Audit OSINT pour une chaîne hôtelière européenne

Secteur

Hôtellerie · chaîne boutique de 8 à 12 établissements · Europe centrale et orientale · 250 à 400 collaborateurs.

Situation initiale

En amont d'une levée de fonds, l'équipe dirigeante a demandé de vérifier quelles informations sensibles concernant l'organisation étaient accessibles publiquement. L'inquiétude était née d'un incident récent dans le secteur et de la préparation d'un processus de due diligence au cours duquel les pratiques de traitement des données allaient être auditées.

Approche

Nous avons mené un audit OSINT structuré sur quatre fronts : surface technique (sous-domaines exposés, dépôts publics, buckets non authentifiés), surface documentaire (Scribd, SlideShare, dépôts académiques et portails d'appels d'offres), surface humaine (profils professionnels divulguant des détails d'infrastructure interne) et surface fournisseurs. Les résultats ont été recoupés avec l'inventaire interne fourni sous NDA. Chaque constat a été validé manuellement afin d'écarter les faux positifs avant la remise du rapport.

Résultat

Des documents internes contenant des données personnelles de clients et de collaborateurs avaient été involontairement publiés dans des dépôts externes, ainsi que des identifiants historiques fuités via des violations de tiers. Nous avons conçu un plan de confinement sur cinq jours et préparé la documentation requise pour la notification au régulateur compétent dans les délais prévus par le RGPD.

Enseignement

Les fuites les plus graves proviennent rarement d'une attaque sophistiquée : elles proviennent de processus de routine sans contrôle sur la destination des documents partagés.

Temps et effort

12 à 18 jours calendaires · 35 à 50 heures de conseil · 1 rapport exécutif + 1 rapport technique + 1 plan de remédiation.

Mots-clés

OSINT · RGPD · DPO · Gestion d'incidents · Due diligence · Hygiène documentaire