C’est avec plaisir que je suis cet été à Nanterre avec le commissaire Julien HAMM et Marc STOLTZ. L’initiative de l’entretien vient de Marc, réserviste de la Police nationale de nous rassembler et je suis honorée de rencontrer pour la première fois le commissaire Julien HAMM, chef du pôle du renseignement cyber de l’OFAC, pour lequel j’ai beaucoup de respect.
Bonjour commissaire Julien HAMM,
Où sommes-nous ?
Nous sommes à l’office anti-cybercriminalité, l’OFAC, qui a été désigné par décret le 23 novembre 2023, comme le pilier opérationnel de la lutte contre la cybercriminalité à l’échelle du ministère de l’Intérieur. Cet arbitrage pris par le ministère a désigné pour la matière cyber un pilier stratégique : le COMCYBER-MI, et un pilier opérationnel : l’OFAC. Donc un double chef de filât stratégique et opérationnel.
En tant que chef de file opérationnel, l’OFAC a un rôle de coordination opérationnelle à l’échelle nationale en matière de lutte contre la cybercriminalité, d’où l’importance d’être un Office central.
Pourquoi ?
Parce qu’il y a un certain nombre de services d’enquêtes qui existent en France, qui travaillent sur la cybercriminalité, que ce soit à la Police nationale, à la Préfecture de police, ou à la Gendarmerie nationale. Et nous, notre particularité en tant qu’Office central, comme pour chacun des 14 offices centraux qui existent en France et qui sont désignés chefs de file dans leur thématique, est que l’on embrasse des missions plus larges que celle d’être un service d’enquêtes, ce qui nous amène à déployer un certain nombre d’outils supplémentaires, comme par exemple d’être actifs en matière de prévention, ce que nous évoquerons plus tard.
Quelles sont vos missions à l’OFAC ?
Je suis à l’OFAC en tant que chef du pôle du renseignement cyber.
L’OFAC se structure en quatre pôles qui correspondent aux quatre missions principales qui lui ont été assignées par décret.
La mission d’enquêter, avec tout d’abord un cœur de métier qui est l’infraction dite cyberdépendante, la cyberattaque : le rançongiciel, le jackpotting, l’attaque DDoS, ou l’extraction et le vol de données. Nous avons également développé une expertise sur les infractions dites cyber-facilitées qui vont toucher le spectre haut de la criminalité, donc de la criminalité organisée, avec tout un travail qui est fait sur les messageries chiffrées. Nous avons rencontré sur ce sujet des réussites sur des dossiers emblématiques comme Sky ECC, ou plus récemment Matrix. Le pôle des enquêtes cyber travaille également sur les crypto-actifs et sur les vitrines numériques, le dark market, donc l’utilisation des différentes boucles du Darknet pour des services criminels ou des services cybercriminels.
À côté de la mission d’enquêtes, une mission d’appui. En effet, toute l’expertise qui est développée à l’OFAC en matière de lutte contre la cybercriminalité est mise à profit des autres services de la Police nationale, qui agissent dans d’autres matières que le cyber, mais qui, pour leurs enquêtes, auront besoin de nos compétences. Ils vont faire appel à l’OFAC pour de l’exploitation de supports numériques (téléphones, ordinateurs ou autres) ou pour notre savoir-faire en matière d’Open Source Intelligence (OSINT), digital forensic, extraction de données ou enquêtes sous pseudonymes.
Le pôle de l’appui opérationnel cyber pilote également la formation des Investigateurs en Cyber-Criminalité, les ICC, pour l’ensemble de la Police nationale.
La troisième mission de l’OFAC est la détection des cyber-menaces, la détection des menaces dont les usagers du cyberespace peuvent faire l’objet, à travers deux plateformes :
– L’une qui commence à avoir son historicité, PHAROS, pour le signalement des contenus illicites publics sur Internet. Il peut s’agir par exemple d’appels à la violence, appels au meurtre, apologie du terrorisme, pédocriminalité, la liste est longue. Face à ces contenus, PHAROS peut avoir deux types d’actions. Une action administrative, qui permet le retrait ou le déréférencement des contenus illicites, et une action judiciaire, lorsque le diffuseur du contenu est identifié, localisé.
– La deuxième plateforme, THESEE, est plus récente. Elle permet aux particuliers de déposer plainte en ligne pour des faits de e-escroqueries. THESEE présente un double intérêt. Pour l’usager, elle permet d’avoir une démarche 100 % dématérialisée, une plainte 100 % en ligne sans avoir à se déplacer et faire la queue dans une gendarmerie ou dans un commissariat de police. Pour nos services, elle permet un traitement plus efficace des plaintes grâce à son logiciel de recoupement. Cet outil d’analyse permet d’injecter dans un puits de données l’ensemble des sélecteurs rentrés par les usagers dans leurs dépôts de plaintes afin de faire tous les rapprochements possibles. Un outil essentiel pour lutter contre une menace déterritorialisée.
Enfin, la mission de renseignement, celle que je porte en tant que chef du renseignement cyber. Mon pôle a vocation à collationner et à redistribuer l’information d’intérêt cyber à l’échelle nationale et internationale. Il s’appuie sur trois sections. La première est dédiée à l’analyse de la menace. C’est le SIRASCO cyber. Il y a ensuite une section de la coopération internationale pour gérer tous les canaux de coopération internationaux, ce qui est une source d’informations essentielle. Rappelons que l’OFAC est le point de contact central à l’international pour la France en matière d’échanges opérationnels sur le cyber. Enfin, la section de la coopération nationale, développe une approche à 360 degrés entre les enjeux que nous portons en matière de lutte contre la cybercriminalité, et tous les enjeux liés à l’écosystème national en matière de cybersécurité. Considérant que pour collecter de l’information et la dispatcher, on doit rester en lien constant avec tous les acteurs du cyber en France.
À ce titre, on a deux outils : d’une part le Centre de Réponse à Incident de la Police Judiciaire, le CSIRT-PJ, qui est le point de contact avec l’ensemble des CERT, et d’autre part le RECyM, le réseau des experts en cyber-menaces, composé de réservistes qui agissent sur l’ensemble du territoire hexagonal pour faire de la sensibilisation aux risques cyber, au profit essentiellement des TPE, PME et des collectivités territoriales. Ils qui font également de l’accompagnement de victimes en cas de cyberattaque.
Comment se positionne cybermalveillance.gouv.fr par rapport à vous ?
C’est un outil qui est complémentaire à l’action du RECyM puisque les entreprises et usagers peuvent y trouver en permanence de nombreuses informations sur les risques cyber et des outils de diagnostic.
Je vous remercie pour toutes ces précisions utiles. Est-ce que vous auriez des messages à faire passer, là tout de suite, auprès des lecteurs en matière de prévention ?
Ce que nous souhaitons porter, c’est vraiment une approche collective de la lutte contre la cybercriminalité.
Encore une fois, nous, on ne peut pas être efficace en matière de lutte contre la cybercriminalité si on reste de notre côté, dans une simple logique d’enquête, on a besoin de se nourrir de tout ce qui se fait en matière de cyber.
Il y a une expertise qui est très forte en France, une réponse qui s’est notamment structurée par le haut, et qui est très résiliente. Sur le plan national, on a une structure comme l’ANSSI, des grandes entreprises et d’autres acteurs qui ont largement pris en compte le risque cyber. Il y a beaucoup d’informations qui passent, donc nous avons aussi intérêt à être au milieu de tout ça pour prendre en compte cette information, d’autant plus que toutes les victimes ne déposent pas plainte. Donc, pour nous, c’est toujours intéressant d’être au cœur du système, au cœur de la machine. Encore une fois, d’avoir cette approche à 360 degrés pour centraliser et collecter de l’information, c’est vraiment ça le cœur de cette approche collective.
Surtout, ce qu’on veut porter, c’est le fait qu’on est dans une approche de proximité. C’est-à-dire qu’on n’est pas simplement là pour parler avec des partenaires de haut niveau (partenaires institutionnels, grandes entreprises…) On est dans une logique de proximité, puisque aujourd’hui, il y a cette approche par le haut qui est très résiliente, qui a fait ses preuves lors des Jeux Olympiques et qui montre que la France se situe vraiment, à l’échelle internationale, sur un haut niveau en matière de posture, de cybersécurité, de lutte contre la cybercriminalité.
Toutefois, on voit qu’on a encore besoin de faire de la sensibilisation auprès de citoyens, de chefs d’entreprises du tissu économique local puisqu’ils sont des victimes. Ce sont surtout les petites structures qui sont les moins protégées. C’est évidemment ça qu’on doit porter et c’est pour ça qu’on a cette approche de proximité.
On a beau être un office central basé en région parisienne, on a une force de frappe en proximité avec les réservistes du RECyM qui peuvent accompagner dans les territoires les entreprises, les petites entreprises, les petites collectivités pour leur montrer qu’elles sont concernées par le risque cyber, que cela n’arrive pas qu’aux autres. Aujourd’hui, la configuration de la menace cyber fait qu’elles sont des cibles de choix avec un intérêt crapuleux et un intérêt massif pour la donnée, pour la data et toute la valeur qu’elle représente, parce qu’elle alimente après, derrière aussi l’ensemble de la chaîne criminelle.
Je me permets d’ajouter que dans ma démarche de sensibilisation, nombreux sont ceux qui ont des métiers éloignés des nouvelles technologies, ou qui sont adolescents ou retraités et qui me disent avec décontraction « Qui va s’intéresser à moi ? A mes données ? Alors pourquoi je ferais attention à ce que je donne comme autorisations à mon téléphone, mes applis, mon ordinateur ? Qui je peux intéresser ? Personne ».
Les data sont intéressantes, au-delà de leur valeur intrinsèque, pour tout ce qu’elles permettent de faire. Cela aussi, c’est quelque chose que l’on porte à la Direction nationale de la Police judiciaire, DNPJ.
J’ai envie de croire que l’on va dans le bon sens en France. On prend vraiment en compte cette porosité entre la cybercriminalité et la criminalité organisée qui s’est installée. À l’international, il y a souvent une appréhension très large de ce qu’est la cybercriminalité.
Toutefois, le cœur de tout ça, à la base, c’est quand même une cyberattaque qui permet de capter de la donnée, de l’extraire, de la voler, et qui après va alimenter tout un champ d’escroqueries. Ensuite, on sort du vecteur cyber puisqu’une arnaque au conseiller bancaire, par exemple, se fait finalement par téléphone, sur des moyens d’escroquerie très classiques. Mais à la base, il a fallu de la donnée pour le faire.
L’organisation des groupes cybercriminels et la porosité avec la criminalité organisée permet à tout cela de se mettre en musique avec, malheureusement, une force de frappe très importante. Il est nécessaire pour nous à l’OFAC d’en avoir conscience.
Notre inscription au sein de la Direction nationale de la Police judiciaire avec notamment la mise en place récente d’outils comme l’état-major pour la criminalité organisée, l’EMCO, donne une réponse forte en France pour la lutte contre la criminalité organisée.
A l’OFAC on est pleinement connecté à cet écosystème, et je pense que cela nous permettra d’anticiper au mieux les menaces et encore une fois, de travailler vraiment cette porosité qui s’est installée entre la criminalité organisée et la cybercriminalité.
Comment travaillez-vous avec le ministère de la Justice ?
Une force que l’on a aussi en France, c’est de disposer d’un parquet national spécialisé en matière cyber, qui est la section J3 de lutte contre la cybercriminalité du parquet de Paris. Cela nous permet d’avoir des magistrats qui sont rompus à la matière cyber.
Alors, je ne peux pas m’exprimer pour la Justice, mais en tout cas, c’est la vision que j’en ai comme policier. C’est vraiment utile d’avoir un parquet spécialisé qui a cette vue d’ensemble et cette vision de spécialiste sur le champ cyber.
Un remerciement appuyé commissaire HAMM. Je me tourne maintenant vers Marc STOLTZ
Bonjour Marc,
Vous êtes coordonnateur des réservistes du RECyM pour l’Ile-de-France et je vous invite à nous expliquer ce qu’est le RECyM plus précisément.
Le RECyM est un Réseau d’Experts Cyber-Menaces piloté par l’OFAC. Ses principales missions sont la sensibilisation aux risques cyber et l’accompagnement au dépôt de plainte auprès des TPE/PME et collectivités territoriales.
L’idée du RECyM vient de Madame Catherine CHAMBON, que vous aviez rencontrée lorsqu’elle dirigeait la sous-direction de la lutte contre la cybercriminalité. Elle estimait qu’il fallait mettre en place une sensibilisation auprès des entreprises et des collectivités territoriales, et qu’il était nécessaire de disposer d’une légitimité de discours pour mener à bien cette mission.
Il n’est pas toujours évident pour un policier en tenue, notamment s’il est spécialiste cyber, de dégager du temps pour mener des actions de sensibilisation et surtout créer un réseau auprès des entreprises et des collectivités territoriales. Cela demande de prendre un bâton de pèlerin.
L’idée a donc été de recruter des réservistes issus du monde civil, bénéficiant d’une certaine maturité ainsi que d’un réseau professionnel déjà bien établi. Cette approche permettait de gagner un temps précieux pour mener ces actions de sensibilisation et développer un réseau de réservistes. Nous étions une dizaine au tout début de cette aventure.
C’était en quelle année, pour rappel ?
On est en 2018 pour les premières pierres du réseau des experts cyber-menaces.
Ce réseau est maintenant armé d’environ 110 réservistes, principalement des réservistes civiques, donc bénévoles. Quelques réservistes opérationnels assurent, au niveau régional, la coordination des actions de sensibilisation et l’accompagnement au dépôt de plainte. Leur rôle est de réaliser un premier filtre, de bien cadrer les besoins tout en veillant à ne pas se substituer à des prestataires privés.
Il est important de rappeler que cette mission de sensibilisation et d’accompagnement est faite au nom de la police nationale, et plus particulièrement de l’OFAC, avec un réseau de réservistes aux compétences très complémentaires. Lorsque l’on parle de réseaux d’experts cyber-menaces, il ne s’agit pas uniquement d’expertise technique, mais aussi d’expertise du monde privé, du monde des collectivités territoriales… Pour chaque action, en fonction des entités à sensibiliser et du niveau de responsabilité de l’auditoire, nous faisons appel aux réservistes les plus pertinents, capables de comprendre les problématiques spécifiques du secteur et de délivrer un discours de sensibilisation à la fois légitime et adapté.
Qui peut avoir accès à ces réservistes et comment ?
Alors, je dirais toutes TPE/PME et collectivités qui le souhaitent. Après, on étudie les besoins au cas par cas.
Pour cela, il suffit de contacter directement le RECyM depuis sa page Linkedin.
Comment vous positionnez-vous dans cette belle mission ?
Je fais partie de la première génération de réservistes.
Et depuis quelques années, avec la montée en volume d’effectif, et notamment sur la région parisienne, j’ai eu le privilège de passer réserviste opérationnel et d’être positionné comme coordonnateur du RECyM Île-de-France.
À ce titre, je coordonne les différentes actions de sensibilisation et les accompagnements au dépôt de plainte avec l’ensemble des réservistes de la région.
Donc, je vous remercie à ce titre ainsi que les équipes.
Commissaire, je me tourne aussi vers vous pour la prochaine question. On évoque le RECyM sur le territoire hexagonal. Qu’en est-il de l’outre-mer ?
On a ici l’Office central, mais on a des implantations en régions avec une antenne dans chaque zone de défense et en dessous des détachements, ce qui montera à 56 structures sur l’ensemble du territoire national d’ici à horizon 2027. Effectivement, pour l’outre-mer, il y a des actions qui ont vocation à se développer pour le RECyM. C’est une évidence.
Maintenant, on ne développe pas un réseau comme le RECyM en outre-mer comme on le développe dans l’Hexagone, pour la bonne et simple raison qu’on est sur des territoires plus resserrés où tout le monde se connaît. Notamment dans le monde cyber qui est un petit milieu.
Le RECyM c’est du service public, ce n’est pas payant et puis c’est l’étiquette Police nationale, ce qui nécessite en termes de probité et d’exemplarité, une posture très forte. Sur un territoire plus petit, cela peut être plus compliqué parce que l’on ne peut pas être à la fois celui qui fait de l’accompagnement bénévole à la victime et qui, en même temps, dirige une société qui fait de la remédiation.
Et puis chaque île a ses propres atouts au développement d’activités cyber, narco, crime organisé… en fonction de son environnement, de sa culture. Donc pour le RECyM, c’est un travail d’orfèvre.
Tout à fait. Encore une fois, quand un réserviste agit pour le RECyM, il porte l’étiquette police nationale. Nous avons donc une grande exigence en termes de service public, par rapport à ce qui est apporté, avec toute la déontologie que cela comporte.
Donc intégrer le RECyM et un véritable engagement et demande un travail d’excellence.
Du temps, de la discipline et de beaucoup de choses. Donc je ne peux que souhaiter, en guise de conclusion, qu’il y ait des effectifs qui rejoignent le RECyM de grande qualité, de manière à pouvoir compléter la réserve et lutter contre la cybercriminalité auprès de l’OFAC.
Note : il est strictement interdit de copier tout ou partie de l’article sur un autre support.
