Guide d’utilisation d’ObsCyber pour les chercheurs CRC

Azais Khalsi · 2026

ObsCyber se présente comme un « Observatoire Franco-Européen de la Cybercriminalité » articulé autour d’une plateforme dite CyberLex, avec une logique de convergence entre droit, technique et criminologie. La page d’accueil précise que chaque incident y est analysé sous trois angles simultanés : technique, juridique et criminologique. Elle affiche également une structuration modulaire comprenant notamment Tableau de bord, Veille juridique, Criminologie, Formation, Publications et Incidents. (obscyber.mooc-science.eu)

Le présent guide a pour objet d’accompagner les chercheurs coordonnés du CRC dans un usage méthodique de la plateforme, en particulier pour trois fonctions essentielles : l’exploitation du module Incidents, la saisie des données de recherche, et l’accès aux ressources documentaires. Il ne s’agit pas seulement d’un mode d’emploi technique, mais d’un cadre d’usage scientifique destiné à harmoniser les pratiques de collecte, de qualification et d’exploitation des données au sein des work packages.

1. Logique générale de la plateforme

ObsCyber n’est pas organisé comme une simple base de veille. Le site affiche une ambition plus large : construire un environnement de travail convergent dans lequel un même fait cyber peut être lu comme événement technique, objet juridique et phénomène criminologique. Cette architecture est visible dès la page d’accueil, qui mentionne explicitement la triple lecture QuantumProof / CAJI / CRC, et dans le module Incidents où les fiches incident comportent des piliers identifiés par les lettres T, D et C, correspondant à Technique, Droit/Juridique et Criminologie. (obscyber.mooc-science.eu)

Pour le CRC, cela implique une règle de base : ObsCyber ne doit pas être utilisé comme un simple entrepôt d’exemples, mais comme un outil de structuration des matériaux de recherche. Toute consultation ou saisie doit donc être pensée à partir d’une question scientifique claire : typologie des menaces, dynamiques d’attribution, profils criminologiques, réponses institutionnelles, trajectoires de victimisation, liens entre qualifications pénales et formes d’attaque, etc.

2. Les modules utiles aux chercheurs CRC

La structure du site permet d’identifier quatre espaces particulièrement utiles pour la recherche CRC.

Le premier est le Tableau de bord, qui joue un rôle de synthèse. Il affiche des indicateurs agrégés comme les incidents actifs, les nouveaux textes de veille, l’avancement de certains travaux CRC et les publications disponibles. Il présente aussi une vue convergente des incidents récents, de la veille juridique et de la recherche CRC, ainsi que des accès rapides vers la qualification d’incidents et les espaces partenaires. (obscyber.mooc-science.eu)

Le deuxième est le module Incidents, qui constitue le cœur empirique de la plateforme pour les chercheurs travaillant sur les cas, les séries d’événements, les typologies d’attaque et les chaînes de qualification. La page indique qu’elle contient des incidents récents et historiques, avec filtrage par sévérité, type, pays, période et pilier analytique, ainsi qu’un tableau des incidents et un formulaire de création d’un nouvel incident qualifié. (obscyber.mooc-science.eu)

Le troisième est le module Criminologie, explicitement orienté vers la recherche CRC. Il affiche une cartographie des acteurs cyber, des profils criminologiques, une base documentaire CRC et les théories criminologiques appliquées au cyber. Il comporte également un formulaire « Nouveau document CRC » permettant d’ajouter un document avec titre, catégorie, auteur, description, URL et tags. (obscyber.mooc-science.eu)

Le quatrième est le module Publications, qui donne accès à un corpus structuré de publications CRC/CAJI, avec filtres par type de publication, année, auteur, thématique et statut. Il couvre notamment les work packages, articles, notes juridiques, rapports et outils. (obscyber.mooc-science.eu)

3. Le Tableau de bord : point d’entrée recommandé

Pour un chercheur CRC, le Tableau de bord doit être le point d’entrée normal avant toute session de travail. Il permet de se situer immédiatement dans trois temporalités : l’actualité des incidents, l’actualité normative et l’état des travaux de recherche. La page présente par exemple des blocs distincts pour les incidents récents, la veille juridique et la recherche CRC, avec des items tels que « PRISMA — profils cybercriminels FR 2024 », « Capture-recapture — victimologie cyber » ou « IPA — perception institutionnelle ». (obscyber.mooc-science.eu)

Méthodologiquement, le chercheur CRC devrait adopter l’habitude suivante : avant d’ouvrir un incident ou de déposer une nouvelle donnée, il consulte le tableau de bord pour vérifier si un fait similaire, une publication voisine ou une évolution normative récente n’est pas déjà visible. Cette pratique réduit les doublons, améliore la cohérence des catégories employées et favorise une recherche cumulative plutôt qu’éparpillée.

4. Le module Incidents : rôle scientifique

Le module Incidents affiche 19 incidents, 12 types d’attaque, un CVSS moyen, ainsi qu’une distinction entre incidents actuels et historiques. Le tableau des incidents présente pour chaque entrée la sévérité, l’intitulé, un résumé, le type, le pays, le score CVSS, la date, la période et les piliers d’analyse mobilisés. On y trouve par exemple des cas comme LockBit 3.0 — CHU Toulouse, XZ Utils — backdoor systemd CVE-2024-3094, NotPetya, ou SolarWinds SUNBURST. (obscyber.mooc-science.eu)

Pour le CRC, ce module n’est pas seulement un espace de veille. Il doit être compris comme une base de cas qualifiés. Cela signifie que chaque fiche incident peut servir :

• soit de cas autonome pour une analyse approfondie ;
• soit d’unité d’observation dans une série comparative ;
• soit d’entrée pédagogique pour un work package ;
• soit de support de triangulation entre dimensions techniques, juridiques et criminologiques.

La force du module est précisément de ne pas isoler la technique du reste. Un ransomware n’y apparaît pas seulement comme un malware, mais comme un fait susceptible d’être qualifié juridiquement et interprété criminologiquement.

5. Le module Incidents : filtres et exploration

La page Incidents permet de filtrer selon plusieurs variables : recherche libre, sévérité, type, pays, période, pilier. Les types proposés incluent notamment Ransomware, Espionnage, DDoS, Data Breach, Exploitation CVE, Supply Chain, Phishing, Fraude BEC, Sabotage Industriel, Guerre Cybernétique, Rançongiciel Étatique, Deepfake / Désinformation, Cryptojacking, Compromission Email, Fraude Identitaire, Stalkersware / Surveillance, Cryptomonnaie / DeFi, ainsi qu’une catégorie Autre. (obscyber.mooc-science.eu)

Pour les chercheurs CRC, ces filtres doivent être utilisés de manière stratégique. Un travail sérieux consiste rarement à “parcourir au hasard”. Il faut au contraire partir d’une variable analytique. Par exemple :

• un WP sur l’attribution pourra filtrer Espionnage, Guerre cybernétique et Rançongiciel étatique ;
• un WP victimologique pourra privilégier Phishing, Fraude BEC, Fraude identitaire ou Data breach ;
• un WP sur les chaînes d’approvisionnement ciblera Supply Chain et Exploitation CVE ;
• un WP sur les constructions discursives de la menace pourra comparer Actuel et Historique.

Autrement dit, le filtre n’est pas un confort de navigation ; c’est déjà un geste méthodologique.

6. Lecture d’une fiche incident : ce que le chercheur doit regarder

Les lignes visibles dans le tableau montrent qu’un incident n’est pas seulement indexé par son nom, mais accompagné d’un résumé, d’un score, d’un territoire, d’une date et d’un marquage de piliers. Le moteur du site mentionne aussi, dans la page d’accueil, que les incidents qualifiés comportent des éléments comme la qualification pénale, le CVSS et les IOC, même si la chaîne de texte visible de la page incidents met surtout en évidence le CVSS et la qualification générée. (obscyber.mooc-science.eu)

Dans une logique CRC, la lecture d’une fiche incident devrait toujours suivre cinq questions :

Premièrement, de quel type d’événement s’agit-il réellement ? Il faut dépasser l’étiquette de surface.

Deuxièmement, quel est le régime de gravité affiché ? Sévérité et CVSS ne sont pas identiques conceptuellement, et leur articulation mérite souvent une lecture critique.

Troisièmement, quels piliers sont activés ? Un incident traité seulement en technique n’a pas la même portée pour le CRC qu’un incident traité en triptyque T/D/C.

Quatrièmement, la qualification juridique paraît-elle automatique ou enrichie ? La plateforme indique explicitement que les qualifications peuvent être générées automatiquement selon le type. (obscyber.mooc-science.eu)

Cinquièmement, quelle valeur heuristique le cas présente-t-il pour le WP concerné ? Tous les incidents ne sont pas des matériaux de même densité scientifique.

7. Création d’un nouvel incident : structure réelle du formulaire

La plateforme comporte un formulaire « Nouvel incident qualifié ». Le site indique que les qualifications juridiques seront générées automatiquement selon le type si le champ manuel n’est pas renseigné. Les champs visibles sont les suivants : Titre de l’incident, Description, Sévérité, Type d’attaque, Pays/Région, Score CVSS, Latitude, Longitude, Vecteur technique, Attribution, Qualification juridique manuelle, Leçon pédagogique, puis sélection des piliers d’analyse : Technique, Juridique, Criminologique. Le formulaire se termine par les actions Annuler et Enregistrer l’incident. (obscyber.mooc-science.eu)

Cette structure est très importante pour les chercheurs CRC, car elle montre que la plateforme ne demande pas seulement une narration libre, mais une qualification normalisée. La bonne pratique n’est donc pas de remplir le formulaire comme un billet d’actualité, mais comme une fiche de recherche structurée.

8. Règles CRC pour la saisie d’un incident

Pour harmoniser les usages, je recommande les règles suivantes.

Le titre doit être descriptif, stable et court. Il doit permettre une réidentification rapide sans ambiguïté. Il vaut mieux un format du type acteur / campagne — cible principale ou nom d’incident — artefact clé, plutôt qu’un titre sensationnaliste.

La description doit être rédigée comme un résumé analytique. Elle doit indiquer les faits principaux, l’échelle, la cible, les effets observables, et, si utile, le contexte. Elle ne doit pas devenir un article complet.

La sévérité doit être choisie selon une logique cohérente interne au projet. Il faut éviter de confondre sévérité médiatique et sévérité analytique.

Le type d’attaque doit correspondre au cœur de l’incident, non à un détail périphérique.

Le pays/région doit renvoyer soit à la cible principale, soit à l’espace principal d’impact. Il faut éviter les catégorisations flottantes.

Le score CVSS ne doit être renseigné que s’il a un sens pour l’objet décrit. Un événement géopolitique d’influence ou d’espionnage ne se prête pas toujours à la même logique qu’une exploitation de vulnérabilité.

Le vecteur technique doit décrire le mode d’entrée ou d’exploitation, avec des termes suffisamment stables pour permettre des comparaisons futures.

Le champ attribution doit être manié avec prudence. Il faut distinguer clairement :

• attribution alléguée ;
• attribution institutionnelle ;
• attribution technique ;
• attribution encore incertaine.

La qualification juridique manuelle ne doit être utilisée que lorsqu’il existe une raison scientifique de ne pas s’en remettre à la génération automatique. Par exemple lorsqu’un incident soulève une pluralité de qualifications ou une tension interprétative.

La leçon pédagogique est un champ particulièrement utile pour le CRC. Il permet de transformer un cas en ressource transmissible : enseignement méthodologique, limite institutionnelle, ambiguïté de qualification, erreur fréquente, tension entre technique et droit, etc.

Enfin, les piliers doivent être sélectionnés en conscience. Cocher les trois piliers sans contenu réel dans chacun affaiblit la qualité scientifique de la base.

9. La qualification juridique automatique : intérêt et limite

La plateforme indique expressément que les qualifications juridiques peuvent être générées automatiquement selon le type d’attaque. C’est une aide fonctionnelle très utile pour la standardisation initiale. (obscyber.mooc-science.eu)

Mais pour un chercheur CRC, cette automatisation ne doit jamais remplacer le jugement scientifique. Une qualification automatique est un point de départ, pas une clôture interprétative. Elle peut être suffisante pour un indexage rapide, mais elle doit être réexaminée :

• lorsque le cas est hybride ;
• lorsqu’il mêle sabotage, atteinte aux données et fraude ;
• lorsqu’il existe une dimension internationale ou étatique ;
• lorsqu’un même incident peut relever de plusieurs lectures pénales ou administratives.

La bonne posture est donc la suivante : utiliser l’automatisation pour homogénéiser, puis corriger lorsqu’une analyse plus fine l’exige.

10. Le champ “Leçon pédagogique” : un outil à ne pas négliger

Le formulaire incident prévoit un champ « Leçon pédagogique ». Ce champ a une valeur stratégique très forte pour le CRC, car il fait le lien entre base de données et transmission méthodologique. (obscyber.mooc-science.eu)

Il permet par exemple :

• de signaler pourquoi un cas est exemplaire ;
• d’indiquer une erreur fréquente d’analyse ;
• de souligner une confusion entre qualification technique et pénale ;
• de formuler un enseignement sur l’attribution, la preuve, la gouvernance ou la victimologie ;
• d’alimenter ultérieurement un support de formation ou une publication CRC.

En d’autres termes, ce champ transforme une base d’incidents en base de cas enseignables.

11. Le module Criminologie : fonction documentaire et scientifique

Le module Criminologie est particulièrement important pour les chercheurs CRC. Il se présente comme un espace de cartographie des acteurs, profils criminologiques, base documentaire CRC et théories criminologiques appliquées au cyber. Le site y mentionne 35 acteurs identifiés, 6 catégories, 5 profils types, ainsi qu’une base documentaire composée de fiches méthodologiques, guides, publications et outils de recherche. (obscyber.mooc-science.eu)

Cet espace doit être compris comme le versant proprement scientifique de la plateforme. Il ne sert pas seulement à stocker des contenus ; il structure la manière dont le CRC décrit ses objets, ses catégories et ses outils d’analyse.

12. Ajout d’un document CRC : structure et bonnes pratiques

Le module Criminologie comporte un formulaire « Nouveau document CRC » avec les champs suivants : Titre, Catégorie, Auteur, Description, URL du document, Tags, puis les actions Annuler et Enregistrer. Les catégories proposées sont Méthodologie, Work Package, Guide, Publication, Outil. (obscyber.mooc-science.eu)

Pour un usage rigoureux, il faut distinguer clairement ces catégories.

Un document classé Méthodologie doit exposer un cadre, une méthode, un protocole ou une procédure de recherche.

Un document classé Work Package doit renvoyer à un livrable ou une production liée à un WP identifié.

Un Guide doit être directement utilisable par un lecteur ou un praticien interne.

Une Publication renvoie à un texte abouti de type article, note ou rapport.

Un Outil doit désigner un instrument de travail : grille, formulaire, tableau, canevas, script, schéma d’analyse.

Le titre doit être stable et citables.
La description doit résumer l’objet scientifique réel du document.
L’URL n’est pas obligatoire, ce qui suggère que certains contenus peuvent être référencés même sans hébergement externe direct.
Les tags doivent être normalisés autant que possible pour permettre des regroupements cohérents.

13. Politique CRC recommandée pour les tags

Comme la plateforme permet l’ajout de tags, il est indispensable de normaliser leur usage. Sans cela, la base documentaire devient vite inutilisable.

Je recommande une structuration des tags selon quatre familles :

• thème : phishing, ransomware, RGPD, attribution, victimologie, NIS2 ;
• méthode : PRISMA, IPA, capture-recapture, analyse doctrinale ;
• niveau : WP1, WP2, WP3, transversal ;
• statut analytique : protocole, guide, note, publication, outil.

La règle doit être simple : peu de tags, mais des tags stables.

14. Le module Publications : comment l’exploiter correctement

Le module Publications CRC / CAJI affiche des indicateurs quantitatifs et surtout un système de filtres par type, année, auteur, thématique et statut. Les types comprennent Work packages, Articles, Notes juridiques, Rapports, Outils. Les thématiques visibles incluent par exemple Cybercriminalité, RGPD / Données, Droit international, Criminologie, NIS2, Méthodologie, RNCP / Formation. (obscyber.mooc-science.eu)

Pour les chercheurs CRC, ce module doit servir à trois choses :

• repérer l’existant avant de produire un nouveau texte ;
• situer un document dans une généalogie de travaux ;
• vérifier les recouvrements thématiques entre productions CRC et CAJI.

La bonne pratique n’est pas d’y aller seulement pour “voir ce qui est publié”, mais pour situer sa propre production dans l’écosystème existant.

15. Circuit conseillé pour un chercheur CRC

En pratique, un circuit de travail cohérent sur ObsCyber peut être le suivant.

On commence par le Tableau de bord pour vérifier l’état général de la plateforme et repérer les nouveautés pertinentes. (obscyber.mooc-science.eu)

On passe ensuite au module Incidents si l’on travaille sur des cas, afin d’identifier si l’incident existe déjà, sous quelle forme, avec quels piliers et quelle qualification. (obscyber.mooc-science.eu)

Si l’on produit un contenu méthodologique, un protocole, un guide ou un document de WP, on l’indexe ensuite dans Criminologie, avec une catégorisation claire. (obscyber.mooc-science.eu)

Enfin, si le texte correspond à une production plus aboutie, on vérifie sa place dans Publications et ses proximités thématiques avec les contenus déjà présents. (obscyber.mooc-science.eu)

Ce circuit garantit que la plateforme reste un environnement cohérent, et non une juxtaposition de pages alimentées indépendamment.

16. Recommandations de qualité pour les chercheurs coordonnés

ObsCyber mentionne un usage pédagogique et de recherche. Cette formule est importante : elle signifie que la plateforme n’est ni un simple média, ni une base fermée purement administrative. Elle doit donc satisfaire à une double exigence : intelligibilité pédagogique et solidité scientifique. (obscyber.mooc-science.eu)

Dans cette perspective, les chercheurs CRC devraient respecter au minimum les principes suivants.

Toute saisie doit être traçable : on doit pouvoir comprendre pourquoi elle a été créée.

Toute qualification doit être justifiable : surtout lorsqu’elle dépasse l’automatisation.

Toute description doit être sobre et analytique : ni promotionnelle, ni sensationnaliste.

Tout document ajouté dans la base documentaire doit avoir une fonction de recherche identifiable.

Tout contenu doit être pensé pour pouvoir être réutilisé dans un WP, une note, une formation ou une publication.

17. Limites visibles de l’interface et prudence méthodologique

Le site consulté en accès web permet de voir la structure, les rubriques et les champs principaux, mais il ne donne pas nécessairement accès à toute la profondeur fonctionnelle d’un usage authentifié. Par exemple, certaines logiques de droits d’accès, d’édition, de validation ou d’export détaillé ne sont pas entièrement visibles dans les pages ouvertes publiquement. Il faut donc rester prudent : le présent guide repose sur la structure observable du site et non sur des fonctions d’administration non visibles depuis l’interface consultée. (obscyber.mooc-science.eu)

Cette prudence est importante scientifiquement. Un guide sérieux doit distinguer ce qui est vu, ce qui est déduit, et ce qui relèverait d’un test en session authentifiée.

18. Modèle de formulation interne CRC

Tu peux utiliser, dans un document interne, une formulation du type :

ObsCyber constitue un environnement de travail convergent structuré autour de modules complémentaires : tableau de bord, incidents, veille juridique, criminologie, publications et formation. Pour les chercheurs CRC, son usage doit suivre une logique de recherche documentée : repérage des cas via le tableau de bord, qualification et exploitation des événements dans le module incidents, indexation des ressources scientifiques dans le module criminologie, et positionnement des productions dans le module publications. L’outil doit être utilisé non comme un simple support de veille, mais comme une infrastructure de recherche intégrant dimensions technique, juridique et criminologique. (obscyber.mooc-science.eu)

19. Conclusion

ObsCyber apparaît, au vu de son interface actuelle, comme une plateforme de recherche et de veille structurée autour d’une ambition rare : faire converger l’analyse des incidents cyber, la qualification juridique et la lecture criminologique dans un même environnement. Son intérêt pour le CRC est réel, en particulier grâce au module Incidents, au formulaire Nouveau document CRC, à la cartographie criminologique et à l’espace Publications. (obscyber.mooc-science.eu)

Sa bonne utilisation suppose toutefois une discipline commune : saisie standardisée, prudence sur la qualification, normalisation des tags, exploitation raisonnée des filtres, et inscription de chaque contenu dans une logique de work package ou de production scientifique.