Objectif
Cette fonctionnalité permet aux utilisateurs de signaler un email suspect directement depuis Outlook ou via une adresse de signalement dédiée. Le signalement est ensuite centralisé, traité par Microsoft Defender si cette option est activée, puis remonté dans BlueSecure pour l’analyse et le suivi des campagnes.
Prérequis
Avant de commencer, vous devez disposer : d’un compte administrateur Microsoft 365 ou Exchange avec les droits nécessaires pour créer une boîte partagée, configurer le transfert et déployer un complément Outlook. La configuration des paramètres « User reported settings » dans Microsoft Defender nécessite des rôles d’administration appropriés sur le tenant.
1. Installation côté Microsoft
1.1 Créer la boîte de collecte
Créez une boîte aux lettres partagée Microsoft 365 dédiée au signalement des emails, par exemple [email protected]. Cette boîte servira de point de collecte unique pour tous les messages signalés par les utilisateurs.
Ensuite, configurez un transfert automatique de cette boîte vers [email protected] ou [email protected]. BlueSecure recommande de conserver une adresse dédiée, claire et simple à mémoriser pour faciliter l’adoption côté utilisateur.
1.2 Configurer le bouton natif Microsoft 365
Connectez-vous au portail Microsoft Defender à l’adresse security.microsoft.com, puis ouvrez Paramètres > Email & collaboration > Paramètres signalés par l’utilisateur.
Dans cet écran, sélectionnez la destination des messages signalés selon le scénario retenu :
-
Microsoft et ma boîte aux lettres de création de rapports.
Ajoutez ensuite la boîte créée dans Exchange Online afin qu’elle reçoive les messages signalés. Si vous souhaitez un niveau de détail plus avancé, activez également le compte-rendu de quarantaine.
1.3 Déployer l’add-in BlueSecure sur Microsoft 365
Si vous souhaitez proposer le bouton BlueSecure directement dans Outlook, allez dans le centre d’administration Microsoft 365 : admin.microsoft.com.
Puis suivez le chemin Settings > Integrated apps, choisissez Charger des applications personnalisées, et importez le manifeste fourni par BlueSecure via l’URL du fichier : https://bluesecureoutlookreport.z28.web.core.windows.net/manifest.xml
Une fois le complément publié, il apparaît dans l’administration Microsoft et peut être affecté à des utilisateurs ou groupes. Si nécessaire, rendez-le obligatoire pour qu’il soit chargé par défaut dans Outlook.
2. Installation côté Exchange on-premise
Pour les environnements Exchange 2019 et supérieur, ouvrez le Centre d’administration Exchange, puis allez dans Organisation > Compléments.
Ajoutez un nouveau complément via l’option Ajouter avec une URL, puis renseignez l’URL du manifeste BlueSecure : https://bluesecureoutlookreport.z28.web.core.windows.net/manifest.xml
Une fois le complément visible dans la liste, sélectionnez BlueSecure Phishing Report et passez-le en mode obligatoire afin qu’il soit chargé automatiquement pour les utilisateurs ciblés.
3. Configuration dans BlueSecure
Une fois la remontée activée côté Microsoft, connectez-vous à l’interface BlueSecure pour vérifier le canal de réception et les notifications associées.
Dans BlueSecure, il est possible de configurer des notifications email pour les signalements remontés par le bouton Outlook. Cette configuration se fait via Organisation > Paramètres > Rapport, où vous pouvez renseigner une ou plusieurs adresses de notification.
Cette étape permet d’alerter les équipes sécurité en temps réel et d’assurer le suivi opérationnel des signalements.
4. Fonctionnement technique
Le flux repose sur une chaîne simple : l’utilisateur clique sur le bouton de signalement dans Outlook, le message est transmis à la boîte de collecte Microsoft, puis redirigé vers BlueSecure. BlueSecure exploite ensuite le signalement pour l’associer à une campagne, alimenter les statistiques et déclencher les notifications si elles sont configurées.
Dans le cas d’une simulation de phishing BlueSecure, le signalement est automatiquement rattaché à la campagne en cours. Dans le cas d’un email réel, le signalement est traité comme un incident de sécurité à analyser par vos équipes.
Le dispositif peut fonctionner avec trois entrées distinctes : une adresse de transfert dédiée, le bouton natif Microsoft 365 ou l’add-in BlueSecure. Dans tous les cas, l’objectif est de centraliser le signalement et de conserver une traçabilité exploitable par la sécurité.
5. Utilisation côté utilisateur final
Lorsqu’un email paraît suspect, l’utilisateur n’a qu’un seul réflexe à adopter : le signaler immédiatement depuis Outlook ou via l’adresse de signalement prévue par l’organisation. L’action est simple, rapide, et ne demande aucune expertise technique.
Dès le signalement effectué, l’utilisateur reçoit un retour immédiat à l’écran pour confirmer que la remontée a bien été prise en compte. Cela permet de renforcer le réflexe de vigilance et d’encourager l’adoption du bouton de signalement.
Dans le cas d’une campagne de phishing simulé, le signalement est automatiquement rattaché au suivi de campagne BlueSecure. Dans le cas d’un email réel, il est transmis au circuit de traitement sécurité défini par l’organisation, afin d’être analysé sans délai.
L’objectif est double : simplifier l’action pour l’utilisateur et accélérer la détection pour les équipes sécurité.
6. Permissions
L’add-in BlueSecure repose sur un niveau de permission Outlook adapté au signalement d’email. Dans la majorité des cas, la permission ReadItem est suffisante, car elle permet à l’add-in d’accéder au message signalé et à ses propriétés essentielles sans ouvrir un accès étendu à la boîte aux lettres. Les permissions plus élevées, comme ReadWriteItem ou ReadWriteMailbox, ne doivent être utilisées que si une exigence fonctionnelle spécifique le justifie.
Côté Exchange, les utilisateurs ou administrateurs qui installent et gèrent des compléments peuvent aussi dépendre des rôles attribués dans l’organisation. Microsoft permet de contrôler qui peut installer ou gérer les add-ins, notamment via les rôles liés aux applications personnalisées et à la gestion des compléments
Une fois le message signalé, l’add‑in transmet de manière sécurisée les métadonnées du mail (ou le mail lui‑même, selon la configuration) au backend BlueSecure. Dans cette couche, les données sont traitées dans un environnement isolé, avec un contrôle d’accès strict ) : seuls les profils d’utilisateurs BlueSecure correspondant à des rôles définis (administrateur client, responsable cybersécurité, équipe de support, etc.) peuvent voir ou exploiter ces signalements. Les données personnelles identifiables (adresse e‑mail, nom, entité) sont limitées aux finalités contractuelles (suivi de campagne, reporting, analyse d’incident) et ne sont ni consultables ni exportables par des profils non autorisés.
Enfin, BlueSecure applique le principe de moindre privilège sur l’ensemble du processus : les permissions sont scindées entre la couche Outlook/Exchange (accès au message) et la couche BlueSecure (accès aux données et aux rapports), afin que chaque acteur n’ait jamais plus de droits que ce qui est strictement nécessaire à sa mission. Cela garantit une gestion maîtrisée des données, depuis le signalement dans Outlook jusqu’à leur exploitation dans la plateforme BlueSecure.
En savoir plus : https://learn.microsoft.com/en-us/office/dev/add-ins/outlook/understanding-outlook-add-in-permissions
6. Notification e-mail des signalements
Après configuration, les utilisateurs disposent d’un mécanisme de signalement simple dans Outlook. Les signalements remontent dans Microsoft et dans BlueSecure selon l’architecture choisie, ce qui permet à la fois le suivi de campagne, l’analyse opérationnelle et la notification des équipes de sécurité.
Si vous souhaitez recevoir une notification des signalements remontés par le bouton Outlook, naviguez dans le menu vers Organisation, suivi de Paramètres et enfin Rapport. Vous pourrez spécifier une ou plusieurs adresses e-mail pour l’envoi de ces rapports de signalement.
Astuce : Privilégiez une adresse de signalement unique, claire et facile à retenir : plus elle est explicite, plus les utilisateurs l’adoptent naturellement.
Pour renforcer la sécurité et la gouvernance, pensez à documenter l’ensemble du circuit de traitement, à limiter les permissions sur la boîte partagée et à vérifier régulièrement les règles de transfert. Cette bonne pratique doit faire partie du contrôle courant de votre messagerie et de votre dispositif cyber.
Questions fréquentes
Comment choisir entre l’adresse de signalement dédiée, le bouton Microsoft et l’add-in BlueSecure ?
L’adresse dédiée est la plus simple à déployer et à gouverner, le bouton Microsoft s’intègre naturellement à l’expérience Outlook, et l’add-in BlueSecure est le plus direct pour remonter les signalements dans l’écosystème BlueSecure. Le bon choix dépend surtout de votre niveau d’intégration Microsoft, de vos exigences de traçabilité et de votre stratégie de sensibilisation.
Qui doit avoir les droits pour configurer le signalement ?
La configuration doit être réservée aux administrateurs Microsoft 365, Exchange ou sécurité disposant des autorisations adaptées pour gérer les boîtes partagées, les transferts et les paramètres de signalement utilisateur. En pratique, ces droits doivent rester limités à un petit périmètre d’administrateurs habilités.
Pourquoi créer une boîte aux lettres partagée dédiée ?
Elle sert de point de collecte unique pour tous les signalements, ce qui simplifie l’exploitation, le suivi et la supervision. Elle permet aussi de conserver un flux clair entre la remontée utilisateur, le transfert vers BlueSecure et le traitement interne éventuel.
Le signalement remonte-t-il automatiquement dans BlueSecure ?
Oui, dès lors que la chaîne de collecte et de transfert est correctement configurée. Pour les campagnes de simulation, le signalement est rattaché automatiquement au suivi de campagne ; pour les emails réels, il suit le circuit de traitement défini par l’organisation.
Le bouton Microsoft et l’add-in BlueSecure peuvent-ils coexister ?
Oui, mais il faut définir clairement le rôle de chaque mécanisme pour éviter les doublons ou les incompréhensions côté utilisateurs. En général, l’objectif est de conserver un seul parcours de signalement principal par population cible.
Que faire si le bouton n’apparaît pas dans Outlook ?
Vérifiez que le complément a bien été déployé, qu’il est attribué aux bons utilisateurs ou groupes, et qu’il est autorisé dans votre environnement Microsoft 365 ou Exchange. Il faut aussi contrôler le mode obligatoire si le bouton doit être chargé par défaut.
Quels éléments doivent être contrôlés côté sécurité ?
Il faut suivre les permissions sur la boîte partagée, la configuration du transfert automatique, et la documentation du flux de données entre Microsoft et BlueSecure. Ces contrôles doivent être revus régulièrement dans le cadre de votre gouvernance messagerie et cyber.
Les utilisateurs doivent-ils analyser l’email avant de le signaler ?
Non, l’objectif est justement de leur demander de signaler dès qu’un doute existe. Plus le geste est simple, plus le taux de remontée est élevé et plus les équipes sécurité peuvent réagir vite.
Le signalement fonctionne-t-il pour les emails externes et internes ?
Oui, tant que le message passe par le mécanisme de signalement configuré dans votre organisation. Le traitement final dépend ensuite de votre routage, de votre configuration Microsoft et des règles BlueSecure en place.
Peut-on recevoir des alertes lorsqu’un email est signalé ?
Oui, BlueSecure permet de notifier une ou plusieurs adresses selon la configuration définie dans l’espace d’administration. C’est utile pour alerter le SOC, le support sécurité ou le RSSI en temps réel.
Comment BlueSecure analyse-t-il les emails signalés par les utilisateurs ?
Lorsqu’un utilisateur signale un email via l’add-in, le contenu est extrait de manière sécurisée puis analysé par une IA dédiée pour détecter des indicateurs de phishing (liens, domaines, schémas de spear-phishing). Cette analyse est réalisée dans un environnement Azure privé, localisé en France, avec un chiffrement en transit (TLS 1.2+). Engagement clé : les données ne sont pas utilisées pour l’entraînement des modèles IA (Microsoft/OpenAI) et aucune donnée n'est transmise à des tiers.
Quelle est la politique de conservation des emails analysés ?
Les emails sont stockés dans des répertoires sécurisés au sein de conteneurs S3. Chaque donnée est isolée techniquement via des identifiants UUID et demeure accessible uniquement aux utilisateurs habilités via l’application BlueSecure. La durée de conservation est alignée sur la durée contractuelle, ces données étant nécessaires à l'historisation des incidents et au pilotage de la plateforme.
Comment est garantie la confidentialité face aux accès internes BlueSecure ?
L’accès au contenu des emails est strictement limité aux comptes propriétaires de l’organisation cliente et aux administrateurs de l’application. Les ingénieurs système, même en ayant accès à l'infrastructure, ne peuvent pas consulter les fichiers physiques stockés dans les conteneurs S3 ; une telle action requiert l'ajout explicite d'une permission nominative, assurant une séparation des accès entre l'infrastructure et la donnée applicative.
Existe-t-il une traçabilité des accès aux emails (logs) ?
La solution permet la visualisation des emails avec une traçabilité fine, similaire aux audits disponibles dans Microsoft 365. Nous sommes en mesure de fournir ces logs d’accès et de consultation aux administrateurs. Ces données sont actuellement disponibles sur demande, avec une évolution prévue vers une exposition via un endpoint API pour faciliter leur intégration directe dans votre SOC