Le renseignement d’origine sources ouvertes (appelé OSINT en anglais, pour Open Source INTelligence) s’appuie sur les données accessibles librement en ligne. En croisant différentes sources il est possible de produire des connaissances ou de déduire des informations qui n’apparaissaient pas de façon évidente. « Ça me fait penser aux policiers que l’on voit dans les films relier à l’aide d’un fil rouge les différentes preuves pour résoudre leurs enquêtes », s’amuse Hugo Benoist. Ce passionné de cybersécurité, qui a étudié l’informatique et la sociologie, est tombé dans l’OSINT il y a plusieurs années. Il a d’ailleurs cofondé OSINTFr, une communauté de plus de 6 000 membres qui échangent au quotidien des astuces ou des actualités sur le sujet. L’ambition : promouvoir l’OSINT auprès du plus grand nombre, « du jeune étudiant au journaliste curieux en passant par les experts en intelligence économique », se félicite-t-il. Il faut dire que le sujet intéresse de plus en plus de monde, et que les entreprises, notamment, ne passent pas à côté de l’intérêt de la discipline.
Le rôle des réseaux sociaux
L’un des facteurs qui expliquent la montée en puissance de l’OSINT au sein des entreprises, c’est, d’après Hugo Benoist, l’essor des réseaux sociaux. Ceux-ci ont engrangé une production de connaissances – personnelles ou libres – qui ne cesse d’augmenter. Auparavant, les sites corporate, très restreints, n’offraient qu’une fenêtre limitée sur le monde professionnel. « Aujourd’hui, en plus d’avoir de nombreux sous-domaines, les organisations et leurs membres ont une présence sur de nombreux réseaux sociaux. La volumétrie et la surface de connaissances sont devenues gigantesques », constate Hugo Benoist. Comment en tirer profit ?
Gagner de nouveaux marchés
« Faire appel aux techniques d’OSINT peut être intéressant pour les entreprises souhaitant effectuer une due diligence, ou gagner un appel d’offre dans un pays qui n’est pas le leur, par exemple », liste Hugo Benoist. Bien traiter les informations disponibles en ligne permet ainsi de se renseigner avant un rapprochement avec une personne morale ou physique. Il est aussi possible de connaître au mieux les attentes des décisionnaires d’un appel d’offre, en étudiant les intérêts économiques et privés des différentes parties prenantes. Il rappelle par ailleurs que développer ses activités dans certaines régions du monde – comme l’Afrique – devient plus aisé, avec le déploiement de bases de données en ligne par exemple.
Surveiller la concurrence
Croître n’est pas la seule possibilité offerte par les techniques d’OSINT, qui sont autant utilisées « pour se défendre que pour attaquer », note Hugo Benoist. Ainsi, la veille concurrentielle se trouve fortement boostée par les données en sources ouvertes. Et cela passe par des détails auxquels on ne pense pas forcément. « Une entreprise qui partage sur son site internet ou sur LinkedIn des offres d’emplois fournit sans le savoir de précieuses informations sur sa situation. Les profils recherchés ou la localisation des postes peuvent indiquer de nouveaux développements, les plages de salaires peuvent être utilisées pour débaucher certains talents, les avantages proposés donnent une idée de la politique interne… Pour qui sait chercher, une simple annonce regorge de données. »
Protéger ses actifs
Surveiller la concurrence, c’est une bonne idée. Mais surveiller ce qui se passe chez soi aussi. Hugo Benoist indique que de nombreuses investigations ont pour objectif de mesurer l’empreinte numérique d’un dirigeant, par exemple. « Nous pouvons aller très très loin », assure celui qui a aussi cofondé BreacHunt, une société qui propose à ses clients d’identifier leurs surfaces d’exposition et de développer, en fonction des risques identifiés, des programmes adaptés. « Internet n’oublie rien : si un patron a laissé un commentaire problématique au sein d’un forum sous un pseudo spécifique en 2005, nous pourrons le retrouver. Nous pouvons savoir s’il a été sur des sites de jeux d’argent, s’il a proféré des menaces en ligne, s’il a fait appel à des services pour adultes », énumère-t-il. En plus du jus de cerveau nécessaire pour recouper les bonnes informations, Hugo Benoist insiste sur le besoin de maîtriser certains outils. « Tester un pseudonyme présent sur 200 sites, même pour un habitué du copier-coller, ça peut être redondant. L’OSINT permet d’automatiser ce type de tâches. »
Au-delà de la réputation d’un dirigeant, l’OSINT permet de mesurer les failles des entreprises qui pourraient donner lieu à des attaques externes. « Notre rôle est de faire de la reconnaissance, pas de nous introduire. Des empreintes numériques des collaborateurs – est-ce une bonne chose que 20% des salariés soient inscrits sur des sites de rencontre avec leurs adresses professionnelles ? – aux risques cyber – que faire des serveurs inutilisés depuis des années qui contiennent des données clients ? –, nous dressons un état des lieux complet pour nos clients. »
Se faire accompagner
Une fois qu’une entreprise a mesuré ses besoins et ses opportunités, doit-elle se lancer ? « Les entreprises manquent souvent d’experts en interne, constate Hugo Benoist. Elles préfèrent commander des études marketing pré-faites que d’aller chercher de l’information de façon fouillée. » D’après lui, il s’agit surtout d’un manque de pédagogie. « À force de chercher des informations, on laisse énormément de traces », alerte le journaliste Damien Bancal, qui est aussi réserviste cyber défense pour la Gendarmerie nationale. « Les solutions d’OSINT ne servent pas qu’aux personnes bien intentionnées. C’est pourquoi, avant de s’y mettre, il faut se préparer ou se faire accompagner. » C’est aussi l’avis de Philippe Chabrol, fondateur d’Affinis Conseil. « Les grosses entreprises ont, en général, des bases d’intelligence économique. Elles savent utiliser a minima les bases de données. Mais pour aller plus loin, il est nécessaire de faire appel à des cabinets. » Il affirme par ailleurs que de plus en plus, les clients s’intéressent à l’expertise des consultants. « Il y a de vraies attentes, une réelle exigence. C’est aussi pour cela que de nombreuses formations se spécialisent sur la question : les experts en OSINT sont obligés de se renouveler en permanence. Les outils et le web changent constamment, ce n’est pas un métier figé. » C’est ce qui explique, selon Damien Bancal, que le premier budget à considérer pour une entreprise qui veut faire de l’OSINT soit le budget humain. « On a beau avoir la plus belle voiture du monde, si personne ne sait la piloter, elle n’ira pas très loin. Les données sont une matière précieuse : pour en tirer le maximum, il faut quelqu’un qui sache les manier », conclut-il.