Cartographie de Menaces OSINT – Organisation

Objectif de la prestation

Dresser un état des lieux structuré de votre exposition OSINT : quelles informations sur votre organisation, vos dirigeants et vos actifs sont exploitables par un acteur malveillant à partir de sources ouvertes.

Contenu de la prestation

• Analyse de la surface d'exposition :
  • Informations publiques sur l'organisation (structure, sites, technologies visibles).
  • Exposition des dirigeants (niveau macro, sans intrusion dans la vie privée).
  • Présence de données potentiellement sensibles (schémas, documents, listings).
• Identification des scénarios de menace OSINT :
  • Scénarios de fraude.
  • Ingénierie sociale facilitée par des informations publiques.
  • Ciblage d'actifs sensibles ou de personnels clés.
• Priorisation des risques :
  • Classement par impact et plausibilité.
  • Association à des contrôles / mesures d’atténuation.

Périmètre standard (forfait)

• 1 organisation (raison sociale + variantes usuelles).
•  Jusqu’à 3 domaines / sites web et leurs principaux sous-domaines publics (extension sur devis).
• Jusqu’à 5 dirigeants / porte-paroles (analyse macro, sans intrusion vie privée).
• Langues : FR / EN (autres langues : sur devis).
• Zone : 1 pays / zone principale (multi-pays sur devis).
• Sources : uniquement sources ouvertes légalement accessibles.

Livrables

• Rapport détaillé (20–30 pages) :
  • Cartographie de la surface d'exposition OSINT.
  • Liste des vulnérabilités informationnelles prioritaires.
  • Matrice de risques (impact × plausibilité) + priorisation des mesures.
  • Recommandations d'hygiène informationnelle (process, communication, IT).
• Atelier de restitution (2 h)
  • Inclus en visio (sur site possible sur devis).
  • Objectif : aligner IT/sécurité/direction, prioriser les mesures, valider un plan d’actions.
  • Compte-rendu synthétique(1–2 pages) : décisions prises, risques prioritaires, plan d’actions et responsables.

Comment ça se passe ?

• Cadrage (brief) : périmètre, entités, domaines, dirigeants, contexte métier et risques prioritaires.
• Analyse OSINT : cartographie de l’exposition (organisation/dirigeants/actifs visibles) et collecte de preuves en sources ouvertes.
• Scénarios : fraude, ingénierie sociale, ciblage d’actifs/personnels clés ; évaluation impact/plausibilité.
• Rapport : matrice de risques + recommandations et mesures d’atténuation.
• Atelier de restitution (2h) : inclus en visio (sur site possible sur devis), jusqu’à 8 participants.
  Au‑delà : format adapté sur devis (session supplémentaire ou durée étendue).
  Nous recommandons un groupe restreint pour une restitution vraiment actionnable.

Délais

• 2 à 4 semaines selon la taille de l'organisation.

Conditions et limites

• Travail exclusivement sur des sources ouvertes légales.
• Pas d'audit technique intrusif (peut être couplé à un test d'intrusion par un partenaire).
• Ne remplace pas un PIA, un audit RGPD ou un audit sécurité complet.

Confidentialité

• Les informations partagées lors du cadrage sont limitées au strict nécessaire.
• NDA / accord de confidentialité possible sur demande.
• Conservation des éléments de travail : conservés pendant la mission puis supprimés au plus tard 6 mois après la fin de la prestation, sauf demande contraire du client.

Bénéfices pour l'entreprise

• Vision claire de ce qu'un attaquant peut apprendre avant de passer à l'action.
• Base pour construire une politique d'hygiène informationnelle et de sensibilisation.
• Support structurant pour les RSSI / DPO / directions générales.