Intégration Brevo / GUIDE TECHNIQUE
Créer votre clé API Brevo : accès SMTP et contacts
Avant de connecter Brevo à votre logiciel sur mesure, il faut générer une clé API avec les bons accès. Ce guide vous explique la procédure complète, de la création dans les paramètres Brevo à la transmission sécurisée des identifiants.
LES ÉTAPES
3 étapes pour créer et sécuriser vos identifiants API Brevo
Avant de connecter Brevo à votre logiciel sur mesure, il faut générer les bons identifiants avec les bonnes permissions. Voici les étapes à suivre.
Accéder aux paramètres API Brevo
Connexion au compte Brevo, menu profil en haut à droite, section SMTP et API, puis onglet Clés API. C'est depuis cet écran que sont générées toutes les clés d'accès à l'API REST et SMTP.
Créer une nouvelle clé API avec un nom descriptif
Clic sur 'Générer une nouvelle clé API', saisie d'un nom descriptif incluant l'environnement et le connecteur (ex: Connecteur-LogicielSurMesure-Production). La valeur de la clé est affichée une seule fois après la création.
Sécuriser et transmettre la clé API
Stockage en variable d'environnement dans le logiciel, jamais dans le code source versionné. Transmission via gestionnaire de mots de passe partagé, jamais par email ou messagerie en clair.
Étape 1 : Accéder aux paramètres API Brevo
Naviguer vers la section SMTP et API
- Connectez-vous à votre compte Brevo sur app.brevo.com
- Cliquez sur votre nom de compte ou votre avatar en haut à droite
- Sélectionnez Paramètres dans le menu déroulant puis SMTP et API dans le menu de gauche
- Cliquez sur l’onglet Clés API et MCP
Vous voyez la liste de vos clés existantes et le bouton pour en créer une nouvelle.
Étape 2 : Créer la clé API
Nommer la clé
- Cliquez sur Générer une nouvelle clé API
- Saisissez un nom descriptif qui identifie l’usage et l’environnement :
Connecteur-LogicielSurMesure-ProductionSync-Contacts-StagingImport-Initial
- Copier la clé immédiatement : Brevo affiche la valeur de la clé une seule fois lors de la génération Copiez-la immédiatement dans un gestionnaire de secrets. La clé ressemble à :
xkeysib-a1b2c3d4e5f6...Si vous fermez cette fenêtre sans avoir copié la clé, elle ne sera plus affichable. Il faudra en créer une nouvelle et mettre à jour votre configuration.
- Cliquez sur OK
Un bon nommage est essentiel pour identifier rapidement quelle clé appartient à quel connecteur et pouvoir la révoquer précisément en cas de problème.
Étape 3 : Sécuriser et transmettre la clé API
Stockage en variable d’environnement
La clé API ne doit jamais être écrite dans le code source ou versionnée dans git. Stockez-la en variable d’environnement dans votre logiciel :
# .env.local (ajouté dans .gitignore, jamais versionné)
BREVO_API_KEY=xkeysib-votre-cle-api-brevoUtilisation dans le code Symfony avec le bundle getbrevo/brevo-php :
// Configuration du client Brevo
public function __construct(
#[Autowire(env: 'BREVO_API_KEY')] string $apiKey
) {
$this->client = new \Brevo\Brevo(apiKey: $apiKey);
}Format du header d’authentification
Pour les appels API REST directs (sans SDK), le header d’authentification Brevo est :
curl -X GET https://api.brevo.com/v3/contacts \
-H "api-key: xkeysib-votre-cle-api-brevo" \
-H "accept: application/json"Attention : contrairement à d’autres API (comme Attio ou HubSpot), Brevo utilise
le header api-key (pas Authorization: Bearer).
Transmission à SmartBooster
Pour transmettre la clé API à l’équipe SmartBooster lors de l’intégration :
- Utiliser un gestionnaire de mots de passe partagé (Bitwarden, 1Password, Dashlane)
- Ne jamais envoyer par email, SMS ou messagerie en clair (Slack, Teams, WhatsApp)
- Créer une note sécurisée avec : la clé API, le compte Brevo concerné et l’environnement (développement, staging, production)
Vérifier l’accès
Avant de lancer les tests d’intégration, vérifiez que la clé fonctionne avec un appel de test :
curl -X GET https://api.brevo.com/v3/account \
-H "api-key: VOTRE_CLE_API"La réponse doit retourner les informations de votre compte (email, plan, crédits restants). Une erreur 401 indique que la clé est incorrecte ou révoquée.
Accès SMTP Brevo (si nécessaire)
Si votre logiciel utilise le SMTP Brevo plutôt que l’API REST (via Symfony Mailer, PHPMailer ou une bibliothèque SMTP standard), les identifiants SMTP sont différents de la clé API.
Récupérer les identifiants SMTP
- Dans SMTP et API, restez sur l’onglet SMTP
- Les identifiants sont :
- Serveur SMTP :
smtp-relay.brevo.com - Port : 587 (TLS) ou 465 (SSL)
- Login : votre adresse email Brevo
- Mot de passe : la clé SMTP affichée dans cet écran (différente de la clé API)
- Serveur SMTP :
Configuration dans Symfony Mailer
# config/packages/mailer.yaml
framework:
mailer:
dsn: 'smtp://LOGIN:MOT_DE_PASSE_SMTP@smtp-relay.brevo.com:587'Bonne pratique : utiliser l’API REST pour les envois transactionnels depuis un connecteur métier (meilleure gestion des erreurs, webhooks de statut). Le SMTP est adapté pour les bibliothèques qui ne supportent pas nativement l’API Brevo.
Références
Étape 3 : Sécurité
Sécuriser et transmettre votre token
Un token Brevo donne accès à vos données métier. Quelques règles simples évitent les fuites accidentelles et permettent une révocation rapide en cas de problème.
Ne jamais committer le token
Un token dans un dépôt git (même privé) est une fuite de sécurité. Il doit toujours passer par une variable d'environnement dans votre .env local, jamais dans le code source.
Variable d'environnement côté serveur
Sur Clever Cloud (notre infrastructure d'hébergement), les variables d'environnement sont configurées depuis la console et injectées au démarrage de l'application. Elles ne sont jamais exposées côté client.
Comment nous le transmettre
Utilisez un gestionnaire de mots de passe partagé (Bitwarden, 1Password) ou notre formulaire de partage sécurisé. Jamais par email ou par message Slack en clair.
FAQ
Les réponses à vos questions
Et si vous ne trouvez pas ce que vous cherchez, nous serons ravis de vous répondre en direct lors d'un rendez-vous entre humains !
Oui. Une clé API Brevo v3 donne accès à l'intégralité de l'API REST : contacts, listes, emails transactionnels (SMTP), campagnes, templates, webhooks et CRM deals. Brevo ne propose pas de scopes granulaires par fonctionnalité sur les clés API standard. C'est pourquoi il est recommandé de créer une clé distincte par environnement (développement, staging, production) pour pouvoir révoquer un accès précis sans impacter les autres.
Oui. Brevo ne limite pas le nombre de clés API. Bonne pratique : une clé par environnement et par connecteur. Ainsi, une clé compromise peut être révoquée sans affecter les autres intégrations en production. Les noms des clés doivent être suffisamment descriptifs pour identifier rapidement leur usage dans la liste des clés actives.
Non. La clé API (header api-key) est utilisée pour l'API REST Brevo : créer des contacts, lire des statistiques, déclencher des campagnes. Le SMTP Brevo utilise un login email + mot de passe SMTP distincts (disponibles dans le même écran SMTP et API). SmartBooster utilise en priorité l'API REST pour les intégrations : elle est plus flexible et retourne des statuts d'erreur précis. Le SMTP est utilisé comme alternative pour les bibliothèques d'envoi qui ne supportent que ce protocole.
Dans les paramètres Brevo, section SMTP et API > Clés API, cliquez sur la corbeille à côté de la clé à supprimer. La révocation est immédiate : tous les appels API utilisant cette clé retournent une erreur 401. Créez une nouvelle clé, mettez à jour la variable d'environnement dans le logiciel et vérifiez le bon fonctionnement avant de fermer l'ancienne clé.
Pour aller plus loin
Approfondir votre réflexion
Portail client, tableau de bord, synchronisation : découvrez tous les cas d'usages que nous pouvons développer avec l'API Brevo.
Symfony, Vue.js, Clever Cloud : les technologies que nous utilisons pour développer des connecteurs robustes et maintenables.