Cartographie de Menaces OSINT – Organisation

Objectif de la prestation

Dresser un état des lieux structuré de votre exposition OSINT : quelles informations sur votre organisation, vos dirigeants et vos actifs sont exploitables par un acteur malveillant à partir de sources ouvertes.

Contenu de la prestation

• Analyse de la surface d'exposition :
  • Informations publiques sur l'organisation (structure, sites, technologies visibles).
  • Exposition des dirigeants (niveau macro, sans intrusion dans la vie privée).
  • Présence de données potentiellement sensibles (schémas, documents, listings).
• Identification des scénarios de menace OSINT :
  • Scénarios de fraude.
  • Ingénierie sociale facilitée par des informations publiques.
  • Ciblage d'actifs sensibles ou de personnels clés.
• Priorisation des risques :
  • Classement par impact et plausibilité.
  • Association à des contrôles / mesures d’atténuation.

Périmètre standard (forfait)

• 1 organisation (raison sociale + variantes usuelles).
•  Jusqu’à 3 domaines / sites web et leurs principaux sous-domaines publics (extension sur devis).
• Jusqu’à 5 dirigeants / porte-paroles (analyse macro, sans intrusion vie privée).
• Langues : FR / EN (autres langues : sur devis).
• Zone : 1 pays / zone principale (multi-pays sur devis).
• Sources : uniquement sources ouvertes légalement accessibles.

Livrables

• Rapport détaillé (20–30 pages) :
  • Cartographie de la surface d'exposition OSINT.
  • Liste des vulnérabilités informationnelles prioritaires.
  • Matrice de risques (impact × plausibilité) + priorisation des mesures.
  • Recommandations d'hygiène informationnelle (process, communication, IT).
• Atelier de restitution (2 h)
  • Inclus en visio (sur site possible sur devis).
  • Objectif : aligner IT/sécurité/direction, prioriser les mesures, valider un plan d’actions.
  • Compte-rendu synthétique(1–2 pages) : décisions prises, risques prioritaires, plan d’actions et responsables.

Comment ça se passe ?

• Cadrage (brief) : périmètre, entités, domaines, dirigeants, contexte métier et risques prioritaires.
• Analyse OSINT : cartographie de l’exposition (organisation/dirigeants/actifs visibles) et collecte de preuves en sources ouvertes.
• Scénarios : fraude, ingénierie sociale, ciblage d’actifs/personnels clés ; évaluation impact/plausibilité.
• Rapport : matrice de risques + recommandations et mesures d’atténuation.
• Atelier de restitution (2h) : inclus en visio (sur site possible sur devis), jusqu’à 8 participants.
  Au‑delà : format adapté sur devis (session supplémentaire ou durée étendue).
  Nous recommandons un groupe restreint pour une restitution vraiment actionnable.

Pré-requis (pour cadrer la cartographie)

• Votre organisation : raison sociale + variantes + pays/zone principale.
• Vos domaines / sites web à inclure (et éventuels sous-domaines publics pertinents).
• Vos marques/produits “exposés” (ceux que des fraudeurs imiteraient) + canaux officiels (site, réseaux sociaux).
• Les rôles clés concernés (ex. finance/achats/RH/support) et les scénarios de fraude qui vous inquiètent (ex. faux RIB, usurpation, spearphishing…).
• Les incidents ou tentatives déjà vécus (même résumés) pour orienter la priorisation.
• Participants atelier restitution (2h) : un référent IT/sécurité + un référent métier (finance/RH/com selon le cas).
• Un point de contact pour planifier le kick-off et valider les hypothèses.

Important : analyse sur sources ouvertes uniquement ; pas d’actions intrusives sur vos systèmes.

Délais

• 2 à 4 semaines selon la taille de l'organisation.

Conditions et limites

• Travail exclusivement sur des sources ouvertes légales.
• Pas d'audit technique intrusif (peut être couplé à un test d'intrusion par un partenaire).
• Ne remplace pas un PIA, un audit RGPD ou un audit sécurité complet.

Confidentialité

• Les informations partagées lors du cadrage sont limitées au strict nécessaire.
• NDA / accord de confidentialité possible sur demande.
• Conservation des éléments de travail : conservés pendant la mission puis supprimés au plus tard 6 mois après la fin de la prestation, sauf demande contraire du client.

Bénéfices pour l'entreprise

• Vision claire de ce qu'un attaquant peut apprendre avant de passer à l'action.
• Base pour construire une politique d'hygiène informationnelle et de sensibilisation.
• Support structurant pour les RSSI / DPO / directions générales.

FAQ

À quoi sert une cartographie de menaces OSINT ?

Elle montre ce qu’un acteur malveillant peut exploiter depuis des sources ouvertes (organisation, dirigeants, actifs visibles), et transforme ces constats en scénarios plausibles + matrice de risques pour prioriser des mesures concrètes.

Est-ce un audit technique / un pentest ?

Non. Le travail est non intrusif et basé sur des sources ouvertes. Un audit technique/pentest peut être couplé en complément si besoin.

Quel est le périmètre standard ?

Par défaut : 1 organisation, jusqu’à 3 domaines/sites (et sous-domaines publics principaux), jusqu’à 5 dirigeants/porte-paroles (analyse macro), FR/EN, 1 pays/zone principale. Extensions possibles sur devis.

Qui doit participer à l’atelier de restitution ?

Idéalement : IT/SSI, direction, communication (et juridique si pertinent) pour valider une priorisation actionnable. Jusqu’à 8 participants inclus ; au-delà, format adapté sur devis.

Quels livrables vais-je recevoir ?

Un rapport structuré (exposition, scénarios, matrice de risques, recommandations) + un compte-rendu synthétique, puis un atelier de restitution (2h) pour transformer l’analyse en plan d’actions.

Que se passe-t-il après ?

Vous pouvez exécuter les recommandations en interne, ou demander un accompagnement (hygiène informationnelle, durcissement cyber, veille e‑réputation, etc.) selon les risques identifiés.