Catherine Chambon (SDLC-DCPJ) : « gardez sur Internet le même bon sens que dans la vie physique ! »

Catherine Chambon, commissaire divisionnaire et sous-directrice de la lutte contre la cybercriminalité à la Direction Centrale de la Police Judiciaire

Retrouvez cet article dans le CIO FOCUS n°102 !

Le rôle central des DSI même là où on ne l'attend pas

Partout, l'informatique est partout ! Et cela a une conséquence souvent négligée : le DSI est de ce fait lui aussi partout impliqué. Même aux endroits les plus inattendus. Ainsi, par exemple, combien de DSI sont conscients de leur rôle central dans un bon déroulement de contrôle fiscal ? Pourtant,...

Découvrir

La commissaire divisionnaire Catherine Chambon dirige la Sous-Direction de la Lutte Contre la Cybercriminalité (SDLC) à la Direction Centrale de la Police Judiciaire (DCPJ). Elle combat ici les idées reçues pour développer les réactions adéquates en entreprises face aux cybercriminels. Elle présente également les collaborations et les différences de compétences entre tous les organismes pouvant lutter contre les cybercriminels au cours de leurs missions.

PublicitéCIO : Quelle est la position et le rôle de la Sous-Direction de la Lutte contre la Cybercriminalité (SDLC) que vous dirigez ?

Catherine Chambon : La SDLC est l'une des sous-directions de la Direction Centrale de la Police Judiciaire (DCPJ). Une telle sous-direction s'occupe d'un grand type de criminalité (criminalité organisée, criminalité financière...) ou d'opérations transverses (maillage territorial, police technique et scientifique...).
La DCPJ est elle-même l'une des directions centrales de la Direction Générale de la Police Nationale (DGPN) aux côtés de la DCPAF (Police aux Frontières), de la DCSP (sécurité publique), etc. La DGPN est pour sa part directement rattachée au Ministre de l'Intérieur.
La SDLC est fondamentalement transverse car elle s'occupe de toute la criminalité qui s'appuie sur les Technologies de l'Information et de la Communication. Il peut donc s'agir de la criminalité contre les systèmes d'information ou les outils informatiques mais aussi de la criminalité utilisant l'informatique comme outil pour commettre des crimes classiques. De ce fait, la SDLC a un rôle de soutien aux autres offices et sous-directions confrontés à des usages de l'informatique par les criminels qu'ils combattent.
Par exemple, nous créons des modèles pour le logiciel de recueil de plaintes en essayant de coller à l'actualité. Lorsqu'il y a eu une grande vague de défaçages de sites web par des islamistes, nous avons eu à gérer 1200 plaintes. Nous avions créé pour cela un modèle pour que les agents de terrain notent tout ce qui était nécessaire sans rien oublier. De plus, la structuration des données imposée par ces modèles facilite leur centralisation et la synthèse, y compris le cas échéant à l'international puisque les formes sont convenues à l'avance.

CIO : On entend beaucoup parler de la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information) lorsque l'on parle cybercriminalité. Quelles sont vos relations avec elle ?

Catherine Chambon : La BEFTI est une brigade à compétence territoriale dépendant de la Préfecture de Police de Paris. Elle ne nous est donc pas rattachée car une sous-direction comme la nôtre a une compétence nationale. La BEFTI a comme objectif de résoudre des affaires dans la zone de compétence de la Préfecture de Police, c'est à dire Paris et la Petite Couronne, pour faire simple l'ancien département de la Seine. Cette zone géographique comprend de nombreux sièges sociaux de grandes entreprises souvent sujettes à des attaques. De plus, la BEFTI ne se préoccupe que des atteintes aux systèmes d'information, pas des autres crimes s'appuyant sur les TIC comme outils.

PublicitéCIO : Comment fonctionnez-vous au quotidien entre cette organisation très pyramidale et les besoins de transversalité ?

Catherine Chambon : Notre organisation est en fait matricielle. Une sous-direction comme la SDLC a un rôle de pilote dans son domaine. Elle doit anticiper, effectuer un travail méthodologique, compiler les retours d'expériences et en tirer des leçons, etc. Nous donnons donc des moyens au terrain pour qu'il soit efficace. En retour, les services qui assurent le maillage territorial nous alimentent en constatations concrètes.

CIO : Travaillez-vous également avec l'ANSSI (Agence Nationale à la Sécurité des Systèmes d'Information) ?

Catherine Chambon : Bien entendu. L'ANSSI est un organisme qui dépend du Premier Ministre et qui est doté de compétences propres. Nous collaborons en ayant recours à leur expertise dans un cadre judiciaire ainsi qu'en nous formant du point de vue technique à leurs côtés. En retour, nous les alimentons en informations sur les pratiques techniques et les méthodes employées par les cyber-criminels. C'est donc un échange gagnant-gagnant entre deux organismes n'ayant pas du tout les mêmes tutelles.
Cela dit, nos compétences sont également très différentes. L'ANSSI s'occupe de cybersécurité, nous de cybercriminalité. La cybercriminalité est l'usage des moyens techniques informatiques pour commettre des crimes tandis que la cybersécurité est une préoccupation technique. Cybersécurité et cybercriminalité ont une zone de recoupement mais qui est loin de couvrir la totalité du périmètre de l'une ou de l'autre.
De plus, nous nous occupons de toute la cybercriminalité. Les victimes peuvent être aussi bien des particuliers, des petites entreprises... A l'inverse, l'ANSSI ne va s'intéresser qu'aux administrations et aux très grandes entreprises.
Cela dit, si nous découvrons un nouveau cheval de Troie, l'ANSSI sera évidemment intéressée.

CIO : Vous avez un passé de policier et une formation juridique. N'est-il pas gênant de ne pas être plus ou moins informaticien pour lutter contre la cybercriminalité ?

Catherine Chambon : Non, au contraire. Il est même important que le dirigeant de la SDLC ou de l'OCLCTIC [voir encadré], ait une expérience opérationnelle en police judiciaire pour que l'apport du service soit réellement utile, au delà de la seule technique.

CIO : De quelles ressources humaines disposez-vous à la SDLC ?

Catherine Chambon : Nous disposons d'équipes techniques (ingénieurs informatiques et télécoms par exemple) mais aussi d'équipes opérationnelles, pédagogiques, documentaires, aux relations internationales (Interpol...), etc. Un commissaire est d'ailleurs un ingénieur informatique qui s'est reconverti. Nous pouvons recourir à des ingénieurs internes mais aussi à des contractuels. Les profils au sein de la SDLC sont très divers.
Nos équipes techniques font de l'assistance quotidienne mais aussi de la veille et de l'anticipation. Elles aident les équipes pédagogiques pour créer des formations ou des kits pédagogiques à l'attention de tous les policiers, y compris ceux qui, sur le terrain, vont recueillir les plaintes des victimes. Un agent qui recueille une plainte doit en effet comprendre le contexte pour savoir collecter tous les éléments nécessaires et bien conseiller la victime. Selon l'échelon, l'action pédagogique sera différente, de la simple sensibilisation à la certification d'enquêteurs.

CIO : Quelle est la typologie de la cybercriminalité frappant les entreprises ?

Catherine Chambon : Toutes sont concernées par le phishing visant leurs clients ou leurs services internes. Il existe aussi, bien sûr, tous les types de malwares visant à prendre le contrôle du système d'information (en tout ou partie) ou bien à récupérer des données. Les vols de données sont également un type de cybercrime fréquent qui s'appuie sur les limites de la cybersécurité, tant au niveau technique qu'au niveau humain.
La cybercriminalité peut viser à l'espionnage comme à la déstabilisation voire, tout simplement, à l'extorsion de fonds (ransomwares...).

CIO : Y-a-t-il un profil type de cybercriminels ?

Catherine Chambon : Le cybercrime est pyramidal. Au sommet de la pyramide, vous trouvez des hackers de haut niveau qui développent des outils. En dessous, vous avez des personnes à la recherche de ces outils pour mener leurs entreprises criminelles (espionnage, extorsion, etc.). Et à la base de la pyramide, vous trouvez des exécutants techniques qui vont mettre les mains dans le cambouis et prendre les risques principaux.
Les équipes de cybercriminels recourent à des capacités d'ingénierie et s'organisent de façon très modulaire et flexible. Les spécialistes les plus pointus vont vendre des compétences mais éviter de s'impliquer personnellement dans l'opérationnel.
La cybercriminalité est un marché noir où on achète des outils, des compétences, de la force de travail, des moyens techniques... mais où l'on vend également des données. Selon la qualité, la facilité d'usage et la performance des outils, leur prix va varier. Il y a donc des mouvements financiers entre les différents acteurs, avec des opérations de blanchiment comme on peut en trouver dans d'autres formes de criminalité organisée.
Comme vous voyez, nous sommes très loin de la cybersécurité.

CIO : Pour faire face à la cybercriminalité, avez-vous des bonnes pratiques à recommander ?

Catherine Chambon : Un premier conseil : gardez sur Internet le même bon sens que dans la vie physique quotidienne ! Par exemple, il ne faut pas exposer ses moyens de paiement, il faut réfléchir avant d'ouvrir un fichier reçu dans un spam, etc. Auriez-vous l'idée de donner votre clé d'appartement à n'importe qui, rencontré au coin de la rue parce qu'il se prétend plombier alors que vous n'avez pas de fuite ? De la même façon, il ne faut pas donner ses identifiants et mots de passe sans être absolument certain de l'identité des destinataires et de la légitimité de la demande.
Tout l'enjeu de la sensibilisation que nous menons est de faire en sorte que les gens retrouvent en ligne les réflexes de la vie courante. Les moteurs des imprudences des victimes peuvent bien sûr être l'appât du gain mais aussi l'altruisme, la volonté d'aider quelqu'un en difficulté.
Côté technique, je ne peux que recommander de suite les guides d'hygiène rédigés par l'ANSSI. Ils sont très clairs et compréhensibles par tout le monde.
Enfin, nous avons l'habitude de travailler en partenariat avec les entreprises et les organisations catégorielles pour faciliter les diagnostics et la rédaction de recommandations. Nous cherchons aussi à donner aux entreprises des outils de diagnostic et de prévention. Là où l'ANSSI va donner ces outils sur le plan technique, nous allons, nous, informer sur les problèmes comportementaux, les défauts de cuirasse exploités par les malfaiteurs.

CIO : Que doit faire une entreprise si elle se découvre victime ?

Catherine Chambon : Je vais renvoyer pour cela au guide Réagir à une attaque informatique : dix préconisations qui détaille les procédures pour éviter de détruire les preuves et porter plainte.
Il faut savoir qu'en ayant développé la plate-forme de signalement en ligne Pharos, nous avons grandement amélioré notre efficacité. Le nombre de signalements est en forte progression. En 2014, il y en a eu 137 000, à 56% en lien avec une escroquerie.
Cette plate-forme permet de recentraliser les signalements qui, auparavant, étaient dispersés sur tout le territoire, en fonction des domiciles des victimes. De ce fait, nous pouvons identifier les auteurs des crimes en évitant la dispersion des efforts dans des brigades territoriales.
Grâce au regroupement des plaintes des différentes victimes concernant les mêmes faits, nous sommes passés de 137 000 signalements à 6000 procédures. Les procédures en doublon ou inutiles sont donc évitées. Pharos devrait être la base du futur système de plainte en ligne pour tous les crimes et délits sur Internet. Pour l'heure, c'est juste une plate-forme de signalement avant le véritable dépôt de plainte.

En savoir plus

Avec une formation initiale juridique, Catherine Chambon est avant tout commissaire de police. Elle opère dans la Police Judiciaire depuis 1989 avec des postes spécialisés sur divers types de criminalité (infractions financières, criminalité organisée, fraude au moyens de paiement...). Elle a dirigé l'Office Central de Lutte Contre les Infractions aux Technologies de l'Information et de la Communication (OCLCTIC) de 2001 à 2006. Enfin, elle prend la responsabilité de la Sous-Direction de la Lutte Contre la Cybercriminalité (SDLC) en 2014. L'OCLCTIC est le service opérationnel de la SDLC. La SDLC comprend également des services de recherche, d'accompagnement pédagogique du grand public, etc.

Pour aller plus loin
- Réagir à une attaque informatique : dix préconisations : un livret PDF créé par la Direction Centrale de la Police Judiciaire (téléchargement libre, 5 Mo).
- Les guides d'hygiène rédigés par l'ANSSI
- Le portail de signalement Pharos