket est crĂ©Ă©, qu'un ticket lui est assignĂ©, ou (selon la configuration) qu'il y a une activitĂ© de signalement importante sur un email.
Envoi groupĂ© (Send in digest) â un email rĂ©capitulatif mensuel.
đ Distribution automatique (option supplĂ©mentaire)
Si votre Ă©quipe n'a pas de process interne dĂ©fini, les tickets peuvent ĂȘtre assignĂ©s automatiquement et alĂ©atoirement Ă un groupe d'administrateurs (par exemple, tous les admins sĂ©curitĂ©). Chaque admin peut ensuite choisir de ne recevoir des notifications que lorsqu'un ticket lui est effectivement assignĂ© â utile pour rĂ©partir la charge sans saturer tout le monde.
đ Bon Ă savoir : aujourd'hui, les notifications admin se font uniquement par email. Slack, Teams et Google Chat ne sont pas encore disponibles comme canaux de notification admin.
✠Les aperçus (Insights)
Depuis l'onglet Insights, vous visualisez les données clés extraites du traitement des emails signalés :
Notion de période : les données se mettent automatiquement à jour selon la période sélectionnée.
Tickets ouverts : nombre de tickets non encore traités.
Utilisation : pourcentage de collaborateurs ayant utilisé le Phishing Reporter et/ou le transfert d'email sur la période.
Précision du signalement : pourcentage d'emails signalés effectivement considérés comme une menace (marqués comme frauduleux par un admin ou par l'IA).
Répartition par type de menace : pour les emails frauduleux, visibilité sur la répartition des menaces en pourcentage.
Top reporters : les collaborateurs qui ont signalé le plus d'emails effectivement identifiés comme malveillants.
Les statistiques sont téléchargeables au format CSV directement dans Inbox, et accessibles via notre API publique.
Ă retenir
Inbox centralise tous les emails signalés par vos collaborateurs, quelle que soit la méthode utilisée (Phishing Reporter, bouton natif Outlook, ou transfert).
Trois modes de traitement disponibles : Manuel, Manuel avec suggestions IA, ou Automatique.
L'IA analyse les emails dans toutes les langues et catégorise les emails frauduleux en 3 types de menaces.
Block Threat démultiplie l'effet : à partir d'un seul signalement, l'attaque est neutralisée sur toute l'organisation.
Les allowlists/blocklists permettent de fiabiliser et accélérer le traitement de certains expéditeurs.