OSINT + IA : détectez vos failles avant les attaquants

En 2025, la plupart des compromissions sérieuses ne commencent pas par un « hack » spectaculaire. Elles commencent par un détail public : un sous-domaine oublié, une API exposée, un PDF indexé par un moteur de recherche, ou un employé trop bavard sur un réseau social. Les attaquants adorent ça, parce que c’est gratuit, discret, et souvent très rentable.

L’OSINT (Open Source Intelligence) consiste à collecter et analyser des informations accessibles publiquement pour en tirer des enseignements exploitables. Le vrai sujet, fin 2025, c’est la vitesse et l’échelle : l’IA permet de passer d’une recherche manuelle à une surveillance continue, capable de détecter des signaux faibles avant qu’ils ne deviennent des incidents.

Dans cette publication de notre série « Intelligence artificielle dans la cybersécurité », je vous propose une approche très pratico-pratique : comment combiner OSINT et IA pour cartographier votre empreinte, prioriser vos risques, et corriger vos expositions avant qu’un adversaire ne vous devance.

OSINT en cybersécurité : l’extérieur voit plus que vous ne pensez

L’OSINT répond à une question simple : “Que peut apprendre quelqu’un sur mon organisation sans accès interne ?” Et la réponse surprend souvent les équipes : l’extérieur voit parfois des choses que l’interne ne voit plus, à force de vivre « dans » le SI.

Ce que l’OSINT révèle, concrètement

On pense souvent « réseaux sociaux »… mais la surface OSINT est plus large :

• Actifs exposés : ports ouverts, bannières de services, certificats, consoles d’admin accessibles, environnements de test.
• Fuites documentaires : fichiers indexés (tableurs, exports, docs techniques), dépôts publics, archives.
• Identités et habitudes : organigramme implicite, prestataires, technos utilisées, conventions d’e-mails.
• Signaux d’attaque en cours : mentions sur forums, campagnes de phishing ciblant votre marque, revente d’accès.

L’intérêt défensif est direct : vous identifiez vos “angles morts” et vous traitez les expositions avant qu’elles ne servent de point d’entrée.

La même méthode sert aussi aux attaquants (et c’est bien le problème)

Un spearphishing convaincant n’est pas un chef-d’œuvre littéraire : c’est une suite de détails justes. Noms de collègues, projets récents, prestataires, outils internes… Tout ça peut être reconstruit via OSINT. Le risque est donc double :

1. Technique (services exposés, erreurs de configuration)
2. Humain (ingénierie sociale alimentée par des infos publiques)

Pourquoi l’IA change la donne : du “one-shot” à la surveillance continue

L’IA ne remplace pas l’OSINT ; elle le rend industrialisable. L’OSINT “à la main” fonctionne pour un audit ponctuel, mais il fatigue vite : trop de sources, trop de bruit, trop de changements.

Ce que l’IA fait mieux que nous (et plus vite)

Trois apports sont particulièrement utiles en cybersécurité :

1. Tri et réduction du bruit : classer des milliers de résultats (domaines, fuites, posts, screenshots) et isoler ce qui mérite une investigation.
2. Corrélation multi-sources : relier un sous-domaine à un certificat, à une IP, à une technologie, à un dépôt, puis à un identifiant exposé.
3. Priorisation orientée risque : transformer des “observations” en “actions” (corriger en priorité ce qui est exploitable et impactant).

Une phrase qui guide bien les équipes : « L’OSINT trouve des indices, l’IA aide à les relier et à décider. »

Des cas d’usage IA + OSINT qui génèrent du ROI sécurité

• Détection d’assets oubliés : modèles de classification repérant des services “anormaux” par rapport à votre parc habituel.
• Alerte sur données sensibles exposées : NLP (traitement du langage) pour identifier des documents contenant des patterns (RIB/IBAN, tokens, secrets, schémas d’archi).
• SocMINT assisté IA : analyse de profils publics pour détecter des risques de surexposition (ex. photos de badges, captures d’écran d’outils internes, annonces de migration).
• Threat intel de marque : regroupement automatique de mentions, domaines typosquattés, faux comptes, campagnes de phishing.

Fin décembre, beaucoup d’organisations préparent budgets et roadmaps 2026. Si vous devez choisir un investissement “pragmatique” : mettez l’IA au service d’un flux OSINT ciblé, plutôt que de tenter une plateforme IA “généraliste” sans données bien cadrées.

Les outils OSINT à connaître (et ce qu’ils apportent vraiment)

Le bon outil dépend de votre question. L’erreur fréquente : choisir l’outil avant d’avoir défini le besoin.

Cartographier l’exposition Internet (assets, ports, certificats)

• Moteurs d’inventaire d’équipements exposés (type Shodan/Censys) : repèrent services accessibles, ports ouverts, certificats faibles, API exposées.

Utilisation défensive typique : construire une liste d’actifs « vus de l’extérieur » et la comparer à votre CMDB/gestion d’actifs interne.

Relier les points (personnes, domaines, IP, organisations)

• Outils de cartographie visuelle (type Maltego) : très efficaces pour rendre visibles des relations cachées (filiales, prestataires, domaines “proches”, réutilisation d’infra).

L’IA ajoute ici une couche : suggestions de liens, regroupements automatiques, détection d’anomalies dans les graphes.

Automatiser la collecte (emails, sous-domaines, pseudos)

• Frameworks de reconnaissance (type TheHarvester, SpiderFoot, Recon-ng) : agrègent des sources diverses pour accélérer la phase de collecte.

Un usage sain côté défense : exécuter ces collectes sur vos propres domaines et marques pour découvrir ce qu’un attaquant verrait.

Trouver les fuites indexées (recherche avancée)

• Recherche avancée “Google dorks” : utile pour identifier des documents, répertoires, exports oubliés.

Là encore, l’IA sert surtout à :

• catégoriser les résultats,
• détecter des patterns sensibles,
• éviter que l’équipe s’enterre sous de faux positifs.

Métadonnées : le détail qui coûte cher

• Analyse de métadonnées (images/documents) : peut révéler auteur, horodatage, géolocalisation, nom de machine, chemin réseau.

Beaucoup d’entreprises ont durci leurs procédures, mais les « vieux documents » continuent de circuler. Une routine OSINT trimestrielle suffit parfois à débusquer un héritage embarrassant.

Une méthode simple : mettre l’OSINT au service d’un plan d’action

Si votre OSINT n’aboutit pas à des tickets de remédiation, c’est un loisir, pas une pratique sécurité. Voilà une boucle opérationnelle qui marche bien en entreprise.

1) Définir des objectifs mesurables (sinon, vous allez vous disperser)

Exemples d’objectifs défensifs concrets :

• “Lister 100% des sous-domaines actifs liés à la marque.”
• “Identifier tout service exposé hors plage IP attendue.”
• “Détecter toute fuite d’identifiants associée aux domaines e-mail de l’entreprise.”
• “Réduire de 30% le nombre d’actifs exposés non gérés d’ici 90 jours.”

2) Collecter, puis scorer (là où l’IA est utile)

Je recommande un scoring simple, compréhensible par tous :

• Exploitabilité (0–5) : est-ce directement attaquable ?
• Impact (0–5) : si compromis, ça touche quoi ?
• Confiance (0–5) : l’info est-elle fiable / recoupée ?

Un modèle IA peut proposer un score initial, mais un humain garde la main sur la validation, surtout si vous touchez à des décisions de priorité et à la conformité.

3) Documenter comme si vous deviez le prouver

Un bon rapport OSINT interne contient :

• la source (type de source, date/heure de collecte),
• la reproduction (captures, requêtes, éléments vérifiables),
• l’évaluation (risque, hypothèses, limites),
• la remédiation recommandée (action concrète, propriétaire, délai).

C’est aussi ce qui rend le travail “IA-compatible” : des données propres, traçables, réutilisables dans le temps.

Mini cas pratique : l’attaque évitée grâce à OSINT + IA

Scénario réaliste (et fréquent) : une entreprise pense avoir subi une fuite, mais n’a pas de preuve claire.

1. Vérification des identifiants exposés : recherche d’adresses e-mail d’entreprise dans des bases de fuites connues (et dans des agrégations OSINT internes). L’IA aide à repérer des variantes (alias, typos, domaines proches).
2. Recherche de documents sensibles indexés : requêtes avancées sur des types de fichiers courants (tableurs, exports) ; un classifieur IA filtre ce qui contient des données personnelles ou des secrets.
3. Inventaire des services exposés : détection d’un serveur accessible publiquement, non référencé dans l’inventaire interne.
4. Corrélation : l’IA relie le sous-domaine, le certificat, et un dépôt public mentionnant une configuration par défaut.
5. Action : fermeture de l’exposition, rotation des mots de passe/clefs, durcissement (MFA, restriction IP, suppression de l’indexation), puis message de prévention aux équipes.

Résultat : vous ne “devinez” pas le risque, vous le mesurez. Et surtout, vous réduisez la fenêtre pendant laquelle un attaquant peut exploiter l’oubli.

OSINT responsable : utile, légal, et soutenable

Une pratique OSINT efficace n’a pas besoin de franchir les lignes. Au contraire : plus vous êtes rigoureux, plus vos résultats sont exploitables.

• Respectez les lois et règles internes (RGPD, chartes, politique de collecte).
• Séparez clairement surveillance de marque, veille sécurité, et investigation incident.
• Cadrez l’usage des comptes d’observation (comptes dédiés, traçabilité, minimisation).
• Automatisez avec parcimonie : la collecte massive non maîtrisée crée des risques juridiques… et du bruit.

Passer à l’action : votre check-list “30 jours”

Si je devais lancer un programme OSINT + IA en janvier 2026, je ferais simple :

1. Cartographier l’empreinte externe : domaines, sous-domaines, services exposés.
2. Comparer avec l’inventaire interne : tout actif externe non “owner” = priorité.
3. Mettre des alertes : nouveaux sous-domaines, nouveaux certificats, typosquatting, fuites d’identifiants.
4. Ajouter une couche IA : tri, corrélation, scoring, puis validation humaine.
5. Industrialiser : rituels mensuels, KPIs, et backlog de remédiation.

Cette approche s’inscrit parfaitement dans une stratégie plus large d’IA en cybersécurité : collecter, comprendre, prioriser, agir — avant l’adversaire.

Si vous deviez choisir une seule question pour démarrer : qu’est-ce que votre entreprise expose publiquement aujourd’hui, et qui le sait déjà ?