Cyber-investigation

La cyber-investigation est une association de concepts d'origines diverses. Le terme cyber renvoie à la robotique et à la sémantique informatique. Le terme investigation est un anglicisme qui fait référence au langage policier, au travail de l'enquêteur. Dès lors le terme cyber-investigation fait en premier-lieu référence au travail d'enquête relatif aux actes commis sur le web, notamment à la cyber-criminalité. On peut également lier à ce terme celui d'investigation numérique. Il s'agit de "la collecte, la conservation et l'analyse de preuves issues de matériels informatiques en vue de leur production dans le cadre d'une action en justice"[1].

La cyber-investigation et l'investigation numérique sont des notions à rapprocher de l'informatique légale. Une cyber-investigation s'effectue ainsi dans un cadre précis qui relève du domaine judiciaire: à la demande d'une institution judiciaire, ou à la demande d'une personne morale comme physique, afin de produire des preuves devant une institution judiciaire.

Les autorités françaises disposent ainsi d'Investigateurs en Cyber-criminalité au sein des forces de l'ordre[2]. Des organisations telles qu'INTERPOL se chargent également de faire de la cyber-investigation afin de confondre les individus recherchés. Néanmoins les forces de police ne sont pas les seules à bénéficier du développement des outils de recherche cybernétiques. Dans une démarche de conseil et de protection, de nombreux cabinets privés se réclament de la cyber-investigation.

Si cette activité réalisée par des cabinets privés appartient au domaine de l'informatique, voire des sciences de l'information, on peut également la lier avec celui de l'intelligence économique ou stratégique/business intelligence. En effet, l'information demeure le nouvel enjeu économique des entreprises, et revêt un caractère stratégique.

On peut ainsi tout à fait concevoir que dans un contexte, sinon de guerre économique, de concurrence exacerbée entre les acteurs du monde de l'entreprise, ces derniers recourent à des cabinets privés chargés de recueillir ces informations utiles à une action en justice : afin soit d'obtenir réparation pour un préjudice causé, soit afin de nuire indirectement à l'image de leurs concurrents.

Le travail de cyber-investigation n'est cependant pas à confondre avec le travail dit de veille. "La veille consiste à rechercher une information, la collecter, la traiter et ensuite à la diffuser. Elle tient un rôle d'aide à la prise de décision en apportant une information, qualifiée, traitée, et de qualité, à une personne ciblée pour une meilleure connaissance de son marché, de son contexte"[3].

Il est vrai que le travail de veille s'effectue de plus en plus via Internet, dans le cadre de l'OSINT (Open Source Intelligence : informations issues de sources ouvertes), avec l'avènement notamment du Big Data.

Ainsi la distinction entre la cyber-investigation et la veille repose sur l'objet de l'enquête et sur sa destination: la cyber-investigation a pour objet les supports d'information, et a pour finalité l'action judiciaire; la veille se sert de tous les moyens légaux afin d'acquérir l'information sur le web, en tant que conseil du décideur, notamment du dirigeant d'entreprise.

Dans un contexte de menaces numériques omniprésentes et insaisissables, du fait de la volatilité et de la quasi-assurance d'anonymat qu'offre le cyberespace, les États comme le monde de l'entreprise ont décidé de réagir.

De nombreux services et agences d'État, tels en France la DGSI ou l'ANSSI, et plus encore de cabinets privés, offrent désormais des services mixtes : alliant veilles, protection de l'information et de l'e-reputation, marketing intelligence, due diligence, et capacité de cyber-investigation.

De fait l'activité exercée par ces agences et cabinets appelle à une mutation des définitions, et à des actions éloignées de la qualification sémantique initiale. Rappelons que le monde cyber est en constante évolution, et que chaque année voit le glossaire augmenter de nouvelles sémantiques et autres concepts.

C'est ce que l'on appelle le marché de la Cyber-Threat Intelligence. Ce marché repose sur deux composantes principales:

• l'une constituée de services "gratuits ou peu coûteux, souvent communautaires, mettant à disposition des indicateurs d'attaque issus d'une analyse de surface d’événements déjà survenus ;
• l'autre de services beaucoup plus onéreux reposant sur des sources non-techniques (intelligence économique, infiltration, collaboration avec les autorités) et des analyses techniques poussées pour disposer d'éléments sur le contexte et la motivation des attaques"[4].

Sous un angle national, ici français, la grande majorité des cabinets privés ici évoqués sont membres du Syndicat Français de l'Intelligence Économique[5], et présents dans l'Annuaire du Portail de l'Intelligence Économique[6].

• Mike Gillam, "What Is A Cyber Investigation", https://www.theinvestigators.co.nz/news/what-is-a-cyber-investigation/, publié le 25/02/16, 1p.
• Da-Yu Kao, Shiuh-Jeng Wang ((2009) "The IP address and time in cyber‐crime investigation", Policing: An International Journal of Police Strategies & Management, http://www.emeraldinsight.com/doi/abs/10.1108/13639510910958136, Vol. 32 Issue: 2, pp.194-208, DOI: 10.1108/13639510910958136)
• Référence http://binaire.blog.lemonde.fr/2016/04/28/les-experts-a-grenoble/
• Référence http://www.brefeco.com/actualite/autres-services/changement-de-modele-efficace-pour-eyes-media
• Référence http://www.policemag.com/channel/technology/articles/2003/11/how-to-investigate-cybercrime.aspx
• Référence http://fr.kroll.com/investigative-forensic/computer-forensics/
• Référence http://www.iacpcybercenter.org/topics/cyber-crime-investigations/