Acteurs malveillants dans le cyberespace : compréhension et analyse de leurs comportements
Le 20 mai 2025 était organisé un séminaire sur l’analyse comportementale des acteurs malveillants dans le cyberespace, initié par le COMCYBER.
Des chercheurs universitaires et une représentante du département des sciences du comportement de la gendarmerie nationale ont été conviés à présenter les connaissances actuelles sur l’analyse des comportements des acteurs malveillants présents dans le cyber espace. L’objectif du séminaire était de comprendre les méthodologies employées dans les domaines physiques et numériques afin d’analyser les façons dont elles se nourrissent entre elles.
Comprendre les actions dans le cyberespace
Les différentes analyses présentées et les méthodes employées ont pour objectif aujourd’hui de comprendre le mode de fonctionnement des acteurs malveillants afin de les détecter au plus tôt et de comprendre également la manœuvre employée par l’adversaire afin de réduire l’efficacité de leurs actions.
La chef d'escadron Peggy de la Gendarmerie nationale, Mme Emilie Berdoulat du laboratoire cliniques pathologique et interculturelle (LCPI), Mme Carole du Centre interarmées des actions sur l'environnement (CIAE), M. Pascal Marchand du laboratoire d’études et de recherches appliquées en sciences sociales (LERASS) et Mme Anne-Gwenn Bosser du Lab-STICC et Ecole national d’ingénieurs de Brest (ENIB) se sont succédés pour exposer leurs travaux sur l'analyse comportementale des acteurs malveillants, qu'ils soient dans le domaine physique ou virtuel. L'analyse du comportement de ces opérateurs malveillants dans le cyberespace a pour objectif de comprendre les actes d’un individu au travers de son comportement numérique puis d’inscrire ses agissements au sein d’un groupe ou d’un organisme pour saisir l’influence de ce dernier sur la personne concernée.
« Le cyber est artificiel et donc mouvant et susceptible d’évolution rapide. Ces évolutions concernent les technologies mais également les comportements. »
- Officier général adjoint au commandant à la cyberdéfense
La compréhension de leur comportement, de leur manière de réfléchir et leur environnement permet par la suite de proposer des actions de réponse plus pertinentes et d’organiser un récit cohérent afin de rétablir la vérité des faits sur les opérations militaires extérieures en cours. Dans le domaine de la lutte informatique d’influence (L2I), dont le Commandement de la cyberdéfense a la charge, ces analyses comportementales instaurent une véritable compréhension de l’individu pour faire face aux menaces dans le champ cyber-informationnel.
De Facebook à TikTok, les techniques employées par les cyber attaquants dans le cyberespace sont très diverses.
Transposition de la couche physique à la couche virtuelle
Présentée par le chef d’escadron Peggy, les travaux réalisés par le Département des sciences du comportement de la Gendarmerie nationale permettent une véritable transposition entre l’analyse comportementale des criminels et celle des acteurs malveillants dans le cyberespace. Travail pluridisciplinaire et d’équipe incluant les sciences humaines dont la psychologie, l’analyse comportementale propose une description de la personnalité d’un criminel tout en restant objectif, tant sur les motivations de celui-ci que dans ses actes.
Les analyses comportementales nécessitent une rigueur scientifique à même de réduire le rôle des biais cognitifs. Au travers de la méthodologie employée, il s’agit d’analyser le déroulé du crime à partir des éléments disponibles. Après la consultation des travaux des spécialistes impliqués dans l’analyse de la scène de crime et des entretiens avec les personnes impliquées, l’élaboration d’un profil type incluant des données démographiques est réalisé. Ce travail reprend les travaux des autres acteurs en prenant en compte les caractéristiques psychologiques, la motivation de l’acteur du crime et les liens entretenus avec la victime.
D’autres travaux de recherches établissent des liens entre les comportements dans le monde physique et dans le cyberespace. C’est notamment le cas des travaux portés par Mme Emilie Berdoulat sur une analyse croisée des comportements routiers dangereux liés notamment aux violences routières et les actions menées par des acteurs malveillants dans le cyberespace.
« Le point commun entre un routier et un acteur dans le cyberespace est qu’il s’agit d’un prolongement du corps : prolongement par la voiture et prolongement par le smartphone. Il y a une triangulation entre le corps, le psychisme et la technologie. »
- Maître de conférences en psychologie à l’Université de Toulouse Jean Jaurès
Un véritable parallèle peut être fait entre le domaine physique et celui du numérique dans ces analyses comportementales pour déterminer le profil d’un adversaire numérique.
Cette approche permet aussi de prendre en compte les motivations des individus dans la réalisation d’actions malveillantes.
L’analyse comportementale dans l’environnement numérique
Certaines motivations d’acteurs malveillants en ligne sont aujourd’hui analysées pour renforcer notre défense dans le champ cyber-informationnel. Même si les motivations sont parfois différentes en fonction des auteurs présents dans le cyberespace, certains indices nous permettent d’établir des profils types :
- La maîtrise des technologies et leurs connaissances dans les technologies
- La capacité à exploiter les vulnérabilités des systèmes d’information
- L’analyse du comportement
En complément, l’analyse psycho-criminologique détermine le comportement dans le cyberespace des individus. En fonction de leur âge et de la manière dont ils sont rentrés dans le cyberespace et notamment sur les réseaux sociaux, un individu n’aura pas le même comportement et les mêmes objectifs dans le cyberespace.
La lutte informatique d’influence : l’analyse comportementale pour lutter contre les ingérences touchant les armées
Dès 2015, les armées françaises font face à des campagnes de propagande touchant les armées et les opérations extérieures en cours. C’est le cas notamment avec les campagnes de propagande djihadistes. Ainsi, les armées ont constitué une véritable organisation dans le champ cyber-informationnel pour faire face à cette désinformation menée par plusieurs acteurs malveillants dans le cyberespace.
« Les actions des unités de L2I se font dans le respect du droit international et s’inscrivent dans les opérations militaires. L’objectif est de contrecarrer les actions menées par les acteurs de l’information qui nuisent aux opérations militaires. »
- Psychologue au Centre interarmées des actions sur l’environnement
Cette lutte contre les ingérences touchant les armées passe par une surveillance constante des réseaux sociaux utilisés par les compétiteurs stratégiques mais également par une alimentation de bases de données déterminant des patterns comportementaux pour les opérateurs du ministère des Armées. Plusieurs facteurs sont pris en compte dans ces analyses afin d’identifier les vulnérabilités de ces acteurs :
- Les méthodes employées par les acteurs malveillants
- Les vulnérabilités qu’ils cherchent à atteindre * L’organisation et la dynamique des groupes malveillants sur les réseaux sociaux
- Les champs sémantiques utilisés
- Le registre du langage employé auprès de l’auditoire et les fautes d’orthographe
- L’esthétisation des publications et le contenu des publications
- L’utilisation de supports photos, emojis, gifs et leurs fréquences
- La nature du contenu (informatif, humoristique, …)
D’autres caractéristiques plus techniques sont également analysés :
- Les horaires de connexion
- Les délais de réponses
- Le nombre de followers
- L’activité et la fréquence des publications sur un compte en particulier
« L’analyse comportementale des acteurs malveillants dans le cyberespace permet de changer nos méthodes et de renforcer notre défense. »
- Officier général adjoint au commandant à la cyberdéfense
La lutte informatique d'influence (L2I)
La lutte informatique d’influence désigne les opérations militaires conduites dans la couche informationnelle du cyberespace pour détecter, caractériser et contrer les attaques, appuyer la StratCom, renseigner ou faire de la déception, de façon autonome ou en combinaison avec d’autres opérations.
Découvrez la doctrine complète sur la L2IContenus associés
Sécurisation de l’intelligence artificielle : deux solutions innovantes distinguées par le ministère des Armées
Mercredi 30 avril 2025 a eu lieu la remise des prix du défi « Sécurisation de l’IA », ayant pour objectif de récompenser des solutions innovantes permettant de sécuriser les systèmes incluant une intelligence Artificielle.
15 mai 2025
DEFNET 2025 : le Service de santé des armées face au double défi d’une cyberattaque et du ravitaillement en produits sanguins
Anticipation, coopération et adaptation ont été au cœur des enjeux du Service de santé des armées (SSA) lors de la 11e année de l’exercice cyber DEFNET. Face à une cyberattaque simulée paralysant HEMATOS, un système d’information de qualification des produits sanguins, les acteurs impliqués ont dû mettre en place des solutions alternatives pour garantir l’approvisionnement en produits sanguins des militaires blessés sur un théâtre d’opération fictif.
16 avril 2025
DEFNET 2025 : Retour sur l’exercice majeur de cyberdéfense des armées
Du 17 au 28 mars s’est déroulé l'exercice interarmées DEFNET 2025. Cet exercice majeur de cyberdéfense a mobilisé quinze armées, directions et services du ministère des Armées pour entraîner les cybercombattants dans des scénarios réalistes en lutte informatique défensive (LID) et d'influence (L2I).
28 mars 2025
