Analyse criminologique, Droit cybersécurité, Incidents cyber, NIS2

Grille d’analyse criminologique des incidents cyber

2 months ago
8 min read
Add comment
FacebookX

Grille d’analyse criminologique des incidents cyber : vers une lecture globale du fait cybercriminel

Dans l’étude des incidents cyber, l’approche technique domine souvent l’analyse : type d’attaque, vulnérabilité exploitée, compromission, impact système, remédiation. Cette lecture est indispensable, mais elle demeure incomplète lorsqu’on cherche à comprendre le sens criminologique de l’incident. Un acte cyber n’est pas seulement un événement informatique ; c’est aussi un fait social, un fait délinquant, un fait relationnel, inscrit dans un environnement, impliquant un auteur, une victime, une modalité d’action et une réponse sociale. C’est précisément dans cette perspective qu’une grille d’analyse criminologique des incidents cyber prend tout son intérêt. Elle permet de déplacer le regard, du seul incident technique vers l’écosystème criminologique dans lequel il prend forme. Les grandes institutions internationales de référence rappellent d’ailleurs que la cybercriminalité doit être appréhendée à la fois à travers les auteurs, les cibles, les opportunités, les formes d’organisation et les difficultés de réponse pénale ou institutionnelle. (UNODC)

Une telle grille peut s’organiser autour de cinq dimensions fondamentales : l’auteur, la victime, l’acte, l’environnement et la réaction sociale. Ce découpage présente une grande force heuristique. Il oblige à ne pas réduire l’incident à un simple “problème de sécurité”, mais à le replacer dans une dynamique plus large où interviennent les logiques d’opportunité, les asymétries de pouvoir, les vulnérabilités individuelles ou organisationnelles, et les mécanismes de contrôle social. Cette démarche rejoint, sur le plan théorique, plusieurs apports classiques de la criminologie mobilisés dans l’étude des cyberfaits, notamment la routine activity theory, l’analyse situationnelle des opportunités criminelles, et les approches centrées sur la victimisation et la sous-déclaration. (UNODC)

La première dimension, celle de l’auteur, vise à caractériser l’agent ou les agents à l’origine de l’incident. En cybercriminologie, cette question est plus complexe qu’en délinquance traditionnelle, car l’auteur peut être isolé, organisé en réseau, mandaté, instrumentalisé, ou encore dissocié entre concepteur, opérateur et bénéficiaire de l’attaque. Les travaux institutionnels d’Europol et de l’UNODC montrent que les trajectoires vers la cybercriminalité sont hétérogènes : certains auteurs s’inscrivent dans des logiques d’apprentissage progressif, d’autres dans des économies criminelles structurées, d’autres encore dans des formes opportunistes ou idéologiques. L’analyse criminologique ne doit donc pas se limiter à demander “qui a attaqué ?”, mais aussi : avec quelle rationalité ?, avec quel niveau d’organisation ?, dans quel but ?, avec quelles compétences ?, dans quel rapport au risque ?. Cette profondeur d’analyse est essentielle, car un même type d’incident technique peut relever de profils criminologiques radicalement différents. (Europol)

La deuxième dimension, celle de la victime, est tout aussi décisive. En matière cyber, la victime peut être un individu, une entreprise, une administration, une association, voire une collectivité entière. Mais il ne suffit pas d’identifier la cible ; il faut aussi comprendre sa vulnérabilité. La victimologie cyber invite à interroger l’exposition, les habitudes numériques, le niveau de protection, la dépendance aux outils, la capacité de détection, la possibilité de résilience, et parfois même la représentation subjective du risque. Les recherches et rapports institutionnels montrent que certains schémas de victimisation sont liés à des facteurs d’exposition ou d’opportunité, et que la cybervictimisation est fréquemment sous-déclarée, notamment en raison de la honte, de la peur de l’atteinte à la réputation ou du sentiment que le signalement sera inutile. Cela vaut autant pour les particuliers que pour les organisations. Une grille criminologique permet alors de passer d’une vision statique de la victime à une analyse plus dynamique : pourquoi cette cible-là ?, qu’est-ce qui l’a rendue accessible ?, quels dommages réels et symboliques a-t-elle subis ? (UNODC)

La troisième dimension concerne l’acte lui-même. Ici, la grille ne remplace pas l’analyse juridique ou technique ; elle les complète. Il s’agit de qualifier la nature du comportement : intrusion, escroquerie, extorsion, usurpation, diffusion de contenu illicite, atteinte à la disponibilité, manipulation, collecte clandestine de données, ou combinaison de plusieurs actions successives. L’apport criminologique consiste à ne pas voir l’acte uniquement comme une infraction abstraite, mais comme une séquence d’action orientée vers un résultat. Cette lecture permet de mobiliser utilement les approches en termes de crime scripts ou de prévention situationnelle : préparation, accès, exploitation, maintien, monétisation, effacement des traces. L’acte cyber est souvent processuel, modulaire, adaptable ; il peut être fragmenté entre plusieurs intervenants et plusieurs territoires. Comprendre cette architecture est indispensable pour dépasser la simple nomenclature des incidents. (UNODC)

La quatrième dimension est celle de l’environnement. C’est ici que la grille prend une épaisseur sociologique majeure. Aucun incident cyber ne surgit dans le vide. Il se déploie dans un environnement technique, organisationnel, juridique, économique et culturel. La théorie des activités routinières, souvent mobilisée pour penser les crimes en ligne, rappelle qu’un passage à l’acte suppose la rencontre entre un auteur motivé, une cible appropriée et l’absence ou l’insuffisance d’un gardien capable. Dans le cyberespace, ce “gardien” peut être un administrateur système, une politique de sécurité, un dispositif de filtrage, une formation des usagers, une supervision active ou une architecture plus résiliente. L’environnement inclut aussi les marchés criminels, les plateformes, les outils disponibles, les services légitimes détournés, ainsi que les failles de coordination entre acteurs publics et privés. Europol souligne d’ailleurs la montée en puissance d’écosystèmes criminels transnationaux, où des services spécialisés facilitent la commission d’actes cyber à grande échelle. (UNODC)

Enfin, la cinquième dimension, trop souvent négligée, est celle de la réaction sociale. Dans la tradition criminologique, la réaction sociale ne désigne pas seulement la sanction pénale ; elle englobe l’ensemble des réponses institutionnelles, organisationnelles et symboliques apportées à l’événement. Qui réagit ? Comment ? À quelle vitesse ? Selon quelle qualification ? Avec quel degré de reconnaissance pour la victime ? Avec quelle coordination entre les services techniques, juridiques, policiers, judiciaires ou réglementaires ? Dans le champ cyber, cette dimension est cruciale, car de nombreux incidents restent faiblement visibles, mal qualifiés, ou insuffisamment partagés. Les rapports d’Europol et d’Eurojust insistent sur les difficultés persistantes de coopération, d’attribution, de collecte de preuve et de coordination judiciaire, tandis que l’UNODC souligne l’importance des réponses structurées et des capacités institutionnelles. L’analyse de la réaction sociale permet alors de comprendre pourquoi certains incidents produisent une forte mobilisation collective alors que d’autres demeurent marginalisés, voire invisibilisés. (Europol)

L’intérêt méthodologique d’un tel outil est considérable. Présentée en format tableur, la grille permet une standardisation minimale de l’observation sans écraser la complexité du réel. Chaque incident peut être documenté ligne par ligne, avec des variables qualitatives et quantitatives : profil supposé de l’auteur, type de cible, modalités de l’attaque, contexte organisationnel, type de dommage, dépôt de plainte, traitement médiatique, réponse interne, qualification juridique envisagée, etc. Ce format facilite ensuite les comparaisons, les regroupements typologiques, l’analyse de récurrence, l’identification de facteurs de risque et la constitution de corpus exploitables pour la recherche. Il devient alors possible de dépasser l’étude de cas isolée pour entrer dans une logique cumulative : quels types d’auteurs ciblent quels types de victimes dans quels environnements et avec quelles réponses sociales ?

Sur le plan scientifique, cette grille répond à un besoin fondamental : réconcilier l’analyse technique et l’analyse humaine du cyber. Trop souvent, la cybersécurité parle en termes d’incidents, de surface d’attaque, d’indicateurs de compromission ; la criminologie, elle, rappelle que derrière les flux de données se jouent des rapports de pouvoir, des asymétries de vulnérabilité, des choix rationnels ou semi-rationnels, des formes de prédation, et des mécanismes de reconnaissance ou de non-reconnaissance des victimes. Cette articulation est essentielle pour construire une connaissance utile. Elle permet non seulement de mieux comprendre les incidents, mais aussi de mieux orienter la prévention, l’enquête, l’accompagnement des victimes et la décision publique. Les approches internationales insistent précisément sur cette nécessité de croiser sécurité, justice, prévention et connaissance empirique. (Europol)

D’un point de vue plus philosophique, la grille criminologique des incidents cyber a aussi une portée importante. Elle rappelle que le cyberespace n’est pas un monde abstrait, détaché de l’humain. Il est un espace de relations, d’intentions, de dominations, de vulnérabilités et de réponses normatives. En ce sens, analyser un incident cyber uniquement comme une anomalie technique serait une réduction. La criminologie réintroduit la question du sens social de l’acte : qui atteint qui, par quels moyens, dans quel contexte, et avec quelles conséquences pour l’ordre social ? Elle réintroduit aussi la question de la responsabilité collective : qu’est-ce qu’une société choisit de voir, de nommer, de réparer, de poursuivre ou de laisser dans l’ombre ? La réaction sociale devient ici un révélateur éthique autant qu’institutionnel.

En définitive, la grille d’analyse criminologique des incidents cyber constitue bien plus qu’un simple outil de classement. Elle est un instrument de problématisation. Elle permet de penser le cyberincident comme un phénomène total, à l’intersection de la technique, du droit, de la sociologie, de la victimologie et de la criminologie. En articulant auteur, victime, acte, environnement et réaction sociale, elle offre un cadre robuste pour produire une lecture plus complète, plus rigoureuse et plus utile du fait cybercriminel. Pour un programme de recherche comme celui du CRC, un tel outil présente un double avantage : il structure la collecte d’informations de manière homogène, tout en laissant ouverte l’interprétation scientifique. C’est précisément dans cet équilibre entre standardisation et intelligence du contexte que réside sa valeur.

Références d’appui

  • UNODC, modules d’enseignement sur la cybercriminalité et rappel des cadres criminologiques, dont la routine activity theory. (UNODC)
  • Europol, analyses stratégiques sur les menaces cyber, les auteurs, les marchés criminels et les difficultés de réponse institutionnelle. (Europol)
  • UNODC, travaux méthodologiques sur la victimisation et l’étude des phénomènes criminels. (UNODC)
  • Europol, constats sur la sous-déclaration des faits cyber et ses effets sur la connaissance du phénomène. (Europol)

Add comment

Your email address will not be published. Required fields are marked *