Géocriminalité

Fiche 17 — Géocriminologie : méthodes de cartographie

2 months ago
12 min read
Add comment
FacebookX

Fiche 17 — Géocriminologie : méthodes de cartographie, en version structurée, comparative et directement exploitable.

KDE, Moran’s I, STAC

Outils libres (QGIS)

Application aux cyberattaques

Introduction

La géocriminologie étudie la distribution spatiale et spatio-temporelle des phénomènes criminels. Son idée de base est simple : le crime n’est pas réparti au hasard dans l’espace. Il se concentre, se répète, se diffuse, s’ancre dans des lieux, des réseaux et des temporalités spécifiques. La cartographie criminelle sert donc à repérer des concentrations, des clusters, des corrélations spatiales et, parfois, des dynamiques de déplacement ou de diffusion. Les revues méthodologiques sur l’analyse spatiale du crime rappellent que ces outils sont au cœur de l’environmental criminology, du crime analysis et des politiques de hotspot policing. (kth.diva-portal.org)

Les trois méthodes demandées ici n’ont pas la même fonction.

  • KDE sert surtout à produire une surface de densité continue à partir de points d’incidents.
  • Moran’s I mesure l’autocorrélation spatiale, donc le degré selon lequel des valeurs proches dans l’espace se ressemblent.
  • STAC est une méthode historique de détection de hotspots elliptiques à partir de concentrations d’événements. (Emerald Publishing)

Sur le plan scientifique, il faut être rigoureux : ces méthodes ne “montrent” pas toutes la même chose. Une heatmap KDE visualise une concentration apparente, mais ne démontre pas à elle seule une significativité statistique. Moran’s I donne un test d’autocorrélation, mais dépend du découpage spatial et de la matrice de voisinage. STAC repère des concentrations par ellipses, mais sa logique est plus descriptive et plus ancienne que d’autres méthodes contemporaines. La première compétence du géocriminologue consiste donc à choisir l’outil en fonction de la question posée. (Emerald Publishing)

1. KDE — Kernel Density Estimation

1.1. Définition

La Kernel Density Estimation produit une surface de densité à partir d’un semis de points. En cartographie criminelle, chaque incident est traité comme une source de densité qui “rayonne” autour de sa position selon une fonction noyau et une distance d’influence appelée bandwidth ou rayon. QGIS décrit son algorithme Heatmap (kernel density estimation) comme un outil qui calcule la densité à partir d’une couche de points, les zones contenant davantage de points proches obtenant des valeurs plus élevées. (QGIS)

1.2. Ce que KDE mesure réellement

KDE ne mesure pas une causalité ni une significativité statistique. Elle mesure une intensité spatiale lissée. Son intérêt est visuel et analytique : elle permet d’identifier rapidement des hotspots, de comparer des périodes, d’observer des gradients et d’éviter les effets trompeurs de limites administratives trop rigides. Les travaux méthodologiques sur le crime mapping rappellent toutefois que les résultats dépendent fortement des paramètres choisis, notamment la taille des cellules et le bandwidth. (Emerald Publishing)

1.3. Avantages

Les avantages principaux de KDE sont :

  • lecture intuitive ;
  • bonne visualisation des concentrations ;
  • adaptation aux données ponctuelles ;
  • absence d’obligation de travailler d’emblée par quartiers ou polygones. (Emerald Publishing)

1.4. Limites

Les limites sont importantes :

  • la carte dépend fortement du rayon de lissage ;
  • deux analystes peuvent produire des hotspots différents avec les mêmes données ;
  • KDE peut donner une impression de précision excessive ;
  • elle ne corrige pas, à elle seule, les biais liés à la population exposée ou à l’environnement bâti ;
  • elle ne fournit pas automatiquement un test de significativité. (Emerald Publishing)

1.5. Exemple criminologique

Si l’on cartographie des cambriolages ou des agressions par points, KDE permet de voir où les faits se concentrent spatialement. En pratique policière, cela sert souvent à orienter la présence sur le terrain, mais cela doit ensuite être complété par d’autres analyses. (Emerald Publishing)

2. Moran’s I — Autocorrélation spatiale

2.1. Définition

Moran’s I est une statistique d’autocorrélation spatiale. Elle teste si des zones proches ont tendance à présenter des valeurs similaires ou dissemblables. Le manuel de formation CrimeStat du NIJ rappelle que Moran’s I fait partie des statistiques majeures d’autocorrélation spatiale, avec Geary’s C. Un résultat positif indique en général que des valeurs voisines se ressemblent, tandis qu’un résultat proche de zéro évoque plutôt une distribution aléatoire. (iadlest.org)

2.2. Moran global et Moran local

Il faut distinguer :

  • Moran’s I global, qui mesure l’autocorrélation d’ensemble d’une variable sur tout le territoire étudié ;
  • Local Moran’s I, ou plus largement les LISA, qui permettent d’identifier des clusters locaux de type high-high, low-low, ainsi que des outliers spatiaux. Le plugin QGIS Hotspot Analysis indique justement qu’il calcule des LISA, dont le Local Moran’s I, pour repérer des clusters géographiquement significatifs. (QGIS Plugins)

2.3. Ce que Moran’s I mesure réellement

Moran’s I ne mesure pas une densité, mais une structure de dépendance spatiale. La question n’est pas : “où y a-t-il beaucoup de crimes ?”, mais plutôt : “les zones proches ont-elles des niveaux de crime semblables ?”. C’est très utile quand on travaille non pas sur des points, mais sur des unités spatiales : quartiers, communes, IRIS, districts, pays, ou tout autre découpage. (iadlest.org)

2.4. Avantages

Les avantages de Moran’s I sont :

  • il donne une base statistique plus explicite que la simple heatmap ;
  • il permet de tester l’existence d’une structure spatiale non aléatoire ;
  • sa version locale aide à identifier des clusters et des outliers significatifs. (iadlest.org)

2.5. Limites

Ses limites sont aussi classiques :

  • les résultats dépendent du découpage spatial ;
  • ils dépendent du choix des voisins et de la matrice de poids spatiaux ;
  • les agrégations spatiales peuvent produire des effets artificiels ;
  • Moran global peut détecter une structure sans dire immédiatement où sont les hotspots précis. (iadlest.org)

2.6. Exemple criminologique

Si l’on calcule un taux de cambriolages par quartier, Moran’s I peut montrer si les quartiers à fort taux sont regroupés entre eux. Le Local Moran’s I pourra ensuite révéler des zones high-high, c’est-à-dire des poches localement concentrées de forte intensité entourées de zones elles-mêmes fortes. (QGIS Plugins)

3. STAC — Spatial and Temporal Analysis of Crime

3.1. Définition

STAC signifie Spatial and Temporal Analysis of Crime. Le projet STAC a été développé dès les années 1980 pour fournir des moyens plus clairs et plus efficaces d’analyser les cartes d’incidents. Historiquement, il repère des concentrations de crime sous forme d’ellipses, souvent décrites comme des hotspots elliptiques. Les sources sur STAC le présentent comme l’une des approches historiques majeures du hotspot mapping en crime analysis. (Office of Justice Programs)

3.2. Ce que STAC mesure réellement

STAC cherche à identifier des amas spatiaux d’événements, souvent par une procédure de regroupement donnant des zones elliptiques. C’est donc une méthode plus cluster-oriented que KDE, et moins tournée vers l’autocorrélation que Moran’s I. Elle est particulièrement liée à une tradition policière et opérationnelle de détection des foyers de concentration. (Office of Justice Programs)

3.3. Avantages

Ses avantages :

  • lecture simple ;
  • identification rapide de foyers denses ;
  • représentation synthétique par zones elliptiques ;
  • utilité historique dans les systèmes de crime mapping et dans CrimeStat. (Springer Nature)

3.4. Limites

Ses limites :

  • la forme elliptique peut mal représenter les phénomènes qui suivent un réseau (rues, axes, infrastructures) ;
  • la méthode est souvent considérée comme plus ancienne et plus descriptive que des approches plus récentes ;
  • elle dépend de paramètres de taille minimale et de regroupement ;
  • elle peut simplifier excessivement la morphologie réelle des hotspots. (ResearchGate)

3.5. Exemple criminologique

Pour des vols de rue ou des séries de cambriolages, STAC peut résumer les foyers principaux en quelques ellipses. C’est utile pour une vision de synthèse, mais moins précis quand le phénomène suit les rues ou des réseaux techniques. Des travaux plus récents ont justement comparé STAC à des méthodes de type spatial scan statistic ou network KDE pour les crimes de rue. (ResearchGate)

4. Tableau comparatif

MéthodeObjet principalType de donnéesRésultatAtout majeurLimite principale
KDEdensité spatiale lisséepoints d’incidentssurface continue / heatmaplecture intuitive des concentrationstrès sensible au bandwidth et non significative à elle seule
Moran’s Iautocorrélation spatialesurtout données agrégéesindice global ou clusters locauxbase statistique explicitedépend du découpage et des poids spatiaux
STACdétection de clusterspoints d’incidentshotspots elliptiquesreprésentation synthétique simplesimplifie souvent trop la forme réelle des concentrations

Ce tableau reflète bien les usages classiques de ces trois méthodes dans la littérature de crime mapping. (Emerald Publishing)

5. Outils libres : QGIS

5.1. KDE dans QGIS

QGIS dispose nativement d’un algorithme Heatmap (kernel density estimation), documenté dans le manuel utilisateur. Il produit un raster de densité à partir d’une couche de points, avec choix du rayon, du poids éventuel et de la taille de cellule. C’est l’outil le plus simple pour commencer une analyse de concentration spatiale. (QGIS)

5.2. Moran’s I dans QGIS

QGIS ne fournit pas toujours en natif toute la panoplie LISA la plus avancée, mais l’écosystème QGIS permet d’obtenir du Local Moran’s I via des plugins spécialisés. Le plugin Hotspot Analysis annonce précisément le calcul du Local Moran’s I, ainsi que d’autres LISA comme le Getis-Ord Gi*. (QGIS Plugins)

5.3. STAC dans un environnement libre

QGIS n’a pas, à ma connaissance, un outil STAC natif équivalent aux implémentations historiques de CrimeStat. En pratique, STAC est davantage associé à des environnements comme CrimeStat qu’à QGIS lui-même. Pour un flux de travail libre, on peut utiliser QGIS pour la préparation, la visualisation et les couches de contexte, puis compléter avec d’autres outils statistiques si nécessaire. Le NIJ présente CrimeStat comme un programme de statistiques spatiales pour l’analyse des localisations d’incidents criminels. (National Institute of Justice)

5.4. Pourquoi QGIS reste central

QGIS reste très utile parce qu’il permet :

  • le géocodage et le nettoyage des données ;
  • la gestion des projections ;
  • la production de heatmaps ;
  • la jointure de données socio-spatiales ;
  • la cartographie finale ;
  • l’intégration avec d’autres outils de statistique spatiale. (QGIS)

6. Application aux cyberattaques

6.1. Peut-on faire de la géocriminologie du cyber ?

Oui, mais avec de fortes précautions. La littérature récente sur la géographie du cybercrime montre qu’il existe bel et bien une dimension spatiale du phénomène. Le World Cybercrime Index, publié en 2024 dans PLOS ONE, propose même une mesure globale de la géographie des cybercriminels à l’échelle des pays, fondée sur une enquête d’experts. Les auteurs expliquent explicitement que leur indice cherche à dépasser les mesures purement techniques de géographie des attaques pour mieux saisir la géographie des offenders. (PLOS)

6.2. La difficulté majeure : géolocaliser n’est pas attribuer

C’est le point le plus important. En cyber, la localisation apparente d’une attaque à partir d’une adresse IP, d’un serveur relais ou d’un point de présence n’équivaut pas à l’origine réelle de l’auteur. Les travaux sur l’IP geolocation rappellent les problèmes de proxies, VPN, hébergements distribués, bases de géolocalisation imparfaites et incertitudes variables selon les pays. Des travaux forensiques récents soulignent même que la valeur probante d’une localisation IP doit être évaluée au cas par cas. (ResearchGate)

6.3. Que peut-on cartographier en cyber ?

En pratique, on peut cartographier plusieurs choses différentes :

  • la localisation des victimes ;
  • la localisation apparente des infrastructures d’attaque ;
  • la localisation des serveurs C2 ;
  • la distribution des signalements ;
  • des scores pays comme le World Cybercrime Index ;
  • des réseaux de diffusion ou des hubs techniques. (PLOS)

Mais il faut toujours préciser ce qui est cartographié :
ce n’est pas la même chose de cartographier des victimisations, des indices techniques, ou des offenders probables.

6.4. KDE, Moran’s I et STAC appliqués au cyber

KDE

KDE peut être utile pour cartographier :

  • les concentrations de victimes ;
  • les concentrations de signaux d’alerte ;
  • les foyers apparents de serveurs compromis ou d’alertes SOC.

Mais il faut éviter de suggérer que la heatmap révèle directement la géographie des auteurs. En cyber, KDE cartographie plus sûrement des événements observés que des responsabilités réelles. (PMC)

Moran’s I

Moran’s I est très utile pour tester si des taux de cybervictimisation, de signalements, de ransomware ou de fraude numérique présentent une structure spatiale agrégée par régions, États ou pays. À l’échelle internationale, c’est souvent plus robuste que de prétendre localiser précisément les auteurs individuels. (PLOS)

STAC

STAC peut être adapté à des données cyber ponctuelles si l’on a de véritables localisations spatiales d’événements, par exemple des incidents déclarés sur un territoire. En revanche, il est moins naturellement adapté aux chaînes techniques distribuées, aux réseaux et aux topologies non territoriales. Pour le cyber, il faut donc l’utiliser de manière prudente et souvent secondaire. (Springer Nature)

7. Méthode recommandée pour une étude sérieuse

Pour une étude de géocriminologie appliquée aux cyberattaques, l’ordre méthodologique le plus solide serait souvent :

  1. Clarifier l’objet spatial : victimes, infrastructures, signalements, offenders probables.
  2. Nettoyer et qualifier l’incertitude géographique : précision adresse, ville, région, pays.
  3. Produire une cartographie exploratoire KDE pour voir les concentrations.
  4. Tester l’autocorrélation avec Moran’s I sur des données agrégées si la question porte sur une structure spatiale.
  5. Utiliser STAC ou une méthode de cluster seulement si la forme de hotspot correspond à la structure du phénomène.
  6. Interpréter avec prudence : en cyber, la carte est souvent une carte de traces, pas une carte d’auteurs certains. (QGIS)

Conclusion

La géocriminologie n’est pas seulement une affaire de jolies cartes. C’est une discipline de choix méthodologiques. KDE montre des concentrations, Moran’s I teste une structure d’autocorrélation, et STAC repère des foyers de concentration sous une forme plus synthétique. Aucun de ces outils n’est “le meilleur” en soi ; tout dépend de la question, du type de données et de l’échelle d’analyse. (Emerald Publishing)

Appliquée aux cyberattaques, la cartographie spatiale est possible et utile, mais elle exige une prudence supplémentaire : dans le cyber, localisation technique, localisation de la victime et attribution de l’auteur ne se confondent pas. Une géocriminologie du cyber bien faite doit donc intégrer l’incertitude géographique au cœur même de l’analyse. (PLOS)

Add comment

Your email address will not be published. Required fields are marked *