Aller au contenu

Pour la gendarmerie nationale, la crise sanitaire du Coronavirus est un enjeu à trois égards: répondre aux nouvelles missions rendues nécessaires par l'accompagnement des mesures sanitaires et continuer à offrir un service de sécurité au public à la hauteur de ses attentes, tout en prenant en compte les contraintes pesant sur nos propres personnels évidemment.

Evidemment, il en est de même dans le champ des cybermenaces et le réseau CyberGend répond présent!

La première étape pour nous fut d'analyser rapidement l'évolution de la menace, en observant les premières remontées du terrain et ce qui se passait dans les autres pays. D'emblée, les escroqueries liées à la thématique du Coronavirus (commercialisation de produits de santé) et les hameçonnages sur le même thème (notamment sur les dispositifs d'accompagnement ou les appels aux dons), puis les changements liés au télétravail (organisation dégradée des entreprises, collectivités et administrations, perte des réflexes, risques supplémentaires sur des réseaux plus ouverts, etc.) ont été identifiés comme premières tendances. En outre, les publics à prioritairement protéger étaient selon notre analyse: les professions médicales, la logistique et l'alimentation.

Immédiatement, la seconde étape a consisté à mettre en oeuvre une stratégie de veille ciblée sur Internet à la recherche des infractions, d'ouvrir des enquêtes et de prendre des mesures préventives (saisie de noms de domaine). Le réseau CyberGend, plus spécifiquement le C3N et sous sa coordination les antennes du C3N dans les 9 principales régions qui ont été ainsi mobilisés. L'un des enjeux est aussi de pouvoir toujours prendre en compte les victimes de cybercriminalité et de recevoir les plaintes, partout sur le territoire, y compris dans une situation sanitaire complexe. C'est en particulier le cas pour les attaques par rançongiciel qui ont touché plusieurs entreprises et associations depuis le début de la crise et sur lequel les enquêteurs NTECH et les C3N se mobilisent.

En outre, nous avons observé le développement de nombreux phénomènes de diffusion de fausses informations ou de théories complotistes. Ils sont souvent repris et corrigés par les grands médias, mais il ne faut pas s'interdire de douter face à une information surprenante et réfléchir avant de la rediffuser.

Quasiment dans le même temps, les actions de prévention ont été multipliées, au contact des secteurs les plus directement concernés. Par exemple, dès le début de la crise, les pharmacies ont été sensibilisées à des tentatives d'escroqueries les ciblant pour la fourniture en gros de produits sanitaires. Depuis, les actions de sensibilisation se multiplient sur le terrain, les gendarmes des sections opérationnelles de lutte contre les cybermenaces, les référents sûreté dans les départements, contactant progressivement l'ensemble des secteurs économiques clé et les collectivités locales, avec des messages de sensibilisation et proposant un diagnostic de la situation de sécurité numérique dans le contexte de la crise.

Cet article de Nice Matin montre l'action des enquêteurs NTECH au contact des victimes, pour prévenir, détecter et enquêter.

 

Prévention: La gendarmerie relaie aussi les messages de ces partenaires, ici le centre Européen de lutte contre la cybercriminalité d'Europol EC3, ou encore www.cybermalveillance.gouv.fr

Enfin, c'est évidemment la sécurité de nos propres systèmes d'information à laquelle nous veillons tout particulièrement.

Une coopération exceptionnelle

Beaucoup d'entre nous vivent très certainement cette période comme une occasion formidable d'échanger énormément avec ses différents contacts par des moyens électroniques. Force est de constater que dans le secteur de la sécurité numérique, les échanges sont nombreux. Je vais en citer quelques-uns.

En France, les différentes associations sont mobilisées et Signal Spam ou le CESIN dont je vous ai parlé plusieurs fois sont actifs pour échanger et réagir aux incidents qui ont pu émailler les dernières semaines et surtout s'entraider. Le groupement d'intérêt public ACYMA, gestionnaire du portail www.cybermalveillance.gouv.fr est particulièrement à l'oeuvre pour prodiguer des conseils et continuer à assister les victimes d'actes de Cybermalveillance.

Deux collectifs internationaux de la cybersécurité ont vu le jour et sont particulièrement actifs, échangeant des indicateurs de compromission (ces détails qui permettent à d'autres de détecter des attaques ou des comportements illégaux que les partenaires ont déjà documenté) et se coordonnant pour mener les actions permettant de faire cesser les activités cybercriminelles: la Cyber Threat Coalition, et la COVID CTI League. Bien entendu, comme d'autres services d'enquête spécialisés dans le monde, nous y sommes présents.

Pour en apprendre un peu plus sur les coulisses de l'action de la gendarmerie dans la dimension cyber de cette crise sanitaire, vous pouvez écouter le podcast que Nolimitsecu y a consacré cette semaine.

... #RépondrePrésent

Plus que jamais, pendant cette crise sanitaire du Coronavirus, la gendarmerie se devait de #RépondrePrésent, et je puis témoigner que tous les jours, l'ensemble des personnels du réseau CyberGend sont mobilisés pour anticiper, détecter, investiguer et accompagner nos concitoyens plus que jamais concernés par les menaces dans l'espace numérique qu'ils utilisent quotidiennement.

11

Aujourd'hui, une nouvelle page se tourne pour moi. Je quitte une équipe que j'ai aimé commander pour endosser un nouveau rôle. J'ai en effet été nommé comme Conseiller dans l'équipe qui entoure le Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Ce billet aura certainement une tonalité un peu personnelle, car j'éprouve une certaine émotion à tourner cette page.

Ce fut un grand honneur pour moi de partager pendant quatre ans et demie la vie des femmes et hommes de la division de lutte contre la cybercriminalité du service technique de recherches judiciaires et de documentation de la gendarmerie nationale. Ensemble nous l'avons transformée en un Centre de lutte contre les criminalités numériques (C3N) avec le développement de nouveaux volets essentiels : la lutte contre les botnets et la diffusion des virus informatiques qui les forment, ainsi que la prospective et l'animation territoriale.

Il s'agissait d'être en mesure de prendre l'initiative sur une forme de plus en plus prégnante de l'expression de la cybercriminalité: ne pas se contenter d'attendre les plaintes des individus, des entreprises victimes de virus informatiques, mais aller au devant des phénomènes au moment où ils se mettent en place (j'ai parlé ici plusieurs fois de la façon dont se mettent en place les botnets, se propagent les virus). En réalité, il s'agit de transposer dans le monde numérique ce qu'on fait tous les jours en matière de prévention de la délinquance: collecte de renseignement, patrouilles, actions en flagrance et évidemment enquêtes judiciaires, coopération internationale, etc. Il y a encore beaucoup de travail et de progrès à faire dans ce domaine, mais nous avons fait de premiers grands pas. Cela s'est concrétisé par plusieurs enquêtes réussies, des actions de sensibilisation que nous avons nourri et soutenues (Stopransomware contre les rançongiciels, puis Antibot lancé récemment par le CECyF et nos partenaires). Parmi ces enquêtes certaines ont eu des résultats concrets y compris en France, dans le cadre d'une opération que nous coordonnions dans le cadre d'Europol. Il nous manque encore dans ce domaine la possibilité de réaliser des enquêtes sous pseudonyme, j'espère que ce sera rapidement le cas: beaucoup de ces infractions se préparent et s'organisent en ligne dans des espaces où les enquêtes doivent pouvoir se poursuivre.

Traiter de la prospective et de l'animation territoriale au sein du C3N c'est accompagner encore plus efficacement les unités de la gendarmerie qui partout en France œuvrent dans le domaine de l'investigation numérique: les enquêteurs de la gendarmerie épaulés par un réseau de 270 enquêteurs spécialisés (les enquêteurs NTECH) et 1600 correspondants en technologies numériques (les C-NTECH). Depuis le mois d'août 2014, nous analysons chaque mois de 2500 à 3000 dossiers traités par les unités de gendarmerie: pour comprendre ce qui est réellement traité par ces unités, ce que rapportent les victimes ou que détectent des enquêteurs, mais aussi pour réaliser des rapprochements et développer les outils pour faciliter le travail de nos enquêteurs. Et ce dispositif va continuer de s'adapter, notamment suite aux recommandations développées dans le Rapport sur la cybercriminalité remis en juin dernier aux ministres.

Bien entendu, l'activité du C3N se poursuit dans les autres champs d'activités illicites sur Internet dont les atteintes aux mineurs sur Internet ou encore - au travers du département informatique-électronique de l'IRCGN qui est associé au travail du C3N - dans l'innovation pour l'investigation technique numérique. Dans quelques semaines, l'ensemble du C3N sera installé dans les nouveaux locaux du Pôle judiciaire de la gendarmerie nationale (PJGN) à Pontoise.

Demain matin - mais évidemment la prise de contact s'est faite voilà plusieurs semaines déjà - je rejoindrai donc un nouveau lieu de travail dans Paris et une nouvelle équipe en cours de construction. Le ministre de l'intérieur annonçait la nomination de ce Préfet en charge de la lutte contre les cybermenaces au mois de juin dernier, plus précisément chargé de coordonner la mise en œuvre d'un plan stratégique de lutte contre les cybermenaces.

Nommé en décembre 2014, le Préfet Jean-Yves Latournerie était interviewé voilà quelques jours par AEF et il expliquait qu'effectivement le moment était venu de créer au sein du ministère de l'intérieur un échelon stratégique sur la question des cybermenaces. Il s'agit de piloter la stratégie de l'ensemble des composantes du ministère de l'intérieur, non seulement dans la lutte contre la cybercriminalité, mais aussi pour la protection des intérêts vitaux de la Nation et la protection des systèmes de traitement automatisé de données du Ministère ou placés sous sa responsabilité. Ce travail doit se faire en lien avec l'ensemble des ministères et des partenaires externes de toute nature (industriels, académiques ou encore associatifs) qui contribuent à cette cybersécurité.

J'appréhende cette nouvelle mission avec une motivation indéfectible, et surtout une très forte reconnaissance pour toutes celles et ceux avec qui j'ai pu travailler, échanger, apprendre, dialoguer, inventer depuis 17 ans en France et à l'étranger contre la cybercriminalité et en particulier l'équipe qui m'accompagne depuis presque cinq ans. Je me réjouis de continuer à travailler au service d'une thématique majeure et qui me passionne, de rencontrer de nouveaux acteurs et de faire progresser le dialogue et la coopération dans ces domaines.