L'OSINT - Open Source Intelligence, renseignement en sources ouvertes - est un terme qui circule de plus en plus dans les conversations sur la conformité, la due diligence et la gestion des risques. Il est aussi souvent mal compris. Ce texte a pour objectif de clarifier ce que c'est concrètement, ce que ce n'est pas, et pourquoi ça change la nature d'une vérification.
Ce que c'est
L'OSINT consiste à collecter, croiser et analyser des informations légalement accessibles sur une personne, une entité ou une situation. Le mot « ouvertes » ne signifie pas « faciles d'accès » - il signifie « légalement accessibles à quiconque sait où chercher ».
Les sources OSINT incluent : les registres de sociétés dans plusieurs pays (BODACC, Infogreffe, Companies House, Zefix, registres américains), les bases de données judiciaires et d'insolvabilité, les archives de presse nationale et régionale, les réseaux sociaux professionnels et personnels, les bases de sanctions internationales (OFAC, UE, ONU, Trésor français), les bases de données de fuites de données publiques, les registres de bénéficiaires effectifs, et les plateformes d'avis et de signalement consommateurs.
Aucune de ces sources n'est confidentielle. Ce qui crée la valeur, c'est le croisement structuré de ces sources avec les bonnes techniques - et le fait de savoir où chercher quand les sources habituelles s'arrêtent.
Ce que ce n'est pas
L'OSINT n'est pas de la surveillance. Il ne s'agit pas de suivre les déplacements d'une personne, d'intercepter des communications, d'accéder à des données privées ou de recourir à des techniques d'infiltration. Tout ce qui sort du périmètre des sources légalement accessibles n'est pas de l'OSINT - c'est de l'espionnage, ou du travail de détective privé.
L'OSINT n'est pas non plus un outil de surveillance de masse. Une vérification OSINT porte sur une cible précise, dans un cadre défini, avec un objectif documenté. Elle ne produit pas de profils psychologiques, n'écoute pas les conversations et ne traque pas les activités privées.
Enfin, l'OSINT n'est pas un outil de harcèlement ou d'investigation sur la vie privée. Nous ne travaillons pas sur des mandats matrimoniaux, des enquêtes sur des comportements privés ou des dossiers sans dimension professionnelle ou commerciale claire.
Ce que ça trouve
Concrètement, une vérification OSINT bien conduite peut faire apparaître : des sociétés antérieures d'un dirigeant dissoutes dans des conditions problématiques, un historique judiciaire dans une ou plusieurs juridictions, une exposition aux listes de sanctions internationales, des affiliations avec des acteurs PPE ou des entités sous surveillance réglementaire, des incohérences entre le parcours déclaré et les sources disponibles, des signaux réputationnels dans la presse ou les plateformes en ligne, la présence de données compromises dans des fuites de bases de données, et des liens opérationnels ou structurels avec des entités qui posent question.
Ces éléments ne sont détectés par aucun outil de screening automatisé standard, parce qu'ils ne correspondent à aucune correspondance de liste. Ils n'apparaissent que dans le croisement structuré de sources multiples, conduit par un analyste qui comprend le contexte et sait interpréter ce qu'il trouve.
Pourquoi ça change la nature d'une vérification
Un outil de screening vérifie si une entité ou une personne apparaît sur une liste. L'OSINT vérifie qui est réellement cette entité ou cette personne, au-delà de ce qu'elle déclare. Ce n'est pas le même niveau d'information, ni le même niveau de protection pour le décideur qui s'appuie sur cette vérification.
Un rapport OSINT bien structuré ne dit pas seulement « rien trouvé » ou « alerte ». Il dit « voici ce que nous avons vérifié, voici les sources, voici ce que ça révèle, et voici ce que nous recommandons ». C'est un document défendable, pas une case cochée.