L'OSINT (Open Source Intelligence) est la collecte et l'analyse d'informations accessibles publiquement. La CTI (Cyber Threat Intelligence) transforme ces informations en renseignements exploitables sur les menaces cyber. Combinées, ces deux disciplines permettent aux organisations d'anticiper les attaques plutôt que de simplement y réagir.
Selon le rapport ENISA Threat Landscape 2023, les cyberattaques gagnent en sophistication chaque année. Sans renseignement sur les menaces, les équipes sécurité naviguent à l'aveugle. L'OSINT et la CTI leur donnent le contexte nécessaire pour prioriser les défenses là où le risque est réel.
Qu'est-ce que l'OSINT ?
L'OSINT (Open Source Intelligence) désigne la collecte, l'analyse et la diffusion d'informations disponibles publiquement et accessibles légalement. Le terme "open source" ne fait pas référence aux logiciels open source, mais aux sources d'information ouvertes — par opposition au renseignement classifié.
Les sources OSINT incluent :
- Le web ouvert : sites d'entreprises, forums, réseaux sociaux, offres d'emploi (qui révèlent les technologies utilisées)
- Le web profond et le dark web : forums spécialisés, marketplaces, fuites de données
- Les bases de données publiques : registres DNS, certificats SSL, bases WHOIS, Shodan (moteur de recherche d'équipements connectés)
- Les publications spécialisées : bulletins de sécurité des CERT, avis des éditeurs, rapports d'analystes
L'OSINT n'est pas une activité marginale — c'est la base de tout programme de renseignement sur les menaces. La majorité du renseignement utile à la prise de décision en sécurité provient de sources ouvertes et accessibles publiquement.
Qu'est-ce que la CTI ?
La CTI (Cyber Threat Intelligence) est une branche spécialisée du renseignement qui se concentre sur les menaces visant le cyberespace. Son objectif : produire des renseignements exploitables qui aident les organisations à prévenir les incidents, réduire les risques et accélérer la réponse aux attaques.
La CTI s'appuie sur trois types de renseignements, chacun destiné à un public différent :
| Niveau | Public cible | Exemples |
|---|---|---|
| Stratégique | Direction, RSSI | Tendances des menaces, risques sectoriels, motivations des attaquants |
| Opérationnel | Équipes SOC, analystes | Campagnes d'attaque en cours, TTP (tactiques, techniques, procédures) des groupes identifiés |
| Tactique | Outils de sécurité (SIEM, EDR) | IoC (indicateurs de compromission) : adresses IP malveillantes, hash de malwares, domaines C2 |
Les IoC (Indicators of Compromise) sont des marqueurs techniques — une adresse IP, un hash de fichier, un nom de domaine — qui signalent une compromission. Les TTP (Tactics, Techniques and Procedures), documentées dans le framework MITRE ATT&CK, décrivent comment les attaquants opèrent. Les TTP sont plus durables que les IoC : un attaquant change d'adresse IP facilement, mais change rarement sa méthode.
Pourquoi combiner OSINT et CTI ?
L'OSINT seule produit un volume massif d'informations sans priorisation. La CTI seule, alimentée uniquement par des sources internes, a un champ de vision limité. Leur combinaison résout ces deux problèmes.
Enrichir la détection
L'OSINT révèle des informations que les systèmes de surveillance internes ne voient pas : un sous-domaine oublié listé sur un forum, des identifiants d'employés en vente sur le dark web, une nouvelle vulnérabilité discutée par des chercheurs avant sa publication officielle.
Ces informations enrichissent les IoC de la CTI et permettent de réduire le délai de détection. Selon le rapport M-Trends 2025 de Mandiant, le temps médian de détection d'une intrusion continue de baisser chaque année — un progrès attribué en partie à l'amélioration du renseignement sur les menaces.
Contextualiser les alertes
Un IoC brut (une adresse IP suspecte, par exemple) a peu de valeur sans contexte. L'OSINT permet de contextualiser les indicateurs de compromission : à quel groupe d'attaquants est associée cette IP ? Quelle campagne utilise ce malware ? Quels secteurs sont ciblés ?
Ce contexte transforme une alerte technique en renseignement actionnable pour la réponse à incident.
Passer de la réaction à l'anticipation
La combinaison OSINT + CTI permet d'identifier les menaces avant qu'elles ne se matérialisent. En surveillant les forums, les publications de vulnérabilités et les évolutions des groupes d'attaquants, les équipes sécurité peuvent :
- Identifier les vulnérabilités à corriger en priorité — celles qui sont activement exploitées ou discutées par des attaquants. Notre guide sur la priorisation des vulnérabilités détaille cette approche.
- Anticiper les campagnes sectorielles — si votre secteur est ciblé (santé, finance, collectivités), la CTI vous prévient avant que l'attaque n'atteigne votre périmètre.
- Adapter les défenses — renforcer les contrôles sur les vecteurs d'attaque privilégiés par les groupes qui ciblent votre profil.
Comment intégrer OSINT et CTI dans sa stratégie de sécurité
1. Évaluer ses besoins et sa maturité
Avant de déployer des outils, il faut définir ce qu'on cherche. Une PME n'a pas les mêmes besoins qu'un OIV. Les questions clés :
- Quels sont mes actifs les plus critiques ?
- Quels secteurs et quels types de menaces me concernent ?
- Ai-je les compétences en interne pour analyser du renseignement ?
Des modèles d'évaluation comme le Cyber Threat Intelligence Maturity Model de Gartner aident à situer son niveau et définir une feuille de route réaliste.
2. Choisir ses sources et ses outils
Le marché offre un large éventail, du gratuit au premium :
- Sources ouvertes gratuites : MITRE ATT&CK, bulletins CERT-FR, AlienVault OTX, VirusTotal
- Plateformes CTI commerciales : Mandiant Advantage, Recorded Future, ThreatQuotient
- Outils OSINT : Maltego, Shodan, SpiderFoot, theHarvester
L'important est de couvrir les trois niveaux de CTI (stratégique, opérationnel, tactique) et d'intégrer les flux dans les outils existants — SIEM, EDR, plateformes de gestion des incidents.
3. Former les équipes
Le renseignement n'a de valeur que s'il est compris et utilisé. Les analystes doivent savoir :
- Collecter et vérifier les informations OSINT (recoupement des sources, évaluation de la fiabilité)
- Produire des rapports CTI exploitables par les équipes opérationnelles
- Respecter le cadre légal — l'OSINT se limite aux informations publiques et légalement accessibles
4. Alimenter une boucle d'amélioration continue
La CTI n'est pas un projet one-shot. C'est un processus itératif : collecter → analyser → diffuser → mesurer l'impact → ajuster. Les indicateurs à suivre :
- Nombre de menaces détectées grâce au renseignement (avant exploitation)
- Réduction du temps de détection (MTTD) et de réponse (MTTR)
- Taux de faux positifs dans les alertes enrichies par la CTI
Le lien avec la visibilité sur son SI
L'OSINT et la CTI produisent du renseignement sur les menaces externes. Mais pour évaluer réellement le risque, il faut aussi connaître ses actifs internes : quels systèmes sont exposés ? Lesquels sont critiques ? Lesquels sont vulnérables ?
C'est là qu'intervient la cartographie du système d'information. En croisant le renseignement sur les menaces (CTI) avec la connaissance de son propre SI (CAASM), les équipes sécurité peuvent prioriser les actions là où le risque est le plus élevé.
OverView unifie cette vision en agrégeant les données de vos outils de sécurité (EDR, CMDB, scanners de vulnérabilités) dans un référentiel unique. Vous savez ce que vous avez, ce qui est exposé, et ce qui doit être corrigé en priorité.
Ce qu'il faut retenir
- L'OSINT collecte les informations publiques. La CTI les transforme en renseignements exploitables.
- Leur combinaison permet de passer d'une posture réactive à une anticipation proactive des menaces.
- L'intégration réussie repose sur quatre étapes : évaluation, outillage, formation, amélioration continue.
- Le renseignement sur les menaces n'a de valeur que s'il est croisé avec la connaissance de son propre SI.
Vous voulez voir comment OverView peut vous aider à croiser renseignement sur les menaces et connaissance de votre SI ? Demandez une démo.