ESENRODEFRIT
Contact

Audit OSINT corporate · Exposition réelle vue par un attaquant | OCIRIA

Ce qu'un attaquant voit de votre entreprise, sans rien toucher. Rapport exécutif et technique, 100% légal et passif.

Audit OSINT corporate

L'exposition réelle de votre organisation, vue par un attaquant

OSINT (Open Source Intelligence · renseignement en sources ouvertes) est la discipline qui collecte, corrèle et analyse l'information publiquement disponible pour construire un profil d'une cible. C'est la première chose que fait n'importe quel attaquant moyennement sérieux avant de passer à l'action. Savoir ce qui est à découvert sur vous avant que quelqu'un avec de moins bonnes intentions ne l'utilise est élémentaire.

---

Ce que c'est

Un audit OSINT corporate est un travail de renseignement, pas de pentesting. Nous ne testons pas de vulnérabilités, n'accédons pas à vos systèmes, n'envoyons pas d'emails sous prétexte. La seule chose que nous faisons est de collecter, à partir de sources ouvertes et légitimes exclusivement, toute l'information qu'un attaquant à motivation modérée avec dix jours de dédication pourrait obtenir sur votre organisation.

Le résultat se lit de deux façons. La première est défensive : il montre quelles informations sont exposées sans que l'entreprise le sache (identifiants fuités, documents internes publiés par erreur, infrastructure oubliée dans le cloud d'un ancien fournisseur). La seconde est de renseignement : il montre comment un attaquant construirait le cas d'attaque à partir de cette information (quel dirigeant est vulnérable à l'ingénierie sociale, quel fournisseur faible est la voie la plus probable, quel service exposé est le plus exploitable).

La différence avec un scan automatisé de surface d'attaque est qu'ici il y a un analyste humain qui corrèle les pièces, pas un script qui exécute des règles. Le rapport est rédigé en langage clair pour la direction et en langage technique pour l'équipe, sans gonfler les constats ni les cacher derrière du jargon.

---

Quand vous en avez besoin

Après une fusion, acquisition ou changement organisationnel significatif. Chaque changement intègre de nouveaux domaines, infrastructure héritée, employés avec de nouveaux profils publics et contrats hérités avec des fournisseurs technologiques. La carte change vite et beaucoup de choses restent à moitié intégrées. Un audit OSINT après le changement identifie les lacunes.

Avant une opération corporate significative. Introduction en bourse, levée importante, contrat stratégique qui change votre profil d'exposition. Le questionnaire de l'acheteur ou de l'investisseur inclura des questions sur l'exposition numérique. Mieux vaut répondre à partir d'un rapport interne récent que de l'improvisation.

Après un incident ou suspicion de fuite. S'il y a eu tentative de rançongiciel, fraude par usurpation du CFO, fuite chez un fournisseur, ou simplement un email de phishing qui est presque passé, un audit OSINT détermine si des informations de votre organisation circulent dans des lieux qui justifient des alertes supplémentaires.

Comme pratique récurrente. Nous recommandons de le répéter annuellement, ou après des changements importants. L'exposition n'est pas statique : chaque nouvel employé, chaque nouvel outil SaaS contracté, chaque document publié sur le web ajoute de la surface.

---

Comment nous travaillons

Phase 1 · Périmètre et autorisation (jours 1-2). Nous convenons par écrit du périmètre : domaines, marques, profils dirigeants clés, géographies et fournisseurs dans le périmètre. Nous signons une autorisation formelle (nécessaire de notre côté pour réaliser le travail avec couverture légale propre) et un accord de confidentialité du vôtre.

Phase 2 · Collecte (semaine 1-2). Travail de terrain en OSINT passif : énumération de domaines et sous-domaines, analyse de certificats, inventaire d'infrastructure exposée, recherche dans bases publiques de fuites, analyse de la présence des dirigeants dans réseaux professionnels et forums, identification de documents internes publiés par erreur, revue de dépôts publics pour fuite d'identifiants ou secrets, identification d'usurpations actives (domaines similaires, faux profils), corrélation avec fournisseurs technologiques clés.

Phase 3 · Analyse et priorisation (semaine 2-3). Nous croisons les constats. Un identifiant fuité isolé est une donnée ; un identifiant fuité du responsable financier combiné à un domaine similaire récemment enregistré est un scénario de fraude imminente. Nous priorisons par probabilité d'exploitation et impact, pas par volume.

Phase 4 · Livraison et présentation (semaine 3). Nous livrons deux rapports et les présentons : un exécutif à la direction (ce que nous avons trouvé, ce que cela signifie, que faire dans les quatre-vingt-dix prochains jours) et un technique à l'équipe (chaque constat avec preuve, source, date de capture et recommandation opérationnelle spécifique).

---

Ce que nous livrons

---

Pour qui

Organisations avec présence numérique significative, dirigeants visibles ou exposition à l'ingénierie sociale. Particulièrement utile pour :

---

FAQ

Est-il légal de faire un audit OSINT sur notre propre entreprise ?

Oui, dans le périmètre que vous nous autorisez. Nous travaillons exclusivement avec des sources ouvertes et des techniques passives. Nous n'accédons pas à vos systèmes ni à ceux de tiers, ne nous faisons passer pour personne, ne contactons pas d'employés. L'autorisation écrite que nous signons avant de commencer nous couvre face aux malentendus et vous couvre face aux auditeurs qui demanderaient pourquoi un tiers collectait des données sur l'organisation.

Combien de temps dure le travail ?

Trois semaines depuis la signature de l'autorisation formelle et le kick-off. Si le périmètre est très large (groupe international avec dizaines de filiales et marques), il est segmenté en vagues pour maintenir la qualité de l'analyse humaine.

Quelle différence entre cela et un pentesting ?

Le pentesting teste activement les vulnérabilités, en touchant vos systèmes avec autorisation. OSINT ne touche rien : il ne fait que collecter et analyser ce qui est déjà public. Ils sont complémentaires ; OSINT précède généralement le pentesting pour que ce dernier aille focalisé sur ce qui compte vraiment.

Que se passe-t-il si vous trouvez quelque chose de grave pendant le travail ?

Nous escaladons immédiatement, sans attendre la livraison finale. S'il y a des identifiants critiques fuités actifs, un domaine similaire utilisé pour de la fraude ou des informations sensibles publiées par erreur, nous vous alertons en moins de 24 heures avec le constat et la recommandation de mitigation immédiate.

Pouvez-vous le faire périodiquement en service géré ?

Oui. Après le premier audit nous pouvons contracter un service de surveillance continue qui surveille les sources pertinentes et vous alerte quand quelque chose change (nouvel identifiant fuité, nouveau domaine similaire, nouvelle mention de votre organisation dans des forums d'activité illicite). Nous en discutons à la clôture si cela a du sens.

Qu'en est-il des données personnelles d'employés qui apparaissent dans les constats ?

Nous traitons des informations minimales nécessaires, anonymisons quand c'est possible et supprimons les preuves en fin de projet sauf rétention convenue avec vous. Nous respectons le RGPD en tant que responsables conjoints du traitement pendant le projet.

---

Cas d'usage typiques

Cas 1 · L'entreprise en plein processus d'acquisition. Entreprise industrielle de cent cinquante employés en cours de vente à un groupe international. L'acheteur exige une due diligence cybersécurité comme condition de fermeture du prix. Nous réalisons l'audit OSINT en trois semaines. Constat principal : trois identifiants fuités actifs d'ex-employés avec accès non révoqués, un domaine similaire en usage inconnu et documentation sensible publiée dans un ancien dépôt de fournisseur IT. L'entreprise clôt les constats avant la due diligence formelle et livre un rapport propre à l'acheteur.

Cas 2 · Le cabinet après tentative de fraude au CFO. Cabinet professionnel subit une tentative de fraude par usurpation du CFO sur un virement. Le virement est arrêté à temps. L'audit OSINT identifie que l'attaquant avait profilé toute la hiérarchie dirigeante à partir de réseaux professionnels publics, connaissait les noms des principaux clients via la presse et avait enregistré un domaine similaire deux mois plus tôt. Plan de mitigation : revue d'exposition des dirigeants, surveillance des domaines similaires, protocole de double vérification pour virements au-dessus d'un seuil.

Cas 3 · Le groupe international en expansion rapide. Groupe de services avec présence dans cinq pays et dix marques, croissance par acquisitions. Audit OSINT axé sur cartographier le vrai périmètre : domaines oubliés de marques acquises, infrastructure non inventoriée, profils publics de dirigeants hérités non actualisés. Résultat : inventaire corrigé avec douze domaines et vingt-trois actifs non comptabilisés précédemment, plan de consolidation ultérieur.

---

Comment commencer ?

La première étape est un diagnostic initial gratuit d'une semaine. Nous convenons du périmètre, vous disons ce que nous trouverions typiquement avec une entreprise de votre profil et vous livrons une proposition concrète sans engagement. Si ce n'est pas pour vous, nous vous le disons.

Écrivez-nous à [[email protected]](mailto:[email protected])

---

Autres services