Un attaquant n’a plus besoin de forcer d'entrer dans vos systèmes pour vous connaître. Il n’a besoin d’aucun accès illégal. En quelques heures de recherche, il peut reconstituer votre organigramme, identifier vos outils techniques, connaître vos prestataires et les noms de vos responsables financiers. Sans déclencher la moindre alerte. Et sans laisser de trace.

Cette phase porte un nom : l’OSINT, pour "Open Source Intelligence". Et elle est aujourd’hui au cœur de la quasi-totalité des cyberattaques ciblées, comme du renseignement.

Ce que voit un attaquant avant même de vous attaquer

Imaginez un scénario simple. Un attaquant choisit votre entreprise comme cible. Il ne lance aucune attaque. Il n’essaie pas de pénétrer vos systèmes. Il ouvre un navigateur, tape votre nom et passe quelques heures à collecter des informations. Lorsqu’il a terminé, peut avoir une bonne idée de vos outils techniques, vos prestataires, vos responsables financiers, l’adresse de vos bureaux et parfois même des identifiants qui circulent à votre insu sur Internet. Ce scénario n’a rien d’hypothétique. Il décrit précisément la réalité des attaques modernes.

L’OSINT ne crée pas le risque. Il révèle ce que les organisations exposent déjà, souvent sans en avoir conscience. Et c’est précisément ce qui le rend aussi redoutable.

L’OSINT : une discipline défensive… devenue offensive

L’OSINT repose sur une méthode rigoureuse : identifier, collecter, analyser et croiser des informations accessibles publiquement. Ces données proviennent de sources que vous utilisez tous les jours : sites web, réseaux sociaux, documents en ligne, bases de données ouvertes, offres d’emploi. Longtemps réservée aux services de renseignement, cette pratique s’est démocratisée. Les équipes cybersécurité l’utilisent pour anticiper les risques. Les journalistes pour enquêter. Les attaquants, eux, l’utilisent pour préparer leurs opérations. La différence ne dépend pas de l'outil, elle réside dans l’intention.

La phase de reconnaissance : quand vos données publiques permettent de cartographier l'entreprise

Avant toute attaque, un cybercriminel cartographie sa cible. Et sa première source d’information, ce sont souvent… vos propres collaborateurs. Un profil LinkedIn qui mentionne des outils comme AWS, Salesforce ou Cisco suffit à reconstituer une partie de votre infrastructure. Un développeur qui détaille ses projets récents expose, sans le vouloir, les technologies utilisées en interne. Une offre d’emploi qui précise votre environnement technique complète le tableau. Ce n’est pas une erreur individuelle. C’est l’absence de cadre clair sur ce qui peut ou non être rendu public.

Les documents diffusés par l’entreprise apportent une couche supplémentaire. Rapports annuels, présentations commerciales, livres blancs : ces fichiers contiennent souvent des métadonnées invisibles à l’œil nu: noms d’utilisateurs, serveurs internes, versions logicielles, arborescences. Des outils gratuits permettent d’en extraire les informations en quelques secondes.

Et il y a ce que les moteurs de recherche révèlent sans effort. Avec des requêtes simples (Google Dorking), un attaquant peut faire remonter des documents internes indexés par erreur : contrats, tableaux de bord, comptes-rendus publiés sans contrôle.

Shodan, ou comment voir ce que votre entreprise expose réellement

Là où Google indexe des pages web, d’autres moteurs vont plus loin. Shodan, par exemple, scanne Internet pour recenser tous les équipements connectés : serveurs, routeurs, objets IoT, bases de données. Une simple requête du type org:NomEntreprise permet de visualiser ce qu’une organisation expose : ports ouverts, services accessibles, systèmes obsolètes, environnements oubliés. Dans certains cas, des infrastructures critiques  jamais destinées à être accessibles se retrouvent visibles en ligne. L’outil est neutre. Mais entre les mains d’un attaquant, il devient un accélérateur de ciblage.

De la collecte à l’attaque : quand tout s’assemble

Pris séparément chaque élément semble anodin. C’est leur combinaison qui crée le risque. Un attaquant qui dispose : du nom de votre responsable financier (trouvé en ligne), du format de vos adresses email (déduit d’un document), du nom de votre expert-comptable (mentionné publiquement) et de votre environnement technique (reconstitué via vos collaborateurs) peut construire une attaque d’une crédibilité redoutable. 

Fraude au président, spear phishing, compromission de comptes : ces attaques fonctionnent parce qu’elles sont parfaitement contextualisées. On estime que 80 % des cyberattaques réussies exploitent une faille humaine. Ce n’est pas une faiblesse individuelle. C’est la conséquence directe d’une exposition numérique jamais évaluée à sa juste mesure.

Ce qu’il faut faire : reprendre le contrôle de votre exposition

La réponse n’est pas de faire disparaître vos collaborateurs d’Internet. C’est d'identifier ce que votre organisation expose, parfois sans le savoir.

Quelques actions structurantes permettent de réduire significativement le risque :

• Auditer votre empreinte numérique

Adoptez le point de vue d’un attaquant. Ce que vous trouvez publiquement, il le trouvera aussi.

• Maîtriser les publications

Offres d’emploi, contenus marketing, communications externes : évitez de détailler inutilement votre environnement technique. Une fiche de poste peut décrire les compétences attendues sans détailler votre stack technique complet. Un guide de bonne pratique peut être réalisé à destination des collaborateurs. 

• Nettoyer les métadonnées

Tout document publié doit être vérifié. Des outils simples permettent d'y supprimer les informations sensibles.

• Sensibiliser les équipes

Sans culpabiliser. Mais en montrant concrètement ce qu’une publication peut révéler.

Retourner l'OSINT à votre avantage

La bonne nouvelle, c’est que les mêmes techniques utilisées par les attaquants peuvent et doivent être utilisées pour se défendre.

L’OSINT n’est pas uniquement un outil d’attaque. C’est un levier puissant pour évaluer son propre niveau d’exposition. Ce que vous pouvez observer sur votre entreprise à partir de sources publiques, un attaquant peut l’observer aussi souvent plus vite, et de manière plus systématique.

Adopter une démarche OSINT défensive, c’est se poser des questions simples mais essentielles : vos identifiants circulent-ils sur Internet ? Des documents internes sont-ils indexés par les moteurs de recherche ? Des serveurs ou sous-domaines oubliés sont-ils encore accessibles depuis l’extérieur ?

Ce travail permet d’identifier des failles invisibles pour les outils de sécurité traditionnels. Il s’inscrit pleinement dans une logique de gestion du risque et de conformité, notamment en matière de détection et de notification des violations de données. Mais surtout, il change de posture. Vous ne subissez plus votre exposition. Vous la mesurez.

Et dans un environnement où l’information est déjà accessible, la vraie différence ne se fait pas sur ce qui est visible mais sur le moment où vous décidez de le regarder.