Une cyberattaque se produit toutes les 39 secondes dans le monde ! Face à une évolution exponentielle et au retour de la conflictualité dans les relations étatiques, il ne fait plus aucun doute que les manœuvres dans le cyberespace ont pris et prendront une place majeure dans les futures crises. Dès 2008, le Livre blanc sur la Défense et la Sécurité nationale accordait une place importante à cette menace, estimant que « le niveau quotidien actuel des agressions contre les systèmes d’information, qu’elles soient d’origine étatique ou non, laisse présager un potentiel très élevé de déstabilisation de la vie courante, de paralysie de réseaux critiques pour la vie de la nation, ou de déni de fonctionnement de certaines capacités militaires ⁽¹⁾ ».

Le Livre blanc sur la Défense et la Sécurité nationale de 2013 définit le cyber-espace comme un nouveau champ de confrontation, à part entière ⁽²⁾. Il constitue ainsi un espace de contestation voire d’affrontement pour les États, mais aussi un lieu de développement de phénomènes criminels pour des réseaux de plus en plus structurés. Il constitue également un espace où les frontières entre les actions criminelles et l’affrontement entre États se sont diluées. La numérisation de nos sociétés a engendré une forme d’« hybridité » où la cyberguerre côtoie le conflit conventionnel, où certaines « armes cyber » sont les outils utilisés par la cybercriminalité, où les cybercriminels d’un jour deviennent des cybercombattants le jour d’après – à l’image du groupe de hackers Anonymous engagé aux côtés de l’Ukraine dans la guerre qui l’oppose à la Russie ⁽³⁾ – où une cyberattaque non étatique peut engendrer des conséquences sur les activités étatiques.

C’est ainsi qu’en 2019, un rapport de la commission d’enquête du Sénat sur la souveraineté numérique affirmait que « loin de l’utopie égalitaire de ses débuts, le cyberespace est devenu un lieu d’affrontement mondial où s’exercent luttes d’influence, conflits d’intérêts, et logiques sociales et économiques antagonistes ⁽⁴⁾. » Dans nos vies quotidiennes, le numérique est présent partout : dans nos véhicules, nos communes (gestion du trafic routier, caméras de vidéoprotection, etc.), nos domiciles (domotique, etc.), nos téléphones, sur nos postes de travail, etc. Cette hyper-connectivité de nos équipements et réseaux ainsi que la prépondérance du numérique dans notre quotidien a ouvert un large champ d’action tant pour les groupes criminels que pour les officines, appelées « proxies », agissant au nom de certains États. Ainsi, dans le cyberespace, personne n’est à l’abri (particuliers, entreprises, institutions, collectivités territoriales, médias, établissements hospitaliers, etc.), ni d’attaques crapuleuses, ni d’attaques de déstabilisation dans un but militant ou politique.

Le cyberespace – constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment Internet, et par les données qui y sont traitées ⁽⁵⁾ – apparaît dès lors comme un espace d’opportunité où le principe « risque-efficacité » est particulièrement favorable aux attaquants. Selon certaines études ⁽⁶⁾, les attaques par rançongiciel ⁽⁷⁾ peuvent atteindre 746 % de rentabilité, soit un retour sur investissement jamais égalé jusque-là dans les phénomènes criminels. Ainsi, les trafics en ligne (commerce d’armes, de drogues, de médicaments, etc.), la vente de données dématérialisées (données personnelles, informations bancaires, documents confidentiels, etc.), les arnaques, les attaques par déni de service (DDoS), les wiper ⁽⁸⁾ ou encore les rançongiciels, les piratages de contenus sont autant des sources de revenus importants que des moyens de désorganisation des structures.

Les différents compétiteurs, comme les criminels et cybermilitants de tous bords (ou hacktivistes), ont donc bien compris les formidables opportunités qu’offre le cyberespace, diluant de fait les frontières entre civil et militaire, public et privé, actions des États et de groupes criminels. Les mêmes logiciels malveillants ⁽⁹⁾ sont utilisés tant par les cyberattaquants, appuyant les guerres conventionnelles entre États, que par les réseaux criminels ou les hackers s’opposant à des États dans une confrontation directe, prenant en cela part à une nouvelle forme de « conflit numérique » ou de contestation, que Bertrand Boyer, officier des troupes de Marine, appelle la « guérilla 2.0 » ⁽¹⁰⁾.

C’est donc dans cet espace à la fois familier et « dangereux » pour chaque citoyen, chaque entreprise, chaque institution, et face à l’augmentation très forte du niveau de la menace d’origine cyber que la Gendarmerie nationale a souhaité créer, le 25 février 2021 ⁽¹¹⁾, le ComCyberGend – le Commandement de la Gendarmerie dans le cyberespace. En structurant sa chaîne cyber, elle inscrit dès lors sa stratégie dans une volonté globale de l’État d’être en capacité de répondre aux cyberattaques et de faire preuve de résilience dans les domaines de la défense et la sécurité.

La formalisation d’une chaîne cyber, intégrée et unique, permet de se ques-tionner sur la contribution de la Gendarmerie nationale, et son nouveau commandement cyber, à la défense et la sécurité nationale au sein du cyberespace ? Au-delà de la lecture fonctionnelle (anticipation opérationnelle, prévention et investigations), que peut apporter davantage aux armées, sur le territoire national ou les théâtres d’opérations extérieures, la Gendarmerie ⁽¹²⁾ ? Quel peut être son rôle face à des attaques sur le territoire national accompagnant un conflit de haute intensité, ses possibilités d’appui aux armées, les nouvelles pistes de coopération pour assurer la continuité de l’action de l’État dans les trois notions du triptyque « compétition-contestation-affrontement » dans le cyberespace ? Enfin, au-delà du volet opérationnel, quelles sont les pistes de réflexion pour favoriser une politique de ressources humaines volontariste, à la fois attractive et résiliente ?

Un cyberespace marqué par un effritement de la frontière entre les enjeux de défense nationale et la lutte contre la criminalité

Quelle est la physionomie de l’environnement numérique dans lequel le ComCyberGend et l’ensemble de la communauté cyber évoluent ? Comme tous les champs d’intervention (terre, air, mer), le cyberespace a justifié le développement d’une stratégie de défense et de sécurité. Dans un document publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en février 2011 et intitulé « Défense et sécurité des systèmes d’information – Stratégie de la France », la cybersécurité est déjà définie comme l’« état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptible de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ⁽¹³⁾. »

Ainsi, la cybersécurité recouvre trois champs distincts mais complémentaires :

• Les mesures de protection des infrastructures contre les menaces et les attaques.

• La cyberdéfense définie comme « l’ensemble des moyens mis en place par un État pour défendre dans le cyberespace les systèmes d’information jugés d’importance vitale, qui contribuent à assurer la cybersécurité. La cyberdéfense met notamment en œuvre la lutte informatique défensive et la lutte informatique offensive ⁽¹⁴⁾. » Depuis 2017, date de la définition, il est admis que la Lutte informatique d’influence (L2I) en est également une déclinaison.

• La lutte contre la cybercriminalité, définie comme l’ensemble des « actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible ⁽¹⁵⁾. »

Elle prend donc forme lorsqu’une entité attaquante effectue un enchaînement d’actions via des voies numériques ou physiques pour exploiter les propriétés du cyber-espace, notamment ses vulnérabilités, techniques ou structurelles, afin de réaliser des effets, eux-mêmes d’ordre numérique ou physique ⁽¹⁶⁾.

Une menace cyber protéiforme

Comme dans n’importe quel phénomène criminel, cette menace peut prendre différentes formes et relever de motivations diverses. Yann Salamon, dans son ouvrage Cybersécurité, Cyberdéfense (2020), dégage trois catégories d’attaquants cyber : les groupes « professionnels » qui agissent pour leur propre compte, les cyberattaquants qui agissent en sous-traitance d’une organisation plus large (agence étatique ou entreprise privée) et, enfin, ceux appartenant et agissant directement pour le compte d’un commanditaire (États, mafias ou groupes terroristes) ⁽¹⁷⁾.

Les motivations des cyberattaquants peuvent être par ailleurs de différents ordres :

– étatiques (espionnage, déstabilisation, attaques sur des infrastructures critiques d’États),

– lucratives et compétitives (vol de cryptomonnaies, rançonnage, vol de secrets industriels, sextorsion, faux investissements, escroqueries de tout type),

– idéologiques et politiques (activisme en ligne, incitation à l’émeute, appel à la violence contre les institutions, cyberterrorisme, atteinte à la démocratie, manipulation de l’information portée par des « hacktivistes »),

– émotionnelles ou sentimentales (revenge porn),

– ludiques ou récréatives (relever des défis techniques et intégrer une communauté en tant que « white hats » ⁽¹⁸⁾, « grey hats » ou « black hats » ⁽¹⁹⁾),

– et, enfin, défensives (riposte à une première attaque en neutralisant les effets ⁽²⁰⁾).

Enfin, certains phénomènes de criminalité traditionnelle trouvent une transposition numérique, comme les atteintes aux personnes (proxénétisme en ligne, haine en ligne, usurpation d’identité, atteintes sexuelles sur mineurs en ligne) ou les services illégaux en ligne (trafics de stupéfiants ou d’armes, réseaux liés à la pédocriminalité, fraude documentaire, cybercrime en tant que service).

La Revue stratégique de cyberdéfense de février 2018 mentionne par ailleurs que les attaquants informatiques poursuivent quatre types d’objectifs, non exclusifs entre eux : l’espionnage (exemple de la cyberattaque SolarWinds révélée en décembre 2021 sur certaines administrations américaines), les trafics illicites, la déstabilisation et le sabotage ⁽²¹⁾ (qui peut, dans certains cas, préparer les conflits de demain en cartographiant et en pré-positionnant des implants informatiques pour d’éventuelles actions).

Des cyberattaques aux caractéristiques singulières

Les cyberattaques, à la différence des actions de conflit conventionnel ou de criminalité traditionnelle, se caractérisent par certains facteurs déterminants, expliquant la progression exponentielle de ces modes d’action, tant dans le domaine de la cybercriminalité que des guerres hybrides.

La première particularité des cyberattaques tient à leur simplicité de mise en œuvre et leur automaticité. Relativement faciles d’accès, par des kits, des plateformes de service en ligne et un « service après-vente » par forums, les technologies cyber se démocratisent à la fois matériellement et financièrement. Elles permettent à des individus avec peu de compétences de lancer des attaques sophistiquées. De plus, un programme malveillant ou des modalités d’action même « basiques » mais répliquées des centaines de milliers de fois sur une vaste échelle au moment opportun peuvent produire des perturbations conséquentes. L’exemple, en mai 2017, de l’attaque s’appuyant sur le logiciel WannaCry, un « simple » rançongiciel, était parvenu à infecter plus de 300 000 ordinateurs, dans 150 pays. De grandes administrations et de grandes entreprises avaient été touchées, à l’image du National Health Service britannique, du constructeur automobile français Renault, de l’entreprise de fret américaine FedEx ou encore de l’entreprise de télécommunications espagnole Telefónica. La cybercriminalité engendre donc, dans le monde, un coût social exorbitant de près de 6 000 milliards de dollars, soit 0,8 % du PNB mondial ⁽²²⁾. Elle est ainsi devenue le troisième plus grand fléau économique dans le monde derrière la corruption dans le secteur public et le trafic de stupéfiants.

La deuxième caractéristique est que ce fléau moderne n’épargne personne. Il se caractérise par l’universalité de l’impact sur les populations (près de deux tiers des personnes qui utilisent des services en ligne, soit plus de deux milliards d’individus), un risque faible pour des gains élevés (les coûts des dommages liés à la cybercriminalité sont estimés à 1 000 Md $ en 2021 ⁽²³⁾) et surtout une sorte de persistance, avec des attaques qui s’appuient de plus en plus sur le principe du « rebond », c’est-à-dire la possibilité d’analyser les données exfiltrées d’une première attaque afin d’identifier la manière de lancer la suivante. Ainsi, depuis le début de la crise sanitaire, les cyber-attaques ont explosé de 255 % ⁽²⁴⁾. Selon l’ANSSI, 11 % des cyberattaques ont concerné des hôpitaux et 20 % des collectivités territoriales. Mais ce sont les petites et moyennes entreprises qui sont devenues les cibles principales avec 44 % des cyber-attaques, les 2/3 ayant subi au moins une tentative de fraude ⁽²⁵⁾.

Fort de ces constats, il appert que les forces et la singularité des modes d’actions cyber, utilisés de façon massive par les groupes criminels permettent, dans le cadre de conflictualité ou d’affrontement, à des États, milices ou partisans, de mettre en œuvre facilement et rapidement des actions d’infiltration des systèmes pouvant potentiellement déstabiliser un État et sa société et, par effet rebond, engendrer un impact sur la défense et les intérêts supérieurs de la Nation. Car l’objectif est bien celui-ci : le cyber-espace est essentiellement composé de la représentation de la société civile. Les individus, les entreprises publiques et privées, les administrations côtoient, dans ce monde artificiel, un monde militaire, dont l’empreinte numérique est à la fois réduite et très sécurisée (systèmes d’armes, transmissions, centres de commandement). De fait, l’arme cyber s’exercera prioritairement sur l’environnement civil, moins protégé, mais dont les atteintes portées peuvent mettre en danger le fonctionnement normal de la société et porter atteinte à la sûreté de l’État. En effet, au-delà des secteurs d’importance vitale (énergie, santé, etc.), le ciblage de sous-traitants de la défense ou de l’environnement personnel des militaires, dans une nouvelle forme de guerre psychologique, pourra affecter par effet ricochet la défense et les armées ⁽²⁶⁾. Ce nouveau type de confrontation se retrouve d’ailleurs dans la définition de la « menace hybride » proposée par Frank G. Hoffman, officier du Corps des Marines, qui la définit comme « un mélange d’armes conventionnelles, de tactiques irrégulières, de terrorisme et de comportements criminels dans l’espace de bataille afin d’atteindre ses objectifs politiques ⁽²⁷⁾. »

Face à ce défi, combinant à la fois défense et sécurité intérieure, les acteurs de la lutte contre les cybermenaces ont mis en place des stratégies, affiché une ambition et organisé une réponse coordonnée entre services de l’État.

La Gendarmerie en ordre de marche face à la menace cyber

Avec la création du ComCyberGend, la Gendarmerie s’est mise en ordre de bataille en rassemblant l’ensemble de ses forces cyber pour offrir une structure unique dont l’objectif est d’assurer visibilité ⁽²⁸⁾, lisibilité, cohérence, coordination et efficience dans un domaine où elle a investi depuis de nombreuses années, en obtenant des résultats remarquables ⁽²⁹⁾. Face à une constante augmentation ⁽³⁰⁾ du nombre de faits constatés, la Gendarmerie a souhaité s’engager de façon globale dans la prévention des cyber-menaces et la lutte contre la cybercriminalité en s’appuyant sur son maillage territorial, mais aussi sur une chaîne cyber « CyberGend » ⁽³¹⁾ structurée et reconnue pour ses compétences et son haut niveau d’expertise.

Des missions qui se déclinent dans les trois couches du cyberespace

La Gendarmerie intervient dans le cadre de ses missions quotidiennes de sécurité publique dans la couche physique. Ce premier niveau du cyberespace représente l’ensemble des infrastructures (serveurs, centres de traitement de données – Data Centers –, réseaux de fibres optiques terrestres et sous-marines ou encore réseaux de communication utilisant des ondes électromagnétiques, telles que les antennes de télécommunication) qui permet l’acheminement et l’échange de données. Ainsi, les unités de Gendarmerie assurent une mission de protection sur 95 % du territoire national, dans le cadre de la surveillance générale, pour lutter contre des actes de délinquance d’appropriation (vol de câbles de cuivre pour leur valeur marchande) ou des actes malveillants (détérioration des antennes relais de téléphonie par des groupes contestataires) et ainsi empêcher les perturbations de fonctionnement induites.

Mais son action la plus significative, notamment via sa chaîne « CyberGend », se réalise dans les couches logique et cognitive. Constituée par l’ensemble des programmes qui permettent d’accéder aux différents réseaux du cyberespace, de les exploiter et d’assurer le transport des données, la couche logique est le principal espace de mise en œuvre de la fonction prévention, tant auprès de la population que du monde économique (PME, TPE) et des acteurs institutionnels locaux. Car 80 % des incidents de sécurité cyber résultent d’une mauvaise utilisation de l’outil numérique par l’usager : ainsi les courriels et les techniques d’ingénierie sociale, c’est-à-dire les actions qui poussent ou incitent la victime à aider l’attaquant à atteindre ses objectifs ⁽³²⁾, sont les failles les plus utilisées par les cyberattaquants pour infiltrer un système. La Gendarmerie mène donc depuis de nombreuses années des actions de sensibilisation à l’hygiène numérique, par le biais de ses référents « sécurité économique », auprès des acteurs publics et privés de proximité, afin de réduire la surface d’attaque et les comportements numériques inappropriés.

La prise en compte de la couche cognitive ou informationnelle, espace d’interactions sociales et d’accès à l’information au quotidien, est également un enjeu majeur, de par son impact sur la « vie réelle ». Pages Internet, réseaux sociaux, messageries instantanées, cette couche, par essence ouverte et globale, difficile à réguler totalement compte tenu de son étendue et de sa nature, induit mécaniquement un grand nombre de vulnérabilités, chaque élément constitutif pouvant être exploité, transformé ou détourné par un acteur malveillant. C’est donc dans cet espace immense – plus d’1,8 Md de sites Internet représentant plus de 4,5 Md de pages, de plus de 330 millions de noms de domaines enregistrés – que les fonctions anticipation, par le biais de « cyberpatrouilleurs », et investigations par les enquêteurs numériques travaillant en infiltration, vont notamment s’exercer. En outre, la désinformation, les activités de propagande ou encore les rumeurs et autres Fake News véhiculées de plus en plus rapidement dans le cyberespace font l’objet d’une vigilance à la fois par les canaux du renseignement territorial (Sous-direction de l’anticipation opérationnelle, SDAO) mais aussi par la composante communication (Sirpa) de la Gendarmerie. La diffusion de certains contenus pouvant en effet avoir des conséquences graves en ordre public, la Gendarmerie a obligation de s’engager, aux côtés des partenaires institutionnels en charge du renseignement et de la Lutte informatique d’influence (L2I), afin de détecter et caractériser au plus tôt les tentatives de désinformation.

La structuration d’une chaîne cyber fédérée au sein d’un commandement dédié

S’inscrivant pleinement dans la stratégie de transformation « Gend 20.24 » voulue par le Directeur général de la Gendarmerie nationale ⁽³³⁾, ce nouveau commandement permet d’assurer une totale transversalité, à la fois sur l’ensemble du spectre missionnel de la sécurité intérieure, de la prévention à l’investigation, de l’anticipation opérationnelle aux appuis techniques, mais aussi d’y adosser une politique de ressources humaines adaptée ainsi que des partenariats avec les autres acteurs institutionnels et le monde privé.

Le ComCyberGend s’appuie sur 7 000 enquêteurs numériques, répartis sur l’ensemble du territoire national, en métropole et outre-mer. Il assure ses missions dans les grands domaines relevant de la prévention et protection face aux cybermenaces, de la veille des espaces numériques, du renseignement d’intérêt cyber, de l’investigation numérique et du traitement de la preuve numérique, de la gestion de crise numérique ainsi que de la stratégie cyber dans ses dimensions prospective, partenariale et normative.

L’état-major du ComCyberGend est ainsi articulé autour de quatre divisions dédiées à quatre fonctions principales :

• La division proximité numérique, traitant les volets prévention et contact avec le public, s’appuie prioritairement sur la Brigade numérique (BNum). Lancée en 2018, implantée à Rennes, mais compétente sur l’ensemble du territoire national, celle-ci a pour fonction de favoriser, via le numérique, le contact avec la population, complétant et démultipliant ainsi les capacités d’accueil des 3 500 brigades territoriales. Composée d’une trentaine de gendarmes, fonctionnant 24 heures sur 24, 7 jours sur 7, sans traiter les urgences qui restent de la compétence des plateformes d’appel d’urgence (15, 17, 18 et 112), elle permet au citoyen, depuis l’interface de son choix (smartphone, tablette, ordinateur), de contacter la Gendarmerie, par les réseaux sociaux ou par l’application MaSécurité, lancée le 7 mars 2022 par le ministère de l’Intérieur ⁽³⁴⁾. Face au mouvement #MeToo et à la prise de parole des femmes victimes de violences sur les réseaux sociaux, la BNum accueille par ailleurs la plateforme de signalement des violences sexuelles et sexistes, voulue par le ministère de l’Intérieur ⁽³⁵⁾. En complément du contact direct avec un militaire de la Gendarmerie, les usagers peuvent également accéder à un centre d’aide (type FAQ) qui leur permet de rechercher, en autonomie, des réponses à des questions d’ordre général. Enfin, bien que la BNum n’ait pas vocation à recevoir des plaintes, ses gendarmes, officiers de police judiciaire à compétence nationale, peuvent d’initiative se saisir de faits constituant des infractions dont ils auraient connaissance et les transmettre à l’unité de Gendarmerie ou de Police compétente dans le cadre du « guichet unique ».

• La division enquêtes numériques, autrement dit les spécialistes du C3N (Centre de lutte contre les criminalités numériques), appuyés par les enquêteurs de ses onze antennes déconcentrées et les enquêteurs technologies numériques (NTECH) des groupements, comprend notamment des groupes dédiés aux cryptoactifs, aux enquêtes complexes ou en sources ouvertes, au Darkweb, à la pédopornographie, etc. Travaillant d’initiative ou en appui des unités de terrain, engagés sur les enquêtes complexes aux multiples ramifications, y compris internationales, les cyber-enquêteurs analysent, décortiquent et infiltrent, le cas échéant, les réseaux criminels. C’est ainsi qu’en 2017, les gendarmes du C3N, du service de renseignement criminel de la Gendarmerie et de l’Institut de recherche criminelle de la Gendarmerie nationale (IRCGN, département informatique-électronique), se sont penchés sur la téléphonie chiffrée EncroChat, surnommée « le WhatsApp des gangsters ». Dans le cadre d’une enquête judiciaire de plusieurs années, ils ont obtenu l’autorisation de mettre en œuvre un dispositif d’interception des communications des utilisateurs de ce réseau, utilisé par le crime organisé. Grâce à cette prouesse technique, les enquêteurs ont eu accès aux conversations non chiffrées et en temps réel d’environ 60 000 utilisateurs. Près de 120 M de messages et images, presque tous liés à de la criminalité organisée de haut niveau, ont été interceptés, sans que la captation soit détectée. Les renseignements partagés via Europol avec de nombreux pays ont permis plus de 1 000 arrestations, majoritairement en Europe, des saisies spectaculaires de drogue et d’armes, mais aussi l’empêchement de centaines d’assassinats planifiés.

• La division d’appui aux opérations numériques, qui comprend un département de conception et de développement des outils cyber (DC²) et deux centres nationaux, l’un d’expertise numérique (CNENUM) et l’autre d’assistance cyber (CNAC). Téléphones, ordinateurs et objets connectés, tous ces supports numériques peuvent être pris en compte par les cyber-experts, notamment lorsqu’ils sont chiffrés ou détériorés, afin d’en extraire les données, potentiellement éléments de preuve dans une enquête judiciaire. En outre, la division assure un appui opérationnel aux enquêteurs avec un guichet unique pour leurs relations avec les opérateurs de téléphonie ainsi que les fournisseurs d’accès et de services numériques et dispose d’une force de projection sur le terrain. Enfin, le DC² explore le potentiel des technologies numériques afin de concevoir des applications orientées sur l’investigation au profit des cyber-enquêteurs de la Gendarmerie.

• Enfin, la division stratégie, prospective et partenariats, qui assure l’analyse de la menace, mais aussi la promotion d’une stratégie partenariale étendue à l’ensemble des acteurs gravitant dans le domaine cyber. Grands industriels du secteur, GIP Acyma (Groupement d’intérêt public Action contre la cybermalveillance) exploitant le site cybermalveillance.gouv.fr, mais aussi des ministères comme l’Éducation nationale, pour travailler par exemple sur le cyberharcèlement, les grandes écoles et les universités dans le domaine de la formation, les associations professionnelles ou d’élus sont autant de relais et de partenaires notamment dans la prévention de la cybermenace.

Pour mettre en œuvre cette stratégie partenariale, l’état-major du ComCyberGend a rejoint depuis février 2022 le Campus Cyber ⁽³⁶⁾, installé dans le quartier de la Défense et qui regroupe de nombreux acteurs français, étatiques comme privés, du monde du cyber. Ainsi, les liens tissés avec les entreprises, notamment les CERT (Computer Emergency Response Team), mais aussi avec les entreprises innovantes en cybersécurité et les centres de recherche, favorisent l’alerte et l’assistance pour assurer une double mission d’information sur les vulnérabilités et les menaces en cours ainsi que sur les moyens d’y parer et d’assister les victimes dans la résolution des incidents. Les échanges réguliers nés de cette proximité avec l’écosystème cyber, public et privé, permettent à la Gendarmerie de consolider son dispositif dans tous les domaines.

Des convergences Défense/Sécurité qui incitent au renforcement des coopérations

« Le cyberespace est un espace qui n’est ni en guerre ni en paix, mais en état de tension permanente. Un tel constat exige de ce fait une organisation et la mise en place de politiques et d’actions à la fois spécifiques et globales de la part des pouvoirs publics ⁽³⁷⁾. »

La superposition des sphères civiles et militaires dans le champ immatériel bouscule nos perceptions traditionnelles : si les atteintes portées à des éléments civils ne sont censées être qu’une exception dans le cadre des conflits conventionnels, elles représentent la norme dans le cyberespace. On retrouve cette lecture dans le Préambule de la Convention de Budapest ⁽³⁸⁾, qui sans définir la cybercriminalité en évoque une approche opérationnelle de la façon de l’affronter en considérant que des mesures de cyberdéfense sont mises en œuvre et des poursuites judiciaires sont engagées dès que l’intégrité ou la confidentialité d’un système d’information, la vie des populations, le fonctionnement de l’économie ou de la société sont atteints.

Cette vision opérationnelle s’inscrit pleinement dans la stratégie « Supériorité opérationnelle 2030 » de l’armée de Terre et dans la Vision stratégique du Chef d’état-major des armées (Céma) ⁽³⁹⁾, notamment dans le développement des moyens cyber, dans le domaine de la lutte informationnelle et la densification des capacités des armées sur les plans qualitatif et quantitatif. Elle justifie le nécessaire renforcement de la coopération entre la Gendarmerie nationale, force armée principalement en charge de missions de sécurité intérieure, et les acteurs du ministère des Armées, notamment le Commandement de la cyberdéfense (ComCyber), pour assurer la continuité sécurité intérieure–défense dans le cyberespace, s’inscrivant en cela dans le nouveau triptyque « compétition-contestation-affrontement ».

Une recherche de nouvelles synergies opérationnelles

La Gendarmerie nationale, de par son statut militaire et sa nature de force armée, se positionne comme un trait d’union entre la sécurité intérieure – qui est son cœur de métier – et la défense/sécurité nationale, à laquelle elle participe.

Elle a ainsi, depuis plusieurs années, développé des liens avec des directions et les armées dans le cadre de la lutte informatique. Dès 2012, un officier a été intégré au sein du Centre d’analyse de la lutte informatique défensive (Calid) pour notamment relayer les échanges avec la Gendarmerie et soutenir l’entraide opérationnelle. Depuis juillet 2020, le poste a été repositionné au sein de l’état-major du ComCyber pour assurer un rôle de conseiller en sécurité intérieure et favoriser les contacts avec la chaîne cyber de la Gendarmerie. La montée en puissance de l’institution par le biais de son nouveau commandement cyber et l’évolution rapide des cybermenaces justifient de se pencher sur de nouvelles synergies, notamment opérationnelles. La Gendarmerie dispose, en effet, de moyens dans le domaine judiciaire et de l’appui technique sur lesquels une coopération accrue avec les armées, tant dans les missions de renseignement que dans les luttes informatiques, peut se développer.

En tant que force militaire à compétence judiciaire, la Gendarmerie peut appuyer les Armées dans l’investigation numérique et la judiciarisation des attaques cyber. L’imputation d’un acte d’agression est la condition préalable à la mise en œuvre d’une réponse coercitive adaptée et proportionnée, basée sur un cadre juridique solide. Pour autant, dans le domaine cyber, la caractérisation est particulièrement difficile pour plusieurs raisons : les actions malveillantes menées dans le cyberespace font très rarement – voire jamais – l’objet d’une revendication par des acteurs identifiés, a fortiori des États. Et si certains groupes de hackers sont bien connus, l’identité des individus qui les composent ne l’est pas forcément. En outre, l’attaquant originel, s’il peut être identifié, n’est pas nécessairement le commanditaire de l’action, un État pouvant utiliser la signature numérique d’un autre. En outre, au-delà de l’identification des auteurs, rares sont les attaques directes, les attaquants dissimulant le point de départ initial de leur action en profitant du caractère totalement ouvert et intriqué de ce milieu. Enfin, lors d’une attaque, la question de la cible peut se poser : le nombre assez significatif de « victimes collatérales », compte tenu du degré d’interconnexion entre les différents acteurs du cyberespace, rend difficile la détermination rapide de l’objectif visé, en première intention.

Malgré ces difficultés, l’investigation numérique apparaît importante à plusieurs titres. Face à une attaque d’ampleur avec un degré de sophistication élevé, la recherche de preuves numériques et la mise en œuvre de techniques d’infiltration peuvent permettre ainsi de comprendre la motivation des cyberattaquants, de déterminer l’objectif visé mais aussi de collecter des traces numériques pour remonter sur les auteurs et/ou commanditaires. Ces investigations, à cheval entre cyberdéfense et lutte contre la cybercriminalité permettent par ailleurs de déterminer le cadre juridique applicable. Pour exemple, dans le cadre d’un conflit armé, l’action des hacktivistes, comme nous le voyons actuellement dans la guerre en Ukraine, pose une question d’ordre juridique sur le cadre légal d’action et la responsabilité que pourrait se voir reconnaître l’individu mais aussi un État dans un conflit dans lequel il n’est pas belligérant.

En effet, en vertu du droit international, la « Due Diligence » engage chaque État à une obligation de moyens pour interdire puis faire cesser, depuis son territoire, des actions hostiles contre un pays tiers. Car si les cyberattaquants ukrainiens apparaissent, du point de vue du droit des conflits armés, juridiquement légitimes à engager des actions offensives cyber contre les forces et le gouvernement russe, les actions des hackers étrangers agissant hors du territoire ukrainien ne relèvent pas immédiatement des règles du droit international mais du droit pénal ⁽⁴⁰⁾. Enfin, les investigations numériques peuvent, dans certains cas, permettre de faire cesser l’attaque, notamment par la saisie du matériel support de l’attaque, en s’appuyant sur des coopérations internationales existant avec Europol ⁽⁴¹⁾, Interpol et Eurojust ⁽⁴²⁾, dans le cadre de la Convention de Budapest.

Les échanges entre les Armées et la Gendarmerie peuvent donc de ce point de vue être renforcés pour comprendre, anticiper et mettre rapidement fin à des actions pouvant entraver la liberté d’action des forces et services de l’État.

Dans le domaine du traitement de la preuve numérique, par ailleurs, une coopération accrue entre les armées et les divisions du ComCyberGend peut être l’émergence d’une communauté spécialisée dans l’extraction et l’analyse des données. Le partage de connaissances, d’expertises techniques et d’outils entre le Centre de recherche et d’analyse du cyberespace (Crac) ⁽⁴³⁾, dont les missions sont la recherche et l’exploitation du Renseignement d’origine cyber (ROC), qu’il soit issu de sources ouvertes Web, réseaux sociaux) ou extrait de supports numériques (téléphones portables, cartes SIM, disques durs, clés USB, etc.) et la Division d’appui aux opérations numériques du ComCyberGend, permettrait de renforcer la veille en source ouverte, la mise en œuvre de stratégies de Social Media Intelligence ⁽⁴⁴⁾ ainsi que les techniques d’infiltration numérique. Ce partage favoriserait, dans une logique de capitalisation et de gestion optimisée du stock de données, la mise en commun et la connaissance des outils et techniques opérationnelles. Cette coopération renforcée pourrait également se développer dans le cadre de la présence de la Gendarmerie sur les théâtres d’opérations extérieures. Pour sa mission prévôtale, des gendarmes, formés avant projection aux techniques d’investigations ou de criminalistiques numériques, pourraient appuyer les armées, directement sur le terrain, permettant un gain de temps et une efficience plus forte dans la recherche et l’extraction des informations indispensables à l’action en sécurité des militaires. Enfin, l’intégration du ComCyberGend au C4-TECHOPS, c’est-à-dire la déclinaison technico-opérationnelle du Centre de coordination des crises cyber (C4) qui regroupe les acteurs des quatre chaînes opérationnelles, définies dans la revue stratégique de cyberdéfense, que sont la protection, les actions militaires, le renseignement et l’investigation judiciaire, favoriserait les échanges sur l’appui technique à mettre en place pour faire face aux cybermenaces et cyberattaques.

Un même principe d’échanges opérationnels peut par ailleurs être affirmé dans la sphère informationnelle, afin d’assurer une continuité de prise en compte depuis les théâtres d’opérations extérieures jusque sur le territoire national. Dans le cadre de la L2I menée par les armées ou en appui de Viginum, organisme en charge de la vigilance et de la protection contre les ingérences numériques étrangères (rattaché au SGDSN), le ComCyberGend pourrait renforcer, au profit de ses deux acteurs, la détection des attaques de type informationnel, caractériser la source et mettre en œuvre des techniques d’infiltration numérique, notamment dans le cadre d’enquêtes judiciaires.

Ces coopérations favoriseraient ainsi la lecture croisée d’une cybermenace toujours plus protéiforme. Les échanges opérationnels, par la mise en place de nouveaux officiers de liaison, renforceraient la détection, la définition de modalités de qualification et de remédiation. Ils alimenteraient par ailleurs, par une redescente des informations sur les menaces et attaques identifiées, la chaîne cyber sur le terrain, favorisant une sensibilisation dans la profondeur des acteurs publics et privés, potentiellement ciblés.

Axes de réflexion stratégique

Pour répondre aux enjeux de demain, il convient à la fois de se questionner sur l’articulation à mettre en place, notamment dans le cadre d’un engagement majeur, mais aussi sur la politique de ressource à consolider.

Avec la guerre en Ukraine, l’hypothèse d’un conflit de haute intensité a pris forme aux portes de l’Union européenne. Dans le cadre des réflexions portées tant par le général Burkhard ⁽⁴⁵⁾ que par les parlementaires ⁽⁴⁶⁾, l’engagement de la Gendarmerie est évoqué, notamment dans la nécessaire coopération entre les forces armées, tant sur le territoire national que sur les théâtres d’opérations extérieures. Car les stratégies hybrides offensives des adversaires potentiels entraîneraient des répercussions sur notre sol. Dans cette hypothèse, la chaîne CyberGend mettrait en œuvre l’ensemble de ses capacités pour détecter, analyser et rechercher les éventuelles preuves d’implication de l’ennemi, aux côtés du ComCyber, engagé pour sa part à la fois dans la conduite de la défense de ses systèmes d’information, et dans la planification et conduite des opérations militaires de cyberdéfense, notamment sur les théâtres d’opérations extérieures. De la même manière, la Gendarmerie serait en mesure d’appuyer les autorités gouvernementales aussi bien dans la constatation des crimes de guerre (par étude des informations transmises sur le Net par exemple) comme dans la détection de trafics d’armes ou d’êtres humains qui pourraient irriguer le territoire national. Enfin, dans un objectif de décloisonnement et d’articulation du renseignement autour de la donnée, la Gendarmerie serait engagée dans la détection des manœuvres de déstabilisation sur le Net, afin de prévenir les troubles graves à l’ordre public, voire les situations insurrectionnelles.

Pour assurer cette montée en puissance de la prise en compte de la menace cyber dans le champ de la sécurité intérieure, du temps de paix jusque dans l’hypothèse du conflit majeur, la question des ressources humaines apparaît comme un enjeu majeur dans un environnement, public et privé, très concurrentiel.

En matière de recrutement, la création de filières pour attirer les plus jeunes et maintenir un haut niveau de compétence de la communauté militaire cyber est nécessaire. La quête de sens des jeunes générations permet actuellement à des institutions comme la Gendarmerie ou les Armées de disposer d’un vivier de candidats suffisant pour répondre aux besoins, notamment dans le domaine cyber. À ce titre, la Gendarmerie a mis en œuvre une stratégie volontariste de recrutement annuel de 40 % de profils scientifiques pour ses officiers.

La question se pose ensuite des stratégies de fidélisation d’une ressource qui deviendra experte, une fois formée, et qui pourra exprimer des velléités de quitter les structures étatiques pour rejoindre les entreprises privées. Afin de rester attractif et compétitif, il conviendra de se questionner sur les parcours croisés entre administrations, en interministériel, voire entre acteurs publics et entreprises privées. Par ailleurs, une plus grande souplesse dans le recrutement de hauts potentiels techniques pourrait favoriser la création de parcours de carrière variés et cohérents.

La Gendarmerie nationale souhaite également miser sur la formation, en renforçant la compétence de ses militaires dans le cadre de leur formation initiale autant que continue. Dans les écoles de Gendarmerie, des « e-compagnies », composées d’élèves-gendarmes sélectionnés, qui suivent une formation intense fortement axée sur le numérique (25 % des contenus), sont, d’ores et déjà, mises en place. Par ailleurs, un effort significatif de formation continue, sur le terrain ou lors des stages d’encadrement, permettra à tous les gendarmes de disposer d’un socle commun sur les questions cyber et de se spécialiser par la mise en œuvre d’une voie cyber dédiée. Avec la mise en place d’un diplôme technique cyber déclinant les spécialités de cyber-enquêteur, cyber-techniciens et cyber-analyste de données, la Gendarmerie renforcera sa chaîne cyber pour atteindre 10 000 « cyber-gendarmes » à l’horizon 2027.

Enfin, l’exploitation du potentiel RH de la réserve cyber est un enjeu majeur pour les années à venir. Aujourd’hui, la Gendarmerie peut s’appuyer sur un peu plus de 200 réservistes cyber, qui accompagnent l’institution depuis plusieurs années un peu partout en France, dans beaucoup de métiers différents. Le Commandement de la réserve Gendarmerie (CRG) a actuellement pour mission, dans le cadre d’un bureau dédié, d’identifier les compétences et de réorganiser, à l’aune des nouveaux enjeux, ce réseau pour lui permettre de mener des actions aux côtés des gendarmes. Il peut s’agir de réservistes opérationnels qui participent à des perquisitions, des enquêtes judiciaires ou qui remplissent un rôle plus technique. La Gendarmerie s’appuie par ailleurs sur l’expertise de réservistes citoyens, qui aident à la réflexion, mènent des actions de prévention, et contribuent parfois à des actions nouvelles dans les territoires. Le projet de gouvernance partagée entre le ComCyber, le ComCyberGend et l’Anssi, initié en 2018 mais non abouti, pourrait à ce titre être relancé dans le but de pouvoir s’appuyer mutuellement sur cette ressource, notamment en cas de crise majeure.

* * *

Le niveau de menace cyber, tant dans le domaine de la sécurité intérieure que dans celui de la défense, nécessite plus que jamais la recherche de coopérations accrues entre les acteurs publics et avec le monde privé. Pour faire face aux actions de sabotage, de captation de données ou de modifications des perceptions de la société, la création du ComCyberGend offre un point d’entrée unique, visible et bien identifié qui, dans les années à venir, lui assurera une place centrale dans la prévention et la lutte contre les menaces cyber, en particulier aux côtés des Armées. ♦

(1) Mallet Jean-Claude, Défense et Sécurité nationale : le Livre blanc, 17 juin 2008, p. 52 (https://www.vie-publique.fr/sites/default/files/rapport/pdf/084000341.pdf).
(2) Livre blanc sur la Défense et la Sécurité nationale, 2013, p. 45 (http://www.livreblancdefenseetsecurite.gouv.fr/).
(3) « Guerre en Ukraine : pourquoi parle-t-on d’une cyberguerre ? », Guardia, 8 mars 2022, mis à jour le 19 mai 2022 (https://guardia.school/le-lab/guerre-en-ukraine-pourquoi-parle-t-on-dune-cyberguerre.html).
(4) Longuet Gérard, La souveraineté numérique (Rapport n° 7), Sénat, 1^er octobre 2019, p. 14 (http://www.senat.fr/).
(5) Commission d’enrichissement de la langue française, « Vocabulaire de la défense : cyberdéfense (liste de termes, expressions et définitions adoptés) » ; JORF n° 0219, texte n° 45, 19 septembre 2017 (https://www.legifrance.gouv.fr/).
(6) Creak Amanda et Caulier Sophy, « Cyberattaques : Comment les services financiers s’organisent », Polytechnique insights, 3 mars 2021 (https://www.polytechnique-insights.com/).
(7) Programme malveillant reçu par courriel ou mis à disposition sur un site Internet qui provoque le chiffrement de tous les fichiers. La clé de déchiffrement est alors proposée contre rançon.
(8) Logiciel malveillant capable d’effacer les données d’un ordinateur.
(9) Exemple du wiper NotPetya, virus adossé à un logiciel de comptabilité ukrainien qui a infecté de grandes entreprises françaises (St Gobain, Auchan, SNCF, etc.).
(10) Boyer Bertrand, Guérilla 2.0 – Guerres irrégulières dans le cyberespace, Éditions de l’École de Guerre, 2020, 352 pages.
(11) Ministère de l’Intérieur, Arrêté portant sur la création du Commandement de la Gendarmerie dans le cyberespace, 25 février 2021 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043261338).
(12) Code de la défense, Article L3211-1 à 3 : « La GN est une force armée […], elle participe à la défense de la Patrie et des intérêts supérieurs de la Nation […] » (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037201047/).
(13) ANSSI, Défense et 
(14) Commission d’enrichissement de la langue française, op. cit.sécurité des systèmes d’information : Stratégie de la France, 15 février 2011, p. 21 (https://www.ssi.gouv.fr/).
(15) ANSSI, Défense et sécurité des systèmes d’information, op. cit., p. 21.
(16) Salamon Yann, Cybersécurité et Cyberdéfense – Enjeux stratégiques, Ellipses, 2020, p. 61.
(17) Ibidem, p. 63.
(18) Hackers éthiques.
(19) Hackers mal intentionnés.
(20) Exemple en février 2022 de l’action de la société américaine Nvidia (spécialiste des processeurs, cartes et puces graphiques) qui, face à une cyberattaque, aurait riposté en dehors de tout cadre de légitime défense. Greig Jonathan, « Face à un incident de cybersécurité, Nvidia soupçonné d’avoir répliqué », ZDnet, 28 février 2012 (www.zdnet.fr/).
(21) Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), Revue stratégique de cyberdéfense, 12 février 2018 (http://www.sgdsn.gouv.fr/).
(22) AFP, « La cybercriminalité a coûté plus de 6 000 milliards de dollars en 2021 », Le Figaro, 10 mai 2022 (https://www.lefigaro.fr/).
(23) Cyber’Occitanie, « Quelques chiffres » (https://www.cyberocc.com/sinformer/quelques chiffres/).
(24) Vitard Alice, « En quoi la crise du Covid-19 constitue-t-elle un tournant dans la prise en compte de la menace cyber ? », L’Usine digitale, 31 mars 2021 (https://www.usine-digitale.fr/).
(25) Baromètre Fraude et Cybercriminalité réalisé par Euler Hermes (leader européen de l’assurance fraude) et l’Association nationale des directeurs financiers et de contrôle de gestion (DFCG), cf. Allianz, « 1 entreprise sur 4 a subi une fraude avérée cette année », 15 septembre 2021 (https://www.allianz-trade.fr/actualites/etude-fraude-2021.html).
(26) Exemple des soldats russes dont les identités sont révélées sur les réseaux sociaux dans la guerre en Ukraine, soit pour dénoncer des exactions commises, soit, lorsqu’ils sont prisonniers, pour faire pression sur leur famille. Neveu Louis, « Guerre en Ukraine : les Anonymous publient l'identité de 120.000 soldats russes », Futura Tech, 6 avril 2022 (https://www.futura-sciences.com/).
(27) Hoffman Frank G., « Hybrid vs. Compound War », Armed Forces Journal, 1^er octobre 2009 (http://armedforcesjournal.com/hybrid-vs-compound-war/).
(28) Selon un sondage effectué en 2017 par la plateforme Cybermalveillance.gouv.fr, seules 0,6 % des personnes interrogées savaient à qui s’adresser en cas de problème cyber. Morin Céline, « COMCyberGEND : la gendarmerie monte en puissance face à la menace cyber », GENDinfo, 8 août 2021 (https://www.gendinfo.fr/).
(29) Follorou Jacques et Untersinger Martin, « EncroChat, cette mystérieuse société technologique prisée par le crime organisé », Le Monde, 3 juillet 2020 (https://www.lemonde.fr/).
(30) En 2021, près de 120 000 procédures en lien avec la cybercriminalité ont été enregistrées par la Gendarmerie nationale.
(31) Compte Twitter officiel du Commandement de la Gendarmerie dans le cyberespace (https://twitter.com/CyberGEND).
(32) Exemple de l’escroquerie au « faux Président ».
(33) La Rédaction, « “Pouvoir servir efficacement, demain, nos concitoyens” », GENDinfo, 15 juin 2020 (https://www.gendinfo.fr/).
(34) Application MaSécurité sur GooglePlay (https://play.google.com/) ou AppStore (https://apps.apple.com/).
(35) Plateforme de signalement des violences sexuelles et sexistes (https://arretonslesviolences.gouv.fr/).
(36) Site officiel du Campus Cyber (https://campuscyber.fr/).
(37) Commission de la défense nationale et des forces armées, La cyberdéfense (Rapport d’information n° 1141), Assemblée nationale, 4 juillet 2018, p. 11 (https://www.assemblee-nationale.fr/).
(38) Conseil de l’Europe, Convention sur la cybercriminalité, Budapest, 23 novembre 2001 (https://rm.coe.int/). C’est un cadre juridique international contraignant.
(39) Burkhard Thierry, Vision stratégique du Chef d’état-major de l’armée de Terre (Cémat) – Supériorité opérationnelle 2030, avril 2020 (http://lignesdedefense.blogs.ouest-france.fr/files/SIRPA_Vision_Strat_CEMAT_WEB.pdf). Burkhard Thierry, Vision stratégique du Chef d’état-major des armées, octobre 2021 (https://www.defense.gouv.fr/).
(40) Code pénal, Article 323-1 et suiv. (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/).
(41) Agence européenne spécialisée dans la répression de la criminalité internationale et le terrorisme lutte contre la cybercriminalité via l’European Cybercrime Centre (EC3) et le Joint Cybercrime Action Taskforce (J-CAT).
(42) European Union Agency for Criminal Justice Cooperation pour la coordination des différents parquets nationaux en matière de cybercrime.
(43) Entité rattachée à la Direction du renseignement militaire (DRM).
(44) Outils et solutions qui permettent de surveiller les différentes plateformes et conversations sur les médias sociaux pour en déduire des tendances et analyses.
(45) Burkhard Thierry, Vision stratégique du Céma, op. cit.
(46) Commission de la défense nationale et des forces armées, Préparation à la haute intensité (Rapport d’information n° 5054), Assemblée nationale, 17 février 2022 (https://www.assemblee-nationale.fr/).