h.
HUHU.fr
TECHNIQUES
13 février 20266 min de lecture

Implémenter STIR/SHAKEN : guide technique pour les DSI

HuhuRédacteur HUHU.fr

Guide technique complet pour implémenter STIR/SHAKEN et le MAN français : niveaux d'attestation A/B/C, configuration IPBX, checklist DSI et impact sur vos taux de décroché.

Implémenter STIR/SHAKEN : guide technique pour les DSI

Depuis le 1er janvier 2026, le Mécanisme d'Authentification des Numéros (MAN) impose aux opérateurs français de couper les appels non authentifiés. Pour les DSI et responsables techniques, comprendre et implémenter STIR/SHAKEN devient une nécessité opérationnelle. Ce guide technique détaille les étapes concrètes d'implémentation.

STIR/SHAKEN et MAN : comprendre l'architecture

STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs) est le protocole international d'authentification des appels. La France a développé sa propre implémentation baptisée MAN, conforme aux spécifications de l'ARCEP.

Le principe est simple : chaque appel sortant est signé cryptographiquement par l'opérateur émetteur, permettant à l'opérateur récepteur de vérifier que le numéro appelant n'a pas été usurpé.

Les composants techniques

  • STI-CA (Certificate Authority) : l'autorité de certification qui délivre les certificats aux opérateurs autorisés
  • STI-PA (Policy Administrator) : gère les politiques et la liste des opérateurs accrédités
  • Certificat SPC : Service Provider Code, identifiant unique de l'opérateur
  • PASSporT : Personal Assertion Token, le jeton signé ajouté dans les headers SIP

Les 3 niveaux d'attestation : A, B et C

Chaque appel reçoit un niveau d'attestation qui indique le degré de confiance de l'opérateur dans l'identité de l'appelant :

Attestation A (Full) — Le standard à viser

L'opérateur certifie qu'il :

  • A authentifié l'identité du client (KYC complet)
  • A vérifié que le client est autorisé à utiliser ce numéro
  • Est responsable de l'émission de l'appel sur le réseau

Impact : Les appels en attestation A bénéficient d'un indicateur "Appel vérifié" sur certains téléphones et sont rarement bloqués par les filtres anti-spam.

Attestation B (Partial) — Zone grise

L'opérateur connaît le client mais n'a pas vérifié son droit à utiliser le numéro présenté. Typique des entreprises utilisant des numéros via un trunk SIP sans déclaration préalable.

Impact : Pas d'indicateur de confiance, risque modéré de filtrage.

Attestation C (Gateway) — À éviter absolument

L'opérateur ne peut pas identifier l'émetteur de l'appel. C'est le cas des appels transitant par des passerelles internationales non authentifiées.

Impact : Très forte probabilité de blocage ou d'affichage "Spam probable". Depuis janvier 2026, l'ARCEP impose le masquage des numéros mobiles non authentifiés provenant de l'étranger.

Implémentation technique : étapes pour les DSI

Étape 1 : Audit de votre infrastructure téléphonique

Avant toute implémentation, cartographiez votre architecture :

  • Type de trunk : SIP direct, ISDN (à migrer), ou UCaaS (Teams, Zoom)
  • IPBX : Asterisk, FreePBX, 3CX, Avaya, Cisco — vérifiez la compatibilité STIR/SHAKEN
  • Opérateur : Confirmez qu'il supporte le MAN et peut attester vos numéros en niveau A
  • Numéros utilisés : Listez tous les CLI (Caller ID) utilisés pour les appels sortants

Étape 2 : Déclaration des numéros auprès de l'opérateur

Pour obtenir l'attestation A, vous devez fournir à votre opérateur :

  • Preuve de propriété ou d'attribution des numéros (factures, contrats)
  • Liste exhaustive des numéros à authentifier
  • Engagement contractuel sur l'usage conforme des numéros

Délai moyen : 2 à 4 semaines pour la validation administrative.

Étape 3 : Configuration technique (exemple Asterisk)

Pour les IPBX supportant STIR/SHAKEN nativement (Asterisk 18+, FreePBX récent), la configuration implique :

; stir_shaken.conf
[attestation]
global_disable = no
private_key_file = /etc/asterisk/keys/stir_private.pem
public_cert_url = https://certs.operator.fr/12345.pem

[tn_0140000000]
type = tn
private_key_file = /etc/asterisk/keys/stir_private.pem
public_cert_url = https://certs.operator.fr/12345.pem
attest_level = A

Chaque numéro (TN - Telephone Number) doit être configuré avec :

  • Le certificat privé fourni par l'opérateur
  • L'URL publique du certificat pour vérification
  • Le niveau d'attestation autorisé (généralement A)

Étape 4 : Vérification des appels entrants

Si vous recevez des appels, configurez également la vérification :

[verification]
global_disable = no
load_system_certs = yes
ca_file = /etc/asterisk/keys/ca-bundle.crt
max_iat_age = 15

Le paramètre max_iat_age (en secondes) définit la tolérance sur l'horodatage de la signature. 15 secondes est la valeur recommandée.

Cas particuliers et solutions

UCaaS (Microsoft Teams, Zoom Phone)

Si vous utilisez Teams ou Zoom pour la téléphonie, la gestion STIR/SHAKEN est généralement transparente :

  • Direct Routing Teams : votre SBC doit supporter STIR/SHAKEN
  • Operator Connect : l'opérateur gère l'authentification
  • Zoom Phone : attestation gérée par Zoom pour les numéros alloués

Vérifiez auprès de votre fournisseur UCaaS que vos numéros sont bien enregistrés pour l'attestation A.

Multi-opérateurs et portabilité

Si vous utilisez plusieurs opérateurs ou avez des numéros portés :

  • Chaque opérateur doit authentifier uniquement les numéros qu'il gère
  • Les numéros portés doivent être re-déclarés auprès du nouvel opérateur
  • Attention aux délais de propagation (24-72h après portabilité)

Call centers externalisés

Si vous externalisez vos appels sortants :

  • Exigez contractuellement l'attestation A de votre prestataire
  • Fournissez-lui les preuves d'attribution de vos numéros
  • Surveillez régulièrement le niveau d'attestation effectif (outils de monitoring)

Checklist DSI : 10 points de contrôle

  1. ✅ Tous les trunks SIP sont compatibles STIR/SHAKEN
  2. ✅ L'opérateur confirme par écrit l'attestation niveau A
  3. ✅ Liste complète des CLI déclarée à l'opérateur
  4. ✅ Certificats et clés privées stockés de manière sécurisée
  5. ✅ Configuration IPBX testée et validée
  6. ✅ Vérification des appels entrants activée
  7. ✅ Monitoring du niveau d'attestation en place
  8. ✅ Procédure de mise à jour des certificats documentée
  9. ✅ Prestataires externes audités sur leur conformité
  10. ✅ Plan de continuité si attestation dégradée

Impact sur la réputation téléphonique

L'implémentation correcte de STIR/SHAKEN n'est pas qu'une obligation réglementaire — c'est un avantage concurrentiel :

  • +15 à 25% de taux de décroché pour les appels avec indicateur "Vérifié"
  • Réduction des signalements spam : les destinataires font davantage confiance
  • Traçabilité complète : en cas de problème, l'origine des appels est prouvable

À l'inverse, une mauvaise implémentation (attestation B ou C) peut ruiner vos campagnes d'appels sortants, avec des taux de blocage pouvant atteindre 60-80%.

Ressources et outils

Pour surveiller en temps réel la réputation de vos numéros et détecter les problèmes d'attestation, découvrez l'API HUHU qui permet d'intégrer le monitoring directement dans vos outils de supervision.

Si vos appels ne sont toujours pas décrochés malgré une bonne configuration technique, consultez notre guide sur les autres raisons de non-décroché — le spam n'est pas le seul facteur.

À propos de l'auteur

Huhu

Rédacteur HUHU.fr

Tout ce que vous devez savoir sur la téléphonie pour vos équipes commerciales. Nous cherchons à vous proposer un maximum d'articles afin de vous accompagner dans votre croissance commerciale.

Articles sur Techniques

Robocall Detection : Comment Détecter les Appels Automatisés en 2026
Techniques

Robocall Detection : Comment Détecter les Appels Automatisés en 2026

Découvrez les technologies de détection des robocalls : STIR/SHAKEN, SIP Analytics, ML et CAPTCHA. Guide complet pour protéger votre entreprise des appels automatisés.

13 févr. 202610 min
Prospection téléphonique B2C : exemples d'accroches qui marchent vraiment en 2026
Techniques

Prospection téléphonique B2C : exemples d'accroches qui marchent vraiment en 2026

En 2026, le Français décroche et raccroche en 10 secondes. Découvrez les accroches téléphoniques B2C qui fonctionnent vraiment face à un consommateur transformé par le COVID, l'inflation et les arnaques.

7 févr. 202613 min
Analyser les raisons de non-décrochés : au-delà du spam
Techniques

Analyser les raisons de non-décrochés : au-delà du spam

Vos prospects ne décrochent pas ? Le spam n'est pas la seule cause. Découvrez les 7 facteurs qui impactent votre taux de décroché et comment les diagnostiquer.

5 févr. 20265 min
Numéros géographiques vs mobiles : quel impact sur la joignabilité B2C
Techniques

Numéros géographiques vs mobiles : quel impact sur la joignabilité B2C

Géographique, mobile ou VoIP ? Découvrez comment le choix de votre préfixe téléphonique impacte directement vos taux de décroché et votre joignabilité B2C.

4 févr. 20264 min
Réchauffement de numéros neufs : protocole complet pour éviter le blacklist immédiat
Techniques

Réchauffement de numéros neufs : protocole complet pour éviter le blacklist immédiat

Protocole complet de réchauffement pour numéros neufs : 4 phases, volumes jour par jour et KPIs pour éviter le blacklist dès l'activation.

4 févr. 20261 min
Dialer prédictif vs progressif : impact sur le taux de signalement spam
Techniques

Dialer prédictif vs progressif : impact sur le taux de signalement spam

Dialer prédictif ou progressif ? Découvrez l'impact de votre automate d'appels sur le taux de signalement spam et la réputation téléphonique de votre call center.

2 févr. 202611 min

Articles Recommandés

Bloctel 2025 : tout ce qui change pour les entreprises
Reglementation

Bloctel 2025 : tout ce qui change pour les entreprises

Nouvelles règles Bloctel 2025 : horaires d'appels, sanctions jusqu'à 375 000€, secteurs interdits. Guide complet pour les entreprises et call centers qui veulent rester conformes.

1 janv. 20264 min
Le démarchage téléphonique B2B : règles différentes ?
Reglementation

Le démarchage téléphonique B2B : règles différentes ?

Bloctel, RGPD, horaires : les règles du démarchage B2B sont-elles vraiment différentes du B2C ? Guide complet pour la prospection inter-entreprises.

1 févr. 20263 min
RGPD et démarchage téléphonique : les règles essentielles en 2026
Reglementation

RGPD et démarchage téléphonique : les règles essentielles en 2026

Consentement, intérêt légitime, Bloctel, horaires encadrés... Découvrez toutes les règles RGPD et légales qui encadrent le démarchage téléphonique en France en 2026.

2 janv. 20264 min
Leads opt-in et mise en relation immédiate : quelles règles pour appeler ?
leads

Leads opt-in et mise en relation immédiate : quelles règles pour appeler ?

Vous achetez des leads chauds opt-in pour rappel immédiat ? Consentement transférable, délai de 24-48h, Bloctel : toutes les règles RGPD à respecter pour rester conforme.

26 janv. 20265 min
Truecaller, Hiya, Orange : quel anti-spam choisir ?
Outils

Truecaller, Hiya, Orange : quel anti-spam choisir ?

Quel anti-spam téléphonique choisir ? Comparatif complet Truecaller, Hiya et Orange avec avantages, inconvénients et recommandations selon vos besoins.

16 janv. 20265 min
Top 10 des fournisseurs de leads B2C en assurance (2026)
leads

Top 10 des fournisseurs de leads B2C en assurance (2026)

Comparatif des meilleurs fournisseurs de leads assurance B2C en France : Yacla, Masterlead, MyLeads... Prix, qualité, opt-in et volumes comparés.

27 janv. 20263 min

Protégez vos numéros dès maintenant

Surveillez la réputation de vos numéros et anticipez les blocages avant qu'ils n'impactent vos conversions