skip to content
Sécurité & conformité

OSINT défensif : auditer et réduire l'exposition numérique de votre entreprise

Quatrième chapitre du guide OSINT : adoptez une posture défensive pour identifier et réduire l'exposition numérique de votre organisation.

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
10 min de lecture
osint , cybersécurité , audit , sécurité entreprise
Guide pratique d'OSINT défensif : auditez l'exposition numérique de votre entreprise, identifiez les fuites et réduisez votre surface d'attaque.
Guide OSINT Chapitre 4 sur 5
Voir le guide →

Que voit un attaquant lorsqu’il regarde votre entreprise depuis l’extérieur ? Quelles informations peut-il collecter en quelques minutes, sans jamais toucher vos systèmes, simplement en exploitant des sources publiques ? La réponse est presque toujours plus inquiétante que ce que les dirigeants imaginent.

La plupart des cyberattaques réussies commencent par une phase de reconnaissance OSINT. L’attaquant cartographie sa cible, identifie les points d’entrée, collecte les identifiants exposés et construit un profil détaillé de l’organisation avant même de lancer la moindre attaque technique. Selon l’ANSSI, plus de 80 % des attaques ciblées s’appuient sur des informations librement accessibles pour leur phase initiale.

L’OSINT défensif consiste à retourner cette logique : utiliser les mêmes techniques et outils que les attaquants, mais contre sa propre organisation, pour identifier et corriger les expositions avant qu’elles ne soient exploitées. Ce chapitre vous guide pas à pas dans la réalisation d’un audit d’exposition numérique complet.

Qu’est-ce que l’OSINT défensif ?

L’OSINT défensif désigne l’utilisation proactive des techniques de renseignement en source ouverte pour évaluer et réduire l’empreinte numérique de sa propre organisation. Il s’agit de se placer dans la posture de l’attaquant pour comprendre ce qu’il peut découvrir.

Ce qui distingue l’OSINT défensif du pentest

Le test d’intrusion (pentest) tente activement d’exploiter des vulnérabilités techniques pour pénétrer un système. L’OSINT défensif, en revanche, se limite aux données publiquement accessibles sans interaction directe avec les systèmes cibles. Il ne nécessite pas d’autorisation particulière puisqu’il n’y a aucune tentative d’intrusion.

Les différences clés :

  • Périmètre : le pentest cible les vulnérabilités techniques ; l’OSINT défensif cible l’exposition informationnelle dans son ensemble.
  • Intrusivité : le pentest interagit avec les systèmes ; l’OSINT défensif consulte exclusivement des sources publiques.
  • Compétences requises : le pentest exige une expertise technique avancée ; l’OSINT défensif est accessible à tout professionnel formé.
  • Complémentarité : l’OSINT défensif identifie les informations qui faciliteraient un pentest ; le pentest valide si ces informations sont exploitables.

Pourquoi chaque organisation devrait le pratiquer

L’exposition numérique est cumulative et involontaire. Chaque publication LinkedIn, chaque offre d’emploi, chaque document PDF mis en ligne, chaque enregistrement DNS ajoute une pièce au puzzle qu’un attaquant peut assembler. Sans audit régulier, cette exposition croît silencieusement jusqu’à devenir une surface d’attaque significative.

Auditer l’empreinte numérique de votre entreprise

Un audit OSINT défensif structuré se décompose en cinq phases, chacune ciblant un type d’exposition spécifique.

Phase 1 : Domaines et infrastructure

Cette première phase cartographie l’exposition technique de l’organisation.

Enregistrements DNS : Interrogez les enregistrements DNS publics de vos domaines (A, MX, TXT, CNAME, NS). Les enregistrements TXT révèlent souvent les services tiers utilisés (Google Workspace, Microsoft 365, Salesforce) via les entrées SPF et les vérifications de domaine. Ces informations indiquent à un attaquant quels services cibler.

Sous-domaines : Utilisez des outils comme Subfinder, Amass ou simplement site:*.entreprise.fr sur Google pour inventorier vos sous-domaines. Des sous-domaines oubliés (test.entreprise.fr, staging.entreprise.fr, old-intranet.entreprise.fr) hébergent fréquemment des applications obsolètes et vulnérables.

Services exposés via Shodan : La requête org:"Nom de l'entreprise" ou hostname:entreprise.fr sur Shodan révèle tous les services accessibles depuis Internet sur vos adresses IP. Portez une attention particulière aux bases de données exposées (MongoDB, Elasticsearch, Redis sur les ports par défaut), aux interfaces d’administration et aux services utilisant des versions logicielles obsolètes.

Certificats SSL : Les registres de Certificate Transparency (consultables via crt.sh) listent tous les certificats SSL émis pour vos domaines, révélant potentiellement des sous-domaines internes ou des environnements de développement.

Phase 2 : Présence sociale et humaine

L’exposition humaine est souvent la plus critique et la moins contrôlée.

Profils LinkedIn de l’organisation : Les profils des collaborateurs révèlent l’organigramme, les technologies utilisées en interne, les projets en cours et les compétences recherchées. Un attaquant peut reconstituer l’architecture technique d’une entreprise uniquement à partir des intitulés de poste et des compétences listées par ses employés.

Offres d’emploi : Vos offres d’emploi sont une mine d’or pour un attaquant. Une annonce pour un “Administrateur système Windows Server 2019 / VMware vSphere” indique précisément la stack technique. Une offre mentionnant “migration vers Azure” révèle un projet en cours et donc une période de vulnérabilité potentielle.

Réseaux sociaux des collaborateurs : Sans violer la vie privée des salariés, vérifiez si des informations professionnelles sensibles sont partagées publiquement : photos de badges, captures d’écran d’outils internes, localisations de sites sensibles, discussions techniques sur des forums publics.

Phase 3 : Fuites de données

Cette phase identifie les données de l’organisation déjà compromises et circulant sur Internet.

Have I Been Pwned : Le service de Troy Hunt permet de vérifier si des adresses email de votre domaine apparaissent dans des bases de données piratées. Pour un domaine entier, l’API payante permet un audit exhaustif. Chaque adresse compromise est un vecteur potentiel de credential stuffing (réutilisation d’identifiants volés sur d’autres services).

Paste sites et forums : Des données d’entreprise (identifiants, extraits de bases de données, documents internes) sont régulièrement publiées sur des sites de type Pastebin, des forums spécialisés ou des canaux Telegram. Des outils comme IntelX ou SpiderFoot automatisent cette surveillance.

Dark web : Sans s’aventurer directement, des services comme Flare, Recorded Future ou SpiderFoot HX surveillent les mentions de votre organisation sur les marchés et forums du dark web, identifiant la mise en vente potentielle de données volées ou d’accès compromis.

Phase 4 : Documents exposés et métadonnées

Les documents publiés en ligne contiennent souvent bien plus d’informations que leur contenu visible.

Google Dorking ciblé : Les requêtes site:entreprise.fr filetype:pdf OR filetype:docx OR filetype:xlsx identifient tous les documents bureautiques indexés. Recherchez également site:entreprise.fr "confidentiel" OR "interne" OR "ne pas diffuser" pour détecter des fuites de documents classifiés.

Métadonnées des fichiers : Chaque document PDF, Word ou image contient des métadonnées : nom de l’auteur, logiciel utilisé, chemin du fichier sur le disque, parfois même le nom du serveur interne. L’outil FOCA ou ExifTool permet d’extraire systématiquement ces métadonnées. Un seul document PDF peut révéler le nom d’utilisateur Active Directory de son auteur, la version d’Office utilisée et le chemin réseau interne de l’entreprise.

Le metadata stripping (nettoyage des métadonnées) devrait être systématique avant toute publication en ligne. La plupart des organisations ne le pratiquent pas.

Phase 5 : Informations financières et légales

Les registres publics français fournissent un volume considérable d’informations exploitables.

Registres d’entreprise : Infogreffe, Societe.com et Pappers donnent accès aux statuts, aux comptes annuels déposés, à l’identité des dirigeants, aux adresses de siège et d’établissements. Ces informations facilitent l’ingénierie sociale en fournissant des éléments de crédibilité (chiffre d’affaires, noms de dirigeants, adresses).

BODACC : Le Bulletin officiel des annonces civiles et commerciales publie les créations, modifications et radiations d’entreprises, ainsi que les procédures collectives. Un attaquant ciblant une entreprise en difficulté financière sait que les budgets de sécurité sont probablement réduits.

Décisions de justice : Les bases de données juridiques publiques (Legifrance, décisions de la CNIL) peuvent révéler des contentieux passés, des sanctions pour non-conformité RGPD ou des litiges révélant des failles organisationnelles.

Scénario concret : 30 minutes pour profiler une PME française

Voici ce qu’un attaquant peut découvrir en une demi-heure sur une PME française typique, sans jamais toucher ses systèmes. Les détails sont anonymisés, mais le scénario est représentatif de centaines d’audits réels.

Minutes 0-5 : Reconnaissance de base Une recherche Google et une consultation de Societe.com révèlent le nom du dirigeant, l’adresse du siège, le chiffre d’affaires, le nombre de salariés et le code NAF. LinkedIn confirme l’organigramme : un DSI, deux développeurs, un responsable commercial.

Minutes 5-10 : Cartographie technique La requête Shodan org:"PME Exemple" identifie 4 adresses IP publiques. L’une d’elles expose un serveur Apache 2.4.41 (version présentant des vulnérabilités connues) avec une interface phpMyAdmin accessible sans restriction d’IP. Les enregistrements DNS révèlent l’utilisation de Microsoft 365 et d’un VPN Fortinet.

Minutes 10-15 : Exposition humaine Les profils LinkedIn des développeurs mentionnent PHP 7.4, Laravel, MySQL et un déploiement sur AWS. Une offre d’emploi récente pour un “DevOps AWS / Kubernetes” confirme une migration cloud en cours. Le DSI a publié un article sur LinkedIn décrivant la refonte de l’ERP interne, mentionnant le prestataire choisi.

Minutes 15-20 : Fuites et documents Have I Been Pwned signale 3 adresses email du domaine dans des fuites connues (LinkedIn 2021, Dropbox 2012). Un Google Dork site:pme-exemple.fr filetype:pdf remonte 47 documents PDF dont un rapport d’audit interne et un plan de continuité d’activité. Les métadonnées d’un PDF révèlent le nom d’utilisateur Active Directory “jdupont-admin” et un chemin réseau \\SRV-FICHIERS\Direction\Comité.

Minutes 20-30 : Synthèse et vecteurs d’attaque En 30 minutes, l’attaquant dispose de suffisamment d’éléments pour :

  • Lancer une attaque de phishing ciblé (spear phishing) en se faisant passer pour le prestataire ERP, avec des détails crédibles
  • Tenter du credential stuffing avec les identifiants des 3 comptes compromis
  • Cibler l’interface phpMyAdmin exposée
  • Exploiter la vulnérabilité Apache connue
  • Construire un prétexte d’ingénierie sociale crédible basé sur la migration cloud en cours

Ce scénario n’est pas exceptionnel. La majorité des PME françaises présentent un profil d’exposition comparable. La différence se fait dans la capacité à identifier et corriger ces expositions avant qu’elles ne soient exploitées.

Réduire votre surface d’exposition

L’audit n’a de valeur que s’il débouche sur des actions correctives. Voici les mesures organisées par domaine.

Actions techniques

  • Nettoyer les enregistrements DNS : supprimer les entrées obsolètes, les sous-domaines inutilisés, les enregistrements TXT qui ne sont plus nécessaires.
  • Fermer les services exposés inutilement : chaque port ouvert sur Internet doit être justifié. Les interfaces d’administration (phpMyAdmin, panels de gestion) ne doivent jamais être accessibles sans VPN ou restriction IP.
  • Mettre à jour les logiciels exposés : les versions logicielles visibles sur Shodan doivent être à jour. Un serveur Apache ou Nginx obsolète est une invitation à l’exploitation.
  • Pratiquer le metadata stripping systématique : configurer les outils bureautiques pour supprimer automatiquement les métadonnées avant publication. Mettre en place un processus de vérification avant toute mise en ligne de documents.
  • Surveiller le typosquatting : vérifier régulièrement si des noms de domaine proches du vôtre (fautes de frappe courantes, extensions alternatives) ont été enregistrés par des tiers.

Actions organisationnelles

  • Définir une politique de publication : encadrer ce que les collaborateurs peuvent partager publiquement sur les technologies, projets et organisations internes.
  • Contrôler les offres d’emploi : limiter les détails techniques dans les annonces. Préférer “Expérience en administration système” à “Administrateur Windows Server 2019 / VMware 7.0 / Veeam”.
  • Encadrer la communication sur les réseaux sociaux : sensibiliser les collaborateurs aux informations qu’ils partagent involontairement (photos de bureau avec écrans visibles, badges, localisations).
  • Inventorier et contrôler le shadow IT : recenser les services cloud utilisés sans validation de la DSI (Trello, Notion, Google Drive personnel). Chaque service non maîtrisé est un point d’exposition supplémentaire.

Actions RH et protection des dirigeants

  • Procédures d’onboarding : intégrer une sensibilisation OSINT dès l’arrivée d’un nouveau collaborateur, incluant les bonnes pratiques de publication en ligne.
  • Procédures d’offboarding : à chaque départ, vérifier la désactivation de tous les comptes, le retrait des accès aux outils cloud et la mise à jour des informations publiques (LinkedIn de l’entreprise, page équipe du site web).
  • Protection des dirigeants (executive protection) : les dirigeants et cadres clés font l’objet d’un ciblage spécifique (fraude au président, spear phishing). Auditer régulièrement leur exposition personnelle : adresses email dans des fuites, informations personnelles accessibles, réseaux sociaux.

Actions continues

  • Monitoring régulier : planifier un audit OSINT défensif trimestriel minimum. Automatiser la surveillance avec des outils comme SpiderFoot ou des alertes Google sur le nom de l’entreprise et de ses dirigeants.
  • Veille sur les fuites : s’abonner aux notifications Have I Been Pwned pour le domaine de l’entreprise. Surveiller les paste sites et les marchés du dark web via des services spécialisés.
  • Mesurer l’évolution : documenter les résultats de chaque audit pour suivre la réduction de l’exposition dans le temps.

Checklist d’audit OSINT défensif

Priorité critique

  • Vérifier les services exposés sur Shodan (org: et hostname:) — Responsable : DSI
  • Contrôler les adresses email du domaine sur Have I Been Pwned — Responsable : DSI/RSSI
  • Inventorier les sous-domaines et fermer ceux qui sont obsolètes — Responsable : DSI
  • Vérifier l’absence d’interfaces d’administration exposées sans protection — Responsable : DSI

Priorité importante

  • Auditer les métadonnées des documents publiés sur le site web — Responsable : Communication/DSI
  • Vérifier les informations révélées par les offres d’emploi — Responsable : RH/DSI
  • Contrôler les profils LinkedIn des collaborateurs clés — Responsable : RH/Communication
  • Scanner les registres de Certificate Transparency (crt.sh) — Responsable : DSI
  • Vérifier l’existence de domaines typosquattés — Responsable : DSI/Juridique

Priorité recommandée

  • Auditer l’exposition des dirigeants (informations personnelles, fuites) — Responsable : DPO/Direction
  • Recenser le shadow IT via une enquête interne — Responsable : DSI
  • Vérifier les informations publiées dans les registres légaux (Infogreffe, BODACC) — Responsable : DPO/Juridique
  • Mettre en place un monitoring continu (alertes Google, SpiderFoot) — Responsable : DSI/RSSI
  • Documenter la politique de publication et former les équipes — Responsable : RH/Communication

Passer de l’audit à la posture de sécurité

L’OSINT défensif n’est pas un exercice ponctuel : c’est une discipline continue qui s’intègre dans la stratégie de sécurité globale de l’organisation. Les informations exposées aujourd’hui seront exploitées demain. Chaque audit réduit la surface d’attaque ; chaque négligence l’augmente.

Dans le prochain et dernier chapitre de ce guide, nous aborderons le cadre légal et éthique qui encadre la pratique de l’OSINT en France et en Europe, incluant les implications du RGPD, les limites de la collecte d’informations et les bonnes pratiques pour rester dans un cadre licite.

Vous souhaitez faire réaliser un audit OSINT défensif complet de votre organisation ? Parlons-en — nos équipes interviennent sur site ou à distance.

Notions essentielles abordées

OSINT défensif

Utilisation proactive des techniques de renseignement en source ouverte contre sa propre organisation pour identifier les informations exposées et réduire la surface d'attaque avant qu'un attaquant ne les exploite.

Surface d'attaque informationnelle

Ensemble des informations publiquement accessibles sur une organisation (données techniques, humaines, financières) qui peuvent être exploitées pour préparer une cyberattaque ou une opération d'ingénierie sociale.

Empreinte numérique

Totalité des traces laissées en ligne par une organisation et ses collaborateurs : sites web, profils sociaux, documents publiés, enregistrements DNS, mentions dans des bases de données tierces.

Metadata stripping

Processus de suppression des métadonnées intégrées dans les fichiers (auteur, chemin réseau, logiciel, dates) avant leur publication en ligne, afin d'éviter la fuite involontaire d'informations internes.

Credential stuffing

Technique d'attaque automatisée consistant à tester des couples identifiant/mot de passe issus de fuites de données sur de multiples services, exploitant la réutilisation de mots de passe par les utilisateurs.

Lire l'article →

Typosquatting

Enregistrement de noms de domaine proches d'un domaine légitime (fautes de frappe, extensions alternatives) dans le but de tromper les utilisateurs, intercepter des emails ou mener des campagnes de phishing.

Shadow IT

Ensemble des outils, services cloud et applications utilisés par les collaborateurs sans validation ni supervision de la DSI, créant des points d'exposition non maîtrisés et des risques de fuite de données.

Executive protection

Démarche de protection spécifique des dirigeants et cadres clés contre les attaques ciblées (fraude au président, spear phishing), incluant l'audit régulier de leur exposition numérique personnelle.

📚 Sources et références

Institutions et guides officiels

Outils de vérification d'exposition

Ressources complémentaires

Pour aller plus loin

Sécurité & conformité

Outils OSINT : méthodes et frameworks pour le renseignement en source ouverte

Les outils OSINT essentiels pour les entreprises : Google Dorking, Maltego, SpiderFoot, Shodan et frameworks d'investigation structurés.

Lire l'article → Sécurité & conformité

OSINT et cadre légal : RGPD, éthique et limites juridiques en France et en Europe

Cadre juridique de l'OSINT en France et en Europe : RGPD, AI Act, NIS2, droit à l'image, limites légales et bonnes pratiques éthiques.

Lire l'article → Sécurité & conformité

5 étapes pour améliorer la sécurité et la conformité de vos données en entreprise

Découvrez comment vous adapter aux réglementations sur la confidentialité des données pour éviter les amendes sévères et se mettre en conformité.

Lire l'article → Gouvernance des données

Les meilleures pratiques en matière de protection des données

Apprenez les meilleures pratiques en matière de protection des données pour garantir la sécurité et la confidentialité des informations.

Lire l'article →