L’OSINT désigne un pan du renseignement, basé sur l’exploration de sources ouvertes, qui est devenu très populaire ces deux dernières années. Des pratiques d’investigation utiles mais non dénuées de risques pour les analystes qui les réalisent.
La démocratisation de l’OSINT
L’Open Source INTelligence, ou Renseignement en Sources Ouvertes (ROSO), consiste à rechercher des informations dans les données publiques disponibles en ligne (posts sur les réseaux sociaux, bases de données, articles, vidéos, conversations de forums, etc.) via des outils tels que les images satellites, l’archivage ou encore Google Street View.
Des référentiels accessibles sur la toile ont popularisé cette méthode d’investigation si bien que, depuis le début de la guerre en Ukraine (2022) par exemple, de nombreuses personnes s’appuient sur ces données ouvertes pour suivre les mouvements militaires et vérifier les informations qui émanent des deux camps.
Différentes spécialités ont également émergé, parmi lesquelles :
- La Social Media Intelligence (SocInt) qui étudie les réseaux sociaux
- La Geospatial Intelligence (GeoInt) basée sur des données liées à la géographie
- La Communications Intelligence (ComInt)
Des pratiques nécessaires mais risquées
Dans le cadre de leurs investigations numériques, les analystes du CERT Advens et de l’équipe CTI pratiquent eux aussi l’OSINT au quotidien. Leurs recherches visent à récolter des informations sur les cyberattaques, les méthodes des attaquants et/ou les conséquences de ces attaques.
Ces explorations portent parfois sur des aspects techniques (identification d’infrastructures cybercriminelles, d’adresses IP malveillantes, etc.) mais elles peuvent également relever du « sourcing », c’est-à-dire l’étude de nouvelles sources d’information. Dans ce cas, ce sont différentes communautés cybercriminelles qui sont passées au crible via la navigation sur le deep et le dark web, ainsi que sur des canaux de messageries instantanées telles que Telegram ou Discord, privilégiées par les cybercriminels depuis quelques années.
Lors de ces recherches en territoire non indexé, nos analystes peuvent être soumis à des contenus à caractère choquant, en lien avec le terrorisme ou la pédopornographie par exemple. L’exposition répétée à ce type de contenus peut affecter leur santé mentale en allant jusqu’à engendrer des traumatismes par procuration ou traumatismes vicariants. Or, pour Fabian Cosset, Responsable CTI Advens, « ces risques psychosociaux sont encore insuffisamment pris en compte dans le secteur privé. »
Comment prévenir les risques psychosociaux liés à l’OSINT ?
Respecter la loi
La première étape pour se protéger consiste à bien s’inscrire dans le cadre légal existant. En Europe, et en France particulièrement, cela signifie par exemple ne pas s’introduire dans un SI sans mandat spécifique, même si celui-ci est mal sécurisé, ou encore se conformer au RGPD lors de la collecte et de l’exploitation des données.
«Lors de nos investigations en sources ouvertes, il arrive parfois que nous trouvions des ressources accessibles sur divers supports de l’internet, hébergeant certains types de contenus nécessitant que nous alertions les autorités. »
Fabian Cosset – Responsable CTI au sein du CERT Advens
Définir un cadre au sein de l’organisation
Au-delà de l’aspect légal, l’OSINT doit être pratiquée dans le respect de certaines procédures. Les premières, baptisées SecOps, concernent directement la sécurité de l’analyste et préconise par exemple de travailler depuis un environnement virtuel cloisonné et anonymisé. Ces bonnes pratiques permettent d’éviter que l’on puisse remonter jusqu’à l’investigateur.
La deuxième catégorie regroupe les mesures de protection des autres. Parmi elles, le fait de ne pas effectuer de recherches OSINT depuis un open space et de privilégier une salle dédiée, si possible avec vitres opaques, pour éviter les expositions accidentelles.
On pourrait ajouter ici une troisième catégorie de mesures, spécifiques à la santé mentale de l’analyste comme le fait de couper le son des vidéos pour en réduire la portée.
Accompagner la pratique
Dans la mesure où elles contribuent largement à définir et à maintenir ce cadre sécure pour la pratique de l’OSINT en entreprise, les équipes RH et le management ont une grande responsabilité vis-à-vis du bien-être des équipes. Comme ont pu le faire certains ministères depuis quelques années.
Chez Advens, un travail conjoint a conduit à la mise en place d’une procédure d’alerte qui permet à l’analyste de prendre ses distances avec le dossier concerné et enclenche un suivi. En effet, les conséquences de la consultation d’une scène choquante ne sont pas toujours immédiates : le traumatisme se manifeste parfois des mois plus tard, d’où l’importance du suivi en interne voire par des professionnels.
Abordés dès la phase de recrutement, les risques psychosociaux liés à l’OSINT pèsent autant sur les profils aguerris que sur les nouvelles recrues. Toutefois, les plus jeunes travaillent souvent en binôme avec un senior au début pour ne pas gérer seuls leurs premières expositions et prendre les bons réflexes.
Enfin, le management doit aussi surveiller le rapport entretenu par les analystes aux images auxquelles ils sont exposés. Trop proche, la frontière vie professionnelle / vie personnelle devient impossible à maintenir. Trop distant, la frontière réel / virtuel se brouille et la désensibilisation guette. La gestion d’une équipe d’OSINT est donc un exercice exigeant de management de proximité : il faut prendre le temps et savoir maintenir le contact même dans un contexte de télétravail.
« Nous avons une responsabilité envers nos analystes. En entretien, nous insistons pour que les candidats prennent conscience des répercussions potentielles. Puis au quotidien, nous avons un devoir d’accompagnement, de sensibilisation : être notamment très vigilant aux éventuels signes avant-coureurs de la consultation de trop. »
Fabian Cosset
En définitive, les risques psychosociaux qui pèsent sur les pratiquants de l’OSINT font écho à la condition des modérateurs de plateformes de réseau social, documentée par plusieurs reportages ces dernières années. En 2024, l’Espagne a reconnu le traumatisme d’un modérateur de contenus pour facebook et Instagram comme maladie professionnelle. Une décision qui ouvre la voie à une réflexion plus large : faut-il par exemple augmenter la fréquence des visites à la médecine du travail pour ces professions ou encore faciliter leur accès à des plateformes de psychologues ? Ce sont en tout cas des questions qu’Advens ne compte pas laisser dans l’ombre.
