SHIELD

Réalité de l'exposition

Vos données sont déjà publiques. Ce que ça change vraiment.

La fiction du privacy first sert tout le monde sauf vous. Inventaire honnête de ce qui est déjà sorti, et bascule stratégique vers une sécurité opérationnelle de l'exposition assumée.

Publié le 18 min de lecture Général

Dernière revue:

Serveurs de données en rangées dans un datacenter

Le client signe le NDA, range le contrat dans son coffre, et sa boîte mail historique vient d’être dumpée dans un forum russe. Cette scène, je la vois tous les ans. Le NDA n’a jamais protégé ses données. Il protégeait juste le sentiment qu’elles étaient protégées.

Le piège habituel

Le discours dominant sur la cybersécurité, en 2026, ressemble à celui de 2013 : il commence par “protégez vos données”. Il suppose un état initial où vos données sont à vous, où elles vivent dans vos appareils et dans les comptes que vous contrôlez, et où la sécurité consiste à empêcher qu’elles sortent.

Cet état n’existe plus. Il n’a pas existé depuis longtemps.

Vos adresses mail historiques, vos numéros de téléphone, vos mots de passe hashés (parfois en clair), vos contacts, votre date de naissance, vos achats, vos déplacements approximatifs, votre composition foyer estimée, votre patrimoine inféré — toutes ces informations circulent déjà dans des bases que vous n’avez jamais consultées, chez des acteurs que vous ne connaissez pas, dans des juridictions où le RGPD n’a pas cours.

La fiction du privacy first — l’idée que vos données sont privées par défaut et qu’il suffit de les protéger pour qu’elles le restent — sert tout le monde sauf vous.

Elle sert les régulateurs, qui produisent du droit (RGPD, CCPA, LGPD, PIPL) en présupposant une confidentialité à restaurer, ce qui leur donne un mandat continu et une apparence d’efficacité.

Elle sert les éditeurs SaaS, qui vendent du chiffrement, de la DLPSolution qui détecte et bloque les fuites de données sensibles (mails, fichiers, presse-papiers)., du CASBSolution qui s'interpose entre les utilisateurs et les apps cloud pour appliquer des politiques de sécurité., de l’MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter., et facturent ces produits à des entreprises qui pensent acheter de la protection alors qu’elles achètent une posture de conformité.

Elle sert les utilisateurs, qui peuvent continuer à vivre comme si leurs données étaient privées, parce qu’il est plus confortable de fermer un coffre-fort que de regarder ce qui s’est déjà échappé.

Le résultat :

On durcit des coffres-forts pendant que la porte d’entrée est ouverte depuis dix ans, et personne ne regarde par cette porte.
Shield — shield.travel

Inventaire honnête de ce qui est déjà sorti

Vos données ne fuient pas dans un endroit. Elles fuient dans cinq couches superposées, dont chacune obéit à des règles différentes.

Couche 1 — Les brokers de données

L’industrie de la data brokerage est ancienne, massive, et largement invisible pour le grand public.

Acxiom, racheté par LiveRamp en 2018, maintient des profils sur environ 2,5 milliards de personnes, avec en moyenne 1500 attributs par profil. Experian, LexisNexis Risk Solutions, Oracle Data Cloud (anciennement Datalogix puis BlueKai), Epsilon — ces noms reviennent dans tous les rapports sectoriels depuis dix ans.

Ce qu’ils ont sur vous : nom, adresse, téléphone, mail, date de naissance, composition foyer, statut marital, enfants, revenus estimés, patrimoine estimé, propriété immobilière. Plus, et c’est là que ça devient inconfortable : achats, navigation web, géolocalisation approximative (collectée via les apps mobiles qui revendent), habitudes de consommation média. Plus encore : des scorings prédictifs — probabilité d’achat par catégorie, risque de divorce, risque financier, stade de vie, affinités politiques estimées.

Comment vos données arrivent chez eux : cartes de fidélité de supermarché, formulaires web banals (newsletter, concours, livre blanc), applications mobiles (météo, lampe torche, jeux gratuits — la palme du collectage opaque), partenariats opaques entre éditeurs SaaS, opt-out par défaut sur des cases pré-cochées.

Le RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. impose un droit d’accès et d’effacement, mais en pratique : les brokers européens (Mediascope, Schober, Klarna data products) répondent partiellement, les brokers américains opérant en Europe répondent dans des délais qui frôlent les limites légales, et les revendeurs en cascade rendent l’audit impossible — vous demandez l’effacement chez Acxiom, votre profil est réinjecté trois mois plus tard depuis une source secondaire.

Couche 2 — Les leak databases

Have I Been Pwned, le service public le plus visible, indexe en 2026 environ 13 milliards de comptes répartis sur plusieurs centaines de breaches. C’est la pointe de l’iceberg public — le service ne collecte que les leaks rendus publics.

En dessous, il y a DeHashed, Intelligence X, Snusbase, Constella Intelligence. Ces services payants (5 à 300 € par mois selon le tier) donnent accès à beaucoup plus : des dumps anciens jamais entrés chez HIBP, des mots de passe en clair issus de breaches mal hashés (notamment des sites des années 2010 utilisant MD5 sans salt), et parfois des données collectées depuis des forums dark web aujourd’hui disparus.

Les marchés où ces dumps ont circulé ont été saisis ou ont fermé — RaidForums (saisi par le FBI en 2022), Breached (fermé en 2023 après l’arrestation de son administrateur) — mais les dumps eux-mêmes ont survécu. Ils sont rachetés, repackagés, et continuent à circuler chez des acteurs moins visibles.

Cas emblématiques que tout le monde devrait connaître :

  • Collection #1 (janvier 2019, révélé par Troy Hunt) : 773 millions d’adresses mail uniques, 21 millions de mots de passe en clair, agrégat de centaines de breaches antérieurs
  • LinkedIn 2021 : 700 millions de profils scrapés, incluant les emails liés aux comptes (revendus à 5000 $ pour le dump complet)
  • Facebook 2019 (publié en 2021) : 533 millions de profils, incluant les numéros de téléphone
  • 23andMe 2023 : données génétiques de 6,9 millions de comptes, avec des conséquences à 50 ans d’horizon
  • OPM 2015 (États-Unis) : 21,5 millions de dossiers de fonctionnaires fédéraux, incluant les enquêtes de sécurité

Si vous avez utilisé internet entre 2010 et 2020, vous êtes statistiquement dans au moins un de ces dumps.

Couche 3 — Les registres publics

Ce qui suit n’est pas une fuite — c’est de l’information publique légalement obligatoire que personne ne pense à inclure dans sa cartographie d’exposition.

En France : le BODACC publie les annonces légales (créations de sociétés, jugements, procédures collectives), Pappers et Infogreffe rendent consultables le RCS (dirigeants, mandats sociaux, bilans), l’INPI publie les marques et brevets. En Royaume-Uni : Companies House, OpenCorporates. Aux États-Unis : registres d’État (Delaware, Nevada), PACER pour les décisions judiciaires fédérales. En Suisse : Zefix, ainsi que les registres fonciers cantonaux selon les cantons.

Pour un dirigeant, ces sources cartographient en quelques minutes : votre vie professionnelle complète (toutes les sociétés où vous avez eu un mandat, leurs dates, votre rémunération si vous étiez dirigeant d’une société cotée), vos litiges (toute décision de justice publiée), vos déménagements professionnels (changements d’adresse de siège), votre patrimoine immobilier dans certaines juridictions.

Le RGPD ne s’applique pas : ces données sont publiques par la loi.

Couche 4 — Les archives

Internet a une mémoire que vous n’avez pas choisie.

La Wayback Machine de l’Internet Archive capture des pages depuis 1996. Votre site personnel hébergé chez Free.fr en 2008, votre profil LinkedIn de 2012 quand vous étiez consultant junior, le forum de discussion sur lequel vous étiez actif sous votre vrai nom à 22 ans — tout est consultable, à condition de savoir chercher.

archive.today (anciennement archive.is) propose la capture à la demande : n’importe qui peut prendre un snapshot permanent d’une page, sans que vous puissiez vous y opposer. Pas de mécanisme officiel de retrait.

Google Cache historique a été progressivement réduit depuis 2020, mais reste accessible via certaines requêtes spécifiques pour des pages anciennes.

Les outils OSINT spécialisés (Maltego, Spiderfoot HX, Bellingcat Toolkit) consolident ces sources en quelques minutes. Un audit sérieux sur une personne identifiée prend deux à quatre heures.

Couche 5 — Les réseaux sociaux indexés

LinkedIn est le pire offender pour les profils business : votre CV complet, vos contacts (selon vos paramètres), votre historique de mobilité, vos prises de position publiques sur dix ans, vos “I’m speaking at…” qui révèlent vos voyages.

Twitter / X conserve seize ans de prises de position, dont une partie significative est indexée par Google même après suppression du compte.

Les métadonnées sont parfois plus révélatrices que les contenus : qui vous likez, qui vous partagez, à quels horaires vous êtes actif (révèle votre fuseau horaire et donc vos déplacements), avec qui vous interagissez fréquemment (révèle votre cercle proche).

Pourquoi vous ne pouvez pas reprendre le contrôle

À ce stade, la tentation est de dire : “OK, je fais le grand ménage”. Cette tentation est légitime, et largement vouée à l’échec.

L’architecture du leak est distribuée. Vos données ne sont pas dans un endroit, mais dans des dizaines de copies répartis dans des juridictions multiples, chez des acteurs aux intérêts divergents. Demander l’effacement à un acteur n’efface rien chez les autres.

Le droit à l’oubli a une portée limitée. L’article 17 du RGPD est conditionné (données non nécessaires, retrait du consentement, etc.) et soumis à des exceptions étendues (liberté d’expression, intérêt public, prétentions en justice, archives). En pratique, le déréférencement Google EU fonctionne, la suppression chez un opérateur RGPD actif fonctionne, le reste fonctionne mal.

L’effet Streisand existe. Demander la suppression amplifie souvent l’exposition. Une démarche RGPD agressive envers un journal réveille la mémoire institutionnelle. Une demande à Google produit une notification à l’éditeur de la page source, qui peut décider de la mettre encore plus en avant.

La revente est perpétuelle. Un dump leaké en 2019 sera revendu en 2030. Les marketplaces fermées sont remplacées par d’autres. Le coût marginal de stockage des dumps est nul, leur valeur s’amortit sur des décennies.

L’audit est impossible. Vous ne savez pas qui détient quoi, vous ne pouvez pas demander à des acteurs que vous ignorez. Même les services d’opt-out brokers (Incogni, DeleteMe, Optery, Privacy Duck) ne couvrent qu’une partie de l’industrie identifiée — et n’ont aucune prise sur les leak databases.

Le pivot stratégique

C’est ici que se trouve la bascule mentale qui change tout le reste.

Cette bascule n’est pas une capitulation. C’est un réalignement avec la réalité.

Compartmentation, pas confidentialité

Au lieu de chercher à “tout protéger” — objectif impossible — vous séparez les identités par usage. Un mail civil pour la banque, le fisc, le syndic. Un mail professionnel public pour LinkedIn, les conférences, les médias. Un mail professionnel sensible pour les dossiers M&A, contentieux, négociations. Un mail opérationnel pour les services tiers, les abonnements, les achats en ligne.

Une fuite sur l’identité opérationnelle (la plus exposée, par construction) ne contamine pas l’identité sensible. C’est l’objet de l’article Compartmentation d’identité.

Rotation, pas permanence

Un mot de passe a une durée de vie. Une adresse mail aussi. Un numéro de téléphone aussi.

Mot de passe : 3 mois pour les comptes critiques, 6 mois pour les autres. Avec un gestionnaire de mots de passe, c’est mécanique.

Adresse mail opérationnelle : 12 à 24 mois. Vous abandonnez l’adresse, vous redirigez les services importants vers la nouvelle, vous laissez mourir le reste.

Numéro de téléphone : 3 à 5 ans pour le numéro pro public, plus stable pour le civil mais avec une vigilance accrue sur l’opérateur (voir SIM swap).

Cette rotation est inconfortable la première fois. Ensuite, elle devient une discipline, comme se brosser les dents.

Résilience, pas prévention absolue

Vous serez compromis un jour. La question n’est pas “si”, mais “quand” et “comment vous réagissez”.

Préparer la réponse, pas la prévention. Plan d’incident personnel d’une page, contacts d’escalation identifiés, comptes critiques avec FIDO2 hardware (qui résiste au phishing), backup chiffré stocké hors juridiction principale.

C’est l’objet de l’article Incident response sur le terrain.

Threat modeling à partir d’un état de fuite

L’inventaire de votre exposition connue (voir L’audit d’exposition) devient le point d’entrée de toute stratégie.

Pour chaque exposition, vous classez : critique (action immédiate), sensible (action programmée), publique (acceptée, documentée), bénigne (ignorée).

Pour chaque critique, vous décidez : muter (changer l’identifiant sous-jacent), retirer (fermer le compte, demander le déréférencement), accepter (avec préparation de la réponse en cas d’exploitation).

Ce que ça implique concrètement

Angle de lecture

Pour vous, en tant que personne

Vous avez probablement entre une et trois adresses mail principales utilisées partout depuis dix ans. Vous avez probablement réutilisé des mots de passe entre services, avec des variations minimes. Vous avez probablement un compte LinkedIn ouvert, un compte Facebook que vous n’utilisez plus mais qui existe, des dizaines de comptes sur des services oubliés.

Vos trois priorités, dans cet ordre :

  1. Vérifier ce qui est déjà sorti. Allez sur Have I Been Pwned, vérifiez chacune de vos adresses mail historiques. Notez ce qui apparaît. Si un mot de passe encore en usage est dans un dump : changez-le immédiatement, partout où vous l’avez réutilisé.

  2. Sécuriser le mail principal et le gestionnaire de mots de passe. Ces deux comptes sont les racines de tout le reste. Mot de passe long unique, MFA hardware (YubiKey ou équivalent — deux clés minimum), pas de récupération SMS, pas de récupération par “question secrète”.

  3. Lancer la compartmentation par usage. Créer un compte mail dédié pour les services tiers (un alias SimpleLoginService d'alias d'email permettant de masquer son adresse réelle, acquis par Proton en 2022. ou Hide My Email Apple suffit pour commencer). Migrer progressivement les inscriptions vers cet alias. Garder le mail civil pour les institutions, point.

Le reste est un travail continu sur plusieurs mois. Pas une journée. La bonne discipline n’est pas un sprint.

Pour vous, RSSI / DSI / dirigeant

Vous gérez probablement la sécurité d’une organisation. Vos arbitrages d’investissement portent sur du périmétrique (firewall, EDR, SIEM, SOC) et de l’applicatif (DLP, CASB, ZTNA). Vous avez probablement un budget de cybersécurité qui croît, et un sentiment lancinant que ça n’avance pas en proportion.

La bascule “état de fuite assumé” change votre cadrage stratégique en quatre points :

1. Votre périmètre n’a jamais été votre périmètre.

Vos collaborateurs ont leurs adresses mail personnelles dans des dumps publics depuis cinq à dix ans. Vos dirigeants ont leur profil LinkedIn complet, leurs adresses domicile dans des registres, leurs trajectoires professionnelles cartographiées. Vos clients ont la même exposition. Le périmètre que vous protégez est une fiction comptable, pas une réalité opérationnelle.

Conséquence directe : votre threat modelCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. doit intégrer l’exposition externe de vos personnes-clés comme une donnée d’entrée, pas comme un sujet collatéral. Un audit d’exposition annuel sur le COMEX et les fonctions sensibles (juridique, M&A, R&D, finance) est aussi structurant qu’un pentest applicatif.

2. Le pivot social engineering passe par l’exposition publique.

Les attaques sérieuses en 2026 ne commencent pas par un exploit zero-day sur votre périmètre. Elles commencent par un mail crédible adressé à votre directeur juridique, construit à partir de son historique LinkedIn (relations, intérêts, ton), validé par sa fonction (visible publiquement), et déclenché par un événement opportun (M&A annoncée, contentieux public, déplacement à l’étranger).

Le rapport ENISA Threat Landscape 2023 confirme : la chaîne d’attaque dominante combine OSINT amont, social engineering ciblé, et exploitation d’un accès légitime obtenu. Votre EDR ne voit rien de tout ça.

Conséquence directe : votre programme de sensibilisation doit être ciblé par profil de risque, pas généralisé. Les dirigeants exposés méritent un briefing distinct, des canaux de communication spécifiques, et un protocole de validation hors-bande pour les demandes inhabituelles.

3. La compliance RGPD vous donne une fausse mesure de protection.

Vos obligations RGPD portent sur les données que vous traitez. Elles ne portent pas sur ce qui est déjà sorti chez vos clients, vos partenaires, vos prestataires. Une organisation parfaitement conforme RGPD peut être totalement exposée opérationnellement.

Conséquence directe : séparer dans votre tableau de bord deux indicateurs distincts. Conformité (RGPD, ISO 27001, NIS 2) — votre couverture juridique. Exposition (audit OSINT du COMEX, monitoring des leak DBs sur les emails corporate et personnels des dirigeants, surveillance des registres) — votre exposition opérationnelle réelle. Ce deuxième tableau est souvent absent — ou pire, sous-traité à une solution marketing qui ne fait que reformater des données publiques.

4. Votre budget devrait basculer en partie vers la résilience.

Si vous acceptez que la compromission n’est pas une éventualité mais une certitude à horizon de quelques années, le ratio prévention / détection / réponse / récupération change.

En pratique, beaucoup d’organisations dépensent 60 à 70 % en prévention, 20 à 30 % en détection, et un solde résiduel en réponse et récupération. Une distribution alignée sur “état de fuite assumé” se rapproche d’un 35 / 30 / 20 / 15 — avec une montée en charge significative sur la capacité de réponse (équipe de garde, partenaires forensics, plan de communication crise pré-rédigé) et de récupération (sauvegardes testées, isolation, plans de continuité).

C’est un changement de gouvernance, pas seulement de budget. Il se discute au COMEX, pas en comité de direction technique.

Pour vous, dirigeant

Votre RSSI vous a dit que l’organisation est protégée. Il a probablement raison sur ce qu’il protège : votre infrastructure, vos applications, vos postes de travail. C’est son métier, il le fait.

Ce qu’il ne vous a probablement pas dit, parce que c’est hors de son périmètre : votre adresse mail personnelle historique, votre numéro de mobile, votre nom complet avec votre fonction et votre photo sont dans des bases de données que des attaquants consultent pour le prix d’un déjeuner. Et ça, aucun firewall ne le protège.

Trois questions à poser à votre prochain point sécurité :

  1. “A-t-on fait un audit d’exposition sur les membres du comité de direction ?” Pas un audit de l’infrastructure. Un audit de ce qui est publiquement trouvable sur les personnes.

  2. “Si mon compte mail principal était compromis ce soir, combien de temps avant qu’on s’en aperçoive ?” Une réponse précise existe dans les organisations qui ont anticipé. Un silence est une réponse aussi.

  3. “Notre certification couvre-t-elle une attaque construite à partir de données publiques sur moi ?” La plupart des certifications attestent des processus, pas de l’exposition réelle des dirigeants.

Le test : savoir si la protection correspond à la menace réelle, ou à la menace facile à facturer.

Pour qui c’est important

Tout le monde, mais avec des seuils de criticité différents.

Pour le public général : la majorité des fuites a un impact diffus — spam ciblé, scams crédibles, parfois SIM swap si le profil est suffisamment exposé pour valoir l’effort. La discipline minimale (mail principal sécurisé, FIDO2 sur le critique, audit d’exposition annuel) suffit dans 95 % des cas.

Pour les profils exposés : dirigeants, journalistes, avocats, médecins de personnalités, dissidents, personnes à patrimoine visible, personnes en contentieux familial ou professionnel conflictuel. Ici, la compartmentation devient structurante, l’audit d’exposition trimestriel, le conseil dédié pour les voyages sensibles. Le ratio d’investissement personnel dans la sécurité opérationnelle doit être proportionnel à l’exposition.

Cas critique : profils impliqués dans M&A en cours, contentieux pénal, divorce conflictuel avec stakes financiers significatifs, exposition médiatique active. Le seuil bascule. C’est l’objet de l’article Dirigeant exposé.

Erreurs qu’on voit tout le temps

  • “J’ai un VPN, donc je suis protégé.” Confusion entre confidentialité de transit (ce que protège un VPN) et confidentialité d’identité (qui dépend de la compartmentation, et zéro d’un VPN).
  • “Je n’ai rien à cacher.” Confusion entre cacher et contrôler. Vous avez tout intérêt à contrôler ce qui sort, ce qui ne dit pas qu’il faut le cacher.
  • “J’ai changé mes mots de passe.” Sans rotation des identités sous-jacentes — emails, numéros — vous n’avez changé que la serrure d’une porte qui s’ouvre par dix autres entrées.
  • “Je n’utilise pas Facebook.” Sans considérer LinkedIn (le plus exposant pour les profils business), l’employeur précédent (CV en cache), le syndic (informations résidentielles), le registre du commerce (mandats sociaux).
  • “L’entreprise est protégée.” Sans considérer que la personne physique qui dirige l’entreprise est exposée individuellement, et que l’attaquant cible la personne pour atteindre l’entreprise.

Checklist actionnable

  • N1 Faire l'audit d'exposition personnel (HIBP + Google dorks sur soi) — voir l'article dédié
  • N1 Sécuriser le mail principal et le gestionnaire de mots de passe : FIDO2 hardware, deux clés minimum, pas de récupération SMS
  • N2 Lister ses identifiants critiques (mail, téléphone, comptes financiers, comptes cloud) et planifier leur rotation à 12 mois
  • N2 Cartographier ses identités par usage actuel (civil / pro public / pro sensible / opérationnel) — décider du modèle cible
  • N2 Identifier les 3 expositions les plus critiques et décider pour chacune : muter, retirer, accepter
  • N3 Construire un plan d'incident personnel (1 page A4) : qui appeler, quoi bloquer en premier, où sont les backups
  • N3 Pour profil exposé : audit d'exposition trimestriel par un tiers (regard neuf)
  • N3 Pour organisation : intégrer un indicateur 'exposition externe COMEX' au tableau de bord cybersécurité trimestriel
  • N3 Pour organisation : rééquilibrer le budget cybersécurité avec une part claire pour la résilience (forensics, réponse, communication crise)

Pour aller plus loin

Les sources structurantes sur le sujet (livres, rapports, journalisme) figurent dans le frontmatter de cet article. Trois lectures à privilégier si vous voulez creuser :

  • Bruce Schneier, Data and Goliath (2015) — analyse systémique de la surveillance commerciale et étatique. Daté sur certains chiffres, intemporel sur les mécanismes.
  • Carissa Véliz, Privacy Is Power (2020) — angle philosophique et politique sur la privacy comme bien commun. Lecture courte, percutante.
  • ENISA Threat Landscape, édition annuelle — l’état du paysage de la menace en Europe, mis à jour chaque année par l’agence de cybersécurité européenne. Lecture longue, utile pour cadrer la veille.

Pour les pratiques actionnables qui découlent de ce cadrage, voir les autres articles de l’axe Réalité de l’exposition : L’audit d’exposition, Compartmentation d’identité, Brokers de données, Le droit à l’oubli.

Sources et lectures complémentaires

Articles liés