Cybersécurité PME

OSINT préventif : auditer votre exposition externe en 1 journée

Avant qu'un attaquant ne le fasse, cartographier votre surface d'attaque externe : sous-domaines oubliés, secrets exposés, employés ciblables, technologies devinables. La méthode opérationnelle.

Aroua Biri 8 min

L'OSINT (Open Source Intelligence) appliquée à la sécurité défensive consiste à cartographier votre exposition externe avec les mêmes outils qu'un attaquant utiliserait. C'est rapide, peu coûteux, et c'est la fondation de l'Attack Surface Management. Voici la méthode pour faire un audit OSINT complet d'une PME ou scale-up en une journée.

Pourquoi c'est urgent (et pas seulement nice-to-have)

Les attaquants modernes ne ciblent plus au hasard. Ils utilisent des outils OSINT qui scannent en continu pour identifier des cibles vulnérables. Un sous-domaine staging-api.yourcompany.com oublié, une bibliothèque vulnérable détectable via les headers HTTP, un employé identifiable sur LinkedIn avec un email pattern devinable — autant de portes d'entrée qui se trouvent sans effort.

Faire l'audit OSINT vous-même, c'est :

  • Voir ce que voit l'attaquant.
  • Fermer les portes oubliées avant qu'elles soient exploitées.
  • Comprendre votre attack surface réelle, qui est presque toujours plus large que l'inventaire interne.

Plan de la journée (8 heures)

Heure 1-2 — Cartographie des actifs externes

Sous-domaines

``` # Énumération passive (Subfinder, gratuit) subfinder -d yourcompany.com -all -recursive

# Énumération active complémentaire (Amass) amass enum -d yourcompany.com

# Ou online : crt.sh pour les certificats SSL curl -s "https://crt.sh/?q=yourcompany.com&output=json" | jq '.[].name_value' | sort -u ```

À récupérer : la liste de tous les sous-domaines actifs, et les actifs "fantômes" qui ne sont plus utilisés mais répondent encore.

Adresses IP et ranges

``` # DNS lookups host yourcompany.com host www.yourcompany.com

# Reverse DNS sur la plage IP nmap -sL ```

Technologies utilisées

  • Wappalyzer ou extension navigateur : voir le stack web.
  • BuiltWith : profil tech complet.
  • Headers HTTP : curl -I https://yourcompany.com révèle souvent le serveur, le framework, voire la version.

Heure 3 — Recherche de secrets exposés

GitHub

``` # Secrets liés à votre domaine gitleaks scan --no-git --source

# Recherche manuelle GitHub # Site : github.com # Recherche : "yourcompany.com" password|api_key|secret ```

Outils SaaS : GitHub Secret Scanning (gratuit pour repos publics), GitGuardian, Truffle Security.

Pastebin et leak sites

  • Have I Been Pwned : votre domaine a-t-il été dans une fuite ?
  • DeHashed (payant) : recherche profonde dans les bases compromises.
  • IntelX : intelligence sur les leaks dark web.

Heure 4 — Cartographie humaine

LinkedIn

`` # Recherche LinkedIn "yourcompany" + filtre "Personnes" + "Lieu" → liste des employés actuels "ex-yourcompany" → anciens employés (potentiels vecteurs si comptes pas bien désactivés) ``

À noter : noms, postes, durées, technologies mentionnées dans les profils (ex: dev mentionne "Kubernetes, AWS, PostgreSQL" → voilà la stack).

Email pattern

Avec 2-3 employés identifiés et une newsletter publique :

  • Pattern probable : firstname.lastname@yourcompany.com (le plus courant)
  • Vérification : Hunter.io, VoilaNorbert

Une fois le pattern connu, tous les employés identifiés via LinkedIn deviennent ciblables par phishing personnalisé.

Heure 5 — Scan technique externe

Shodan

`` # Recherche hostname:yourcompany.com ssl:yourcompany.com ``

Shodan révèle les services réseau exposés : SSH, RDP, bases de données, IoT. Beaucoup de PME ont des services exposés qu'elles ne savent pas avoir.

Censys

Alternative à Shodan, parfois plus complet sur le SSL/TLS.

Nmap externe limité

Si vous avez l'autorisation (autorisation explicite de la direction sur votre propre infrastructure) :

``` # Scan rapide top ports nmap -sV -F yourcompany.com

# Scan complet (plus long) nmap -sV -p- yourcompany.com ```

Heure 6 — Analyse vulnérabilité

Pour chaque actif identifié, croiser avec :

  • CVE Details ou NVD : si version visible, chercher les CVE applicables.
  • Nuclei templates : scan automatique des CVE connues.
  • Wayback Machine : voir les anciennes versions du site, parfois des endpoints debug ou admin oubliés sont visibles.

Heure 7 — Réseau social et image

  • Posts d'employés : annoncent souvent involontairement les technologies, les architectures.
  • Photos : open spaces avec écrans visibles, badges, post-its avec mots de passe (sérieusement, ça arrive).
  • Conférences : un dev qui présente l'architecture interne à un meetup public.
  • Vidéos : démos produits qui révèlent des structures de données ou des endpoints API.

Heure 8 — Rédaction du rapport et priorisation

Format minimal :

| Risque | Description | Criticité | Action | |---|---|---|---| | Sous-domaine staging exposé | staging-admin.yourcompany.com accessible publiquement, sans authent | High | Fermer ou ajouter auth basic + IP allowlist | | Token GitHub historique | Token AWS visible dans commit Git de 2023 | High | Révoquer immédiatement | | Email pattern devinable | Tous les emails sont firstname.lastname | Medium | Sensibilisation phishing + DMARC strict |

Outillage : le minimum gratuit

  • Subfinder, Amass (sous-domaines)
  • Wappalyzer (tech profiling)
  • Shodan (compte gratuit, limité mais utile)
  • gitleaks, trufflehog (secrets)
  • Have I Been Pwned (leak)
  • Nuclei (scan vulnérabilités)
  • Hunter.io (email pattern, plan gratuit)

Avec ce stack, vous couvrez 80% du besoin.

Outillage : la version SaaS

Pour automatiser et faire ça en continu :

  • Detectify : scan automatique de surface externe.
  • Intrigue.io ou CrowdSec : asset discovery.
  • Snyk : monitoring code et dépendances.
  • Riscover : alerting changements de surface.

Coûts : 200-2000€/mois selon échelle. Justifié dès que vous avez plus de 50 actifs externes ou que vous devez démontrer un programme d'ASM continu.

Refaire l'audit régulièrement

Un audit OSINT n'est utile que s'il est répété. Surface qui change :

  • Nouveaux sous-domaines créés par les équipes.
  • Nouveaux employés (donc nouvelle surface humaine).
  • Nouveaux outils SaaS introduits.
  • Nouvelles CVE qui s'appliquent à votre stack.

Cadence raisonnable :

  • Audit complet : annuel.
  • Scan automatisé (sous-domaines, secrets, CVE) : quotidien.
  • Revue manuelle des trouvailles automatisées : hebdomadaire ou mensuelle.

Ce que ça remplace (et ne remplace pas)

L'OSINT préventif remplace :

  • Les premiers gestes de cartographie d'un audit externe.
  • Une veille manuelle qui ne tient pas à l'échelle.

L'OSINT ne remplace pas :

  • Un pentest applicatif (qui teste la logique business).
  • Un audit interne (configurations cloud, IAM, etc.).
  • Un programme bug bounty (qui mobilise la créativité humaine).

Pour les fondamentaux d'une posture sécurité en PME, voir Sécurité PME : 7 priorités avant un RSSI. Pour le risque spécifique des secrets exposés, voir Mercedes-Benz et la fuite de token GitHub.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

DevSecOpsMercedes-Benz fuite token Cybersécurité PME7 priorités avant un RSSI Cybersécurité PMEPhishing résistant

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt