La gendarmerie et le risque cyber, c’est une longue histoire…
La gendarmerie a commencé à se poser ces questions à la fin des années 1980. Sur le plan informatique, c’était une maison déjà en avance sur son temps. Je me souviens, à cette époque, d’un groupe de travail prospectif, le groupe Napoléon — parce qu’on se réunissait dans la caverne Napoléon —, où l’on réfléchissait déjà aux actions possibles dans le cyberespace. À l’époque, Google n’existait pas encore, les réseaux sociaux non plus. La France était encore sur le Minitel. On était au début du commencement, mais la réflexion avait commencé. En 2002, au cabinet de Nicolas Sarkozy puis de Dominique de Villepin au ministère de l’Intérieur, j’ai piloté un groupe de travail sur la ratification de la convention de Budapest sur la cybercriminalité. Avec Thierry Breton, alors président de France Télécom, nous avions rendu un rapport au ministre. En 2004 — on était encore avant les réseaux sociaux, avant les smartphones —, on a pu faire passer à Dominique de Villepin ce message : les services de l’État couraient un vrai danger. Ça a été entendu, progressivement. Ce travail a contribué à inspirer la création de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, sous Sarkozy comme président.
Où en est la gendarmerie aujourd’hui par rapport à ces menaces ?
Elle a réalisé des progrès considérables, et je pèse mes mots. La raison principale, c’est son modèle de recrutement. Dans la gendarmerie, on a des polytechniciens, des centraliens, des ingénieurs issus de Supélec, de l’École navale, de l’École de l’air, des universitaires avec des diplômes scientifiques. Quand la gendarmerie conçoit un système, elle le fait avec des industriels, mais aussi avec des gens de la maison qui savent ce dont ils ont besoin. Pourquoi le logiciel de rédaction des procédures de la police nationale est-il un fiasco, là où celui de la gendarmerie fonctionne ? Parce que les gendarmes ont exprimé leur besoin de l’intérieur, avec des gens qui connaissent les deux faces du métier. Les autres ont transmis un cahier des charges à une entreprise qui n’en a pas compris toutes les implications.
La gendarmerie prend-elle le leadership sur la police dans ce domaine ?
Je le pense. L’école de formation des enquêteurs cyber, à Lille, a été entièrement montée par la gendarmerie. Les officiers de police cyber sont peu nombreux. Sur les tables rondes du Forum InCyber, ce sont principalement des gendarmes qui interviennent. Pas parce qu’on les a favorisés, mais parce que des policiers ont décliné des invitations, sans doute moins à l’aise sur ces sujets. Ça dit quelque chose sur où se trouve la compétence aujourd’hui.
Quels sont les progrès structurels les plus visibles ?
J’ai créé à Lille, entre 2005 et 2008, une petite antenne de sept ou huit gendarmes spécialisés en nouvelles technologies. J’étais le seul en France. On me disait de les disperser, ce que j’ai refusé, parce qu’ils devaient pouvoir se former entre eux. Aujourd’hui, il y a une Unité nationale cyber, des antennes régionales déportées, des spécialistes en crypto-actifs. J’ai visité récemment l’Unité nationale cyber : la progression est considérable. À l’international, c’est la même dynamique. Le directeur des opérations d’Europol est un général de gendarmerie. On se situe là dans la haute police judiciaire. Personne ne remet en cause ce positionnement, ce qui n’aurait pas été évident il y a vingt ans, à l’époque où certains voulaient cantonner la gendarmerie aux campagnes et lui interdire la judiciaire complexe.
« Gérer un héritage et préparer l’avenir »
Y a-t-il des failles dans la chaîne, notamment au niveau de l’accueil des victimes ?
La première marge de progression se situe au niveau du terrain. Quand une victime — qu’il s’agisse d’un particulier, d’une entreprise ou d’une administration — entre dans une brigade, le gendarme présent doit être capable de comprendre la plainte et d’orienter immédiatement vers le bon interlocuteur, même s’il ne peut pas traiter lui-même l’affaire. Pendant longtemps, ça n’a pas été le cas : certains gendarmes ne qualifiaient même pas la plainte, quand ce n’était pas le parquet qui ne comprenait pas. Cette prise de conscience est encore en chantier, mais on avance.
La cybercriminalité complique-t-elle aussi les contentieux classiques ?
Absolument, et c’est une couche supplémentaire sur des risques anciens. Les violences intrafamiliales en sont un exemple parfait : on peut désormais poser un tracker sur le téléphone d’une conjointe sans qu’elle s’en aperçoive, la géolocaliser via ses réseaux sociaux, faire du revenge porn. La criminalité classique ne disparaît pas. Elle se numérise. Et pendant ce temps, les cybermenaces pures s’intensifient. Ce n’est pas l’une ou l’autre : c’est les deux simultanément.
La gendarmerie a-t-elle les moyens suffisants ?
Personne dans l’histoire n’a jamais eu tous les moyens nécessaires. Mais il y a une montée en puissance réelle. La difficulté pour le directeur général, c’est l’arbitrage permanent : si on crée 200 brigades sur le terrain, on ne met pas ces effectifs ailleurs. C’est ça la réalité d’une institution qui doit à la fois gérer un héritage et préparer l’avenir.
La gestion des ressources humaines suit-elle ?
C’est le troisième enjeu majeur, après l’accueil des victimes et la montée en compétences. Si vous recrutez un gendarme brillant, à la fois officier et expert cyber, et que vous ne lui offrez pas de perspectives de carrière cohérentes avec son profil, Thales ou Microsoft vous le prendront. Même avec le goût du drapeau, les contraintes financières et familiales finissent par peser. Il faut donner à ces profils le sentiment qu’ils ne sont pas isolés, qu’on ne peut pas les muter sans ménagement, mais bien des experts inscrits dans une trajectoire. Cela pose aussi la question des grades. Pourquoi ne pas avoir demain des officiers de gendarmerie à part entière, reconnus comme tels, qui n’auraient jamais commandé une compagnie mais dont l’expertise technique justifie un niveau de rémunération équivalent ? La question va inévitablement se poser.
Quel est votre regard sur les cyberattaques qui basculent dans le monde physique, vers les hôpitaux par exemple ?
C’est une frontière qu’on va franchir, si ce n’est pas déjà fait. Un wiperware (attaque qui vise à effacer les données, NDLR) déclenché pendant qu’une aiguille d’un dixième de millimètre est enfoncée dans le cerveau d’un patient, et c’est une mort assurée. En Allemagne, on a eu une femme évacuée d’urgence lors d’une attaque contre un hôpital. Elle devait probablement mourir de toute façon, et c’est pour ça qu’on ne peut pas formellement attribuer sa mort à l’attaque. Mais le jour où ce lien sera établi sans ambiguïté, ça changera profondément la qualification juridique des cyberattaques. J’avais d’ailleurs soulevé ce problème dès 2022, quand nous avons rédigé le Code de la cybersécurité : on réprime les faits (la pénétration, la modification des données) mais pas les effets. Pénétrer le système d’une entreprise commerciale et pénétrer celui d’un hôpital en pleine opération, ce n’est pas la même chose. Le droit devra s’y adapter.
Propos recueillis par Antonin Amado
