OSINT : L'arme invisible pour la conformité à la directive DORA

Le règlement DORA impose aux entités financières une résilience numérique fondée sur l’anticipation, les tests réalistes et le partage d’informations. Sans jamais le nommer, il rend l’OSINT (renseignement en sources ouvertes) indispensable : collecte de menaces, identification des vulnérabilités, construction de scénarios TLPT, veille sur les fournisseurs ou incidents sectoriels. L’OSINT est un levier stratégique de conformité, reconnu par la CNIL, compatible RGPD, et essentiel pour détecter, anticiper et répondre efficacement aux crises cyber.

Eric Navenant et Aurélien T

7/8/20256 min read

DORA, une obligation de moyens… et de renseignement

Depuis son adoption fin 2022, le règlement (UE) 2022/2554, dit DORA (Digital Operational Resilience Act), est venu imposer aux entités financières une véritable refonte de leur posture face aux risques numériques. Pensé comme un cadre horizontal applicable à toute la finance européenne — banques, assureurs, prestataires de services crypto, gestionnaires d’actifs — DORA fait de la résilience opérationnelle numérique une obligation centrale, au même titre que les exigences prudentielles ou de solvabilité.

Parmi les piliers de cette résilience figurent trois composantes-clés :

  • La gestion des risques liés aux TIC (article 5 à 20)

  • Les tests de résilience avancés (article 26–27)

  • Le partage d’informations sur les menaces (article 45)

Or, bien qu’il ne cite jamais le terme, l’OSINT (Open Source Intelligence) — ou renseignement issu de sources ouvertes — est indispensable à la mise en œuvre concrète de ces obligations.

Ce paradoxe réglementaire appelle une mise au point : DORA présuppose l’OSINT sans le nommer.

1. Threat Intelligence : l’OSINT comme point de départ de la résilience

L’Article 26 du règlement DORA fixe un cadre pour les tests de pénétration basés sur les menaces réelles (Threat-Led Penetration Testing, ou TLPT). Il impose aux entités financières systémiques de se soumettre à des exercices de simulation tous les trois ans. Ces tests, pour être crédibles et reconnus, doivent s’appuyer sur des menaces concrètes, ciblées, fondées sur une analyse préalable de l’exposition de l’entité.

« Les tests doivent débuter par une phase de collecte de renseignement sur les menaces afin de refléter des scénarios réalistes » — DORA, Art. 26(2)

Or, une telle analyse est impossible sans une démarche OSINT structurée. Les sources publiques permettent en effet de :

  • Détecter des informations sensibles exposées (sur GitHub, Pastebin, LinkedIn…)

  • Identifier des IoCs (adresses IP, hash, domaines malveillants)

  • Suivre les discussions entre attaquants sur des forums clandestins

  • Surveiller les fuites de données dans le dark web

  • Recenser les technologies exposées et la surface d’attaque externe de l’organisation (Shodan, Censys…)

L’OSINT est ainsi le socle d’un renseignement contextualisé, dynamique et actionnable, comme exigé par l’article 5(2) de DORA qui impose une surveillance proactive du risque TIC.

2. TLPT : des tests réalistes, ou rien

Le règlement DORA (art 26(2) et (3), qui impose aux entités financières d'effectuer des tests réguliers avec « une approche fondée sur les menaces ») s’aligne fortement sur le cadre TIBER-EU, qui définit les bonnes pratiques pour les Threat Intelligence-Based Ethical Red Teaming. Ce cadre, déjà adopté par plusieurs banques centrales, impose :

  • Une phase de targeted threat intelligence réalisée par un prestataire dédié

  • Une séparation stricte entre les équipes Red Team et l’équipe renseignement

  • Une validation par l’autorité compétente (souvent la Banque Centrale ou le superviseur national)

Dans ce schéma, l’OSINT devient l’outil principal pour :

  • identifier les adversaires crédibles (APT, cybercriminels)

  • cartographier la surface d’attaque publique (profil employés, technologies, dépendances)

  • formuler des scénarios réalistes (ex. spear-phishing ciblé, exploitation de services exposés)

Un test TLPT conforme à DORA sans OSINT équivaut à une pièce de théâtre sans script : techniquement possible, mais vouée à l’improvisation.

Pour mieux comprendre cette logique d’enchaînement, voici comment les différentes briques réglementaires s’articulent autour de l’OSINT :

OSINT - CTI - TLPT - Partage d'informations

Ce schéma illustre la chaîne de valeur réglementaire que sous-tend DORA, même si elle n’est pas toujours formulée explicitement.

  1. OSINT constitue la première brique : c’est par la surveillance des sources ouvertes ((forums, dark web, réseaux sociaux, dépôts de code, moteurs d’empreinte type Shodan/Censys)que l’on alimente une Threat Intelligence contextualisée.

  2. Cette intelligence est ensuite travaillée selon le cycle du renseignement avec l’analyse, la corrélation et la validation des données OSINT (et autres sources : CTI fournisseurs, ISAC, CERTs), afin de produire production du renseignement qualifié (stratégique, tactique, opérationnel) pour les fonctions internes : SOC, Risk, ComEx.

  3. Ce renseignement sera utilisé pour concevoir des tests d’intrusion basés sur des menaces réelles (TLPT), obligatoires pour certaines entités (article 26).

  4. Les enseignements tirés des TLPT viennent enrichir les processus de partage d’informations sectoriels (article 45), renforçant ainsi la résilience collective du système financier (contribution aux communautés sectorielles telles que ISAC, CERT-FR, FS-ISAC, via remontée de renseignements enrichis).

Ce cycle, en apparence linéaire, fonctionne aussi en boucle : les informations partagées peuvent à leur tour nourrir les capacités OSINT de chaque entité.

3. Partage d’information : un cercle vertueux… ou vide

L’article 45 de DORA invite les entités à rejoindre des dispositifs sectoriels de partage de renseignements sur les menaces. Cette obligation, encore peu contraignante, pourrait devenir plus prescriptive à l’avenir (via RTS/ITS).

L’OSINT y joue deux rôles stratégiques :

  1. Améliorer la qualité du renseignement partagé : une IP malveillante a plus de valeur si elle est accompagnée de données OSINT sur l’APT qui l’utilise, ses TTPs, ses cibles habituelles.

  2. Qualifier le renseignement reçu : lorsqu’un CERT sectoriel diffuse une alerte, l’entité peut utiliser ses propres capacités OSINT pour rechercher des indices d’exposition dans son périmètre externe.

L’OSINT devient alors une brique de cyber threat intelligence enrichie, au service de la résilience collective — un concept fondamental dans l’approche DORA.

4. Un outil compatible avec les exigences légales

Certaines entités hésitent à intégrer l’OSINT, craignant d’enfreindre des principes de confidentialité ou de collecte. Mais :

  • L’OSINT repose sur des sources licites (publiques, accessibles sans intrusion)

  • Il est parfaitement compatible avec le RGPD si les données personnelles sont analysées dans un objectif de sécurité, avec base légale (intérêt légitime)

  • La CNIL et d’autres autorités européennes reconnaissent la légitimité de l’OSINT à des fins de cybersécurité (La collecte de données issues de sources accessibles au public, dans un objectif de prévention des incidents de sécurité ou d’anticipation des menaces (cyberveille, threat intelligence), peut se fonder sur l’intérêt légitime." (page 9 du Guide CNIL «Cybersécurité et données personnelles, mai 2022).

Dans le cadre de DORA, cet outil n’est ni intrusif ni accessoire, mais un levier stratégique de mise en conformité.

Bonnes pratiques pour intégrer l’OSINT dans une gouvernance DORA et GRC

Article DORA

Thème / Obligation

Contribution de l'OSINT

Art. 5–15

Cadre de gestion des risques ICT

Veille sur menaces émergentes, vulnérabilités (CVE), cybercriminalité, fuites potentielles

Art. 17–20

Détection, gestion et notification d’incidents ICT

Identification rapide d’événements similaires dans l’écosystème (Twitter, dark web, RSS techniques, blogs)

Art. 23

Stratégie de communication de crise

Préparation basée sur analyse de crises publiques ; retours d’expérience de crises comparables

Art. 24–25

Test de plans de continuité (BCM/DRP)

Conception de scénarios crédibles via analyse d’incidents réels diffusés publiquement

Art. 26–27

Tests de pénétration fondés sur les menaces (TLPT)

Identification de TTPs réels utilisés par des groupes d’attaquants contre des entités similaires (ex. MITRE ATT&CK enrichi OSINT)

Art. 28–30

Gestion des risques tiers (fournisseurs)

Surveillance de la réputation cyber des prestataires (pannes, leaks, compromissions passées, sanctions)

Art. 39–41

Surveillance des prestataires de services ICT critiques

Détection de signaux faibles publics sur performance, incidents ou dépendances critiques

Art. 45

Partage d’information et coopération

Veille mutualisée sur incidents sectoriels, intelligence collaborative via forums, CERT, ISAC, GitHub, etc.

En conclusion, DORA représente une transformation profonde dans la manière dont les entités financières doivent appréhender leur sécurité numérique. Elle repose sur trois piliers essentiels :

  • L’anticipation des risques cyber,

  • La coordination des réponses,

  • La simulation de scénarios d’attaques.

Ces axes ne peuvent fonctionner efficacement sans une collecte préalable de renseignement, notamment sur les menaces émergentes, les vulnérabilités exploitées dans d’autres secteurs, ou les acteurs malveillants.

Même si l’OSINT (Open Source Intelligence) n’est pas mentionnée explicitement dans le texte du règlement DORA, elle est indispensable à la mise en œuvre des obligations réglementaires :

  • Articles sur les tests de pénétration (art. 26 et 27) : ils nécessitent une compréhension préalable des menaces réelles pour être pertinents.

  • Articles sur la gestion des risques ICT (art. 5 à 15) : la connaissance des signaux faibles permet une meilleure prévention.

  • Articles sur le partage d’informations entre entités financières (art. 45) : ces échanges incluent souvent des analyses fondées sur de l’OSINT.

Ainsi, le renseignement issu de sources ouvertes est un outil concret pour respecter l’esprit, sinon la lettre, du règlement DORA.

Un conseil aux dirigeants, RSSI et responsables conformité :

Ne pas inclure une stratégie OSINT dans le cadre de la conformité à DORA, c’est :

  • Réduire l'efficacité des systèmes de détection,

  • Limiter la capacité à anticiper des scénarios crédibles lors des simulations,

  • Compromettre la capacité à répondre rapidement à des crises numériques.

L’OSINT est donc un levier discret mais stratégique pour :

  • Alimenter les tests en contexte réel,

  • Adapter les mesures de résilience,

  • Étayer les rapports d’incident ou de conformité.

En conclusion, l’OSINT est un levier ignoré mais inévitable.

DORA impose un changement de paradigme : celui d’une résilience fondée sur l’anticipation, la coordination et la simulation.

Aucun de ces piliers ne peut se construire sans renseignement. Et dans un monde hyper-connecté, le renseignement commence par l’observation des signaux faibles publics.

Intelligence as a service

CONTACT

osint.protect AT proton.me

RCS : 949401673

© 2025. All rights reserved.