Le renseignement criminel dans un contexte de guerre hybride

Renseignement criminel

Dossier : Le renseignement criminel | Magazine N°808 Octobre 2025

Les sabotages et opérations d’influence commandités par des puissances étrangères à des fins de déstabilisation sur le territoire national ne sont pas nouveaux, mais ils connaissent une recrudescence dans le contexte de guerre hybride que nous mène la Russie poutinienne. Ils ne demandent pas de gros moyens, mais sont potentiellement destructeurs sur le plan du moral et de la communication. L’important n’est pas tant d’appréhender les auteurs que de démasquer le plus rapidement possible ce qui est une imposture et de la dénoncer. Cette lutte connaît en France actuellement des innovations intéressantes et bénéficie des coopérations interministérielles et universitaires.

Le 31 octobre 2023, peu après les attaques terroristes du Hamas en Israël, près de soixante étoiles bleues marquées au pochoir sont découvertes sur les murs de Paris et de sa banlieue. L’indignation est totale ; les réactions politiques pleuvent ; le pays est sous le choc. Quelques mois plus tard, le 14 mai 2024, des mains rouges sont découvertes sur le mur de la Shoah, en écho aux mains rouges brandies par certains étudiants de Sciences Po quelques jours plus tôt pour appeler au cessez-le-feu dans la bande de Gaza. De nature délictuelle, ces deux faits concernent un seul et même phénomène criminel qui n’a, sur le moment, pas été identifié.

Le retour de la guerre hybride

Il s’agit d’un phénomène criminel qui date de la guerre froide, mais qui a connu un nouvel essor depuis l’invasion de l’Ukraine par la Russie (les opérations russes en Europe, dans les champs cyber, informationnel et physique ont été multipliées par douze entre 2022 et 2024) : les sabotages et opérations d’influence commandités par des puissances étrangères à des fins de déstabilisation sur le territoire national. Ces faits sont caractéristiques de la guerre hybride, qui est une modalité de conflictualité alliant des opérations de cyberguerre et de désinformation, permettant d’affaiblir l’adversaire tout en demeurant sous le seuil de l’affrontement militaire.

En l’espèce, ces tags d’étoiles bleues et de mains rouges ont été réalisés par des ressortissants bulgares contre une rémunération modique, dans le cadre d’opérations de déstabilisation coordonnées par les services de renseignements extérieurs russes (FSB et SVR). L’objectif de ces opérations a été atteint : ces faits, qui ont été faussement interprétés, sur le moment, comme des actes antisémites, ont suscité un émoi important dans le pays. Les réactions en chaîne de la classe politique et des journalistes dénonçant l’antisémitisme ont accru les divisions et les fractures sociétales, minant la cohésion nationale.

Un levier pour lutter contre la guerre hybride

Dans ce contexte, le renseignement criminel apparaît comme un levier pour lutter contre cette guerre hybride que mènent des puissances hostiles, au premier rang desquelles la Russie. En effet, pour entraver les effets recherchés – à savoir l’accentuation des fractures sociétales –, il est crucial d’identifier au plus vite l’origine étatique des faits délictuels commandités par des services étrangers, afin de désamorcer la propagation de fake news dans les médias, sur les réseaux ou encore parmi le personnel politique.

Dans ce contexte, le renseignement criminel, en ce qu’il permet d’identifier des phénomènes criminels en caractérisant l’environnement et le contexte dans lesquels ils sont commis ainsi que leurs modes opératoires, est un outil indispensable pour rattacher rapidement des faits de sabotage ou de dégradation à la guerre hybride. Sans une approche axée sur le renseignement criminel (intelligence-led policing) – autrement dit si l’on en reste à une investigation au cas par cas sans identifier les facteurs circonstanciels et l’environnement du phénomène criminel –, l’enquêteur ne peut être en mesure de comprendre la nature du fait et les autorités ne peuvent, par conséquent, dénoncer l’ingérence étrangère. Cela laisse le champ libre à la Russie pour avancer masquée, par des attaques hybrides non détectées, comme l’ont montré les exemples des mains rouges sur le mur de la Shoah et les étoiles bleues de David sur les murs parisiens.

Déminer le plus vite possible

La réactivité des services enquêteurs est essentielle : une fois le fait caractérisé et rattaché à la Russie, les réactions politiques ne portent plus sur l’antisémitisme mais sur les ingérences de puissances étrangères.

Dévoiler rapidement – sans laisser le temps aux fausses informations de se diffuser masquées d’une apparente véracité sur les réseaux et par les médias traditionnels – met ainsi immédiatement en échec ces attaques hybrides, compte tenu de leur objectif de déstabilisation de la société. Par son analyse permettant de caractériser rapidement les faits criminels relevant de la guerre hybride, le renseignement criminel permet non seulement à l’enquêteur de gagner du temps, mais également de cibler la recherche des auteurs sur les personnes correspondant aux critères identifiés (ressortissant d’Europe de l’Est, en difficulté financière ou au chômage, actif sur les réseaux sociaux en exhibant son soutien à la politique de Vladimir Poutine).

Mais le renseignement criminel permet surtout d’entraver les effets recherchés dans la sphère cognitive et de limiter ainsi les conséquences de ces actions hybrides sur la cohésion nationale et sur la volonté commune de se défendre. De fait, dans le cas d’attaques hybrides, le fait criminel en lui-même est en général d’importance mineure (quelques tags ou sabotages de faible intensité).

“L’important est de désamorcer le plus rapidement possible les tentatives d’ingérence étrangère.”

Le fait n’est parfois même pas de nature criminelle (par exemple, le dépôt de faux cercueils de soldats français devant la tour Eiffel en juin 2024 n’est en soi pas un délit, même si l’objectif recherché peut permettre la caractérisation d’une ingérence étrangère condamnable pénalement). L’important n’est donc pas tant de résoudre une enquête et de condamner les auteurs, mais de désamorcer le plus rapidement possible les tentatives d’ingérence étrangère. À cet égard, les forces de sécurité intérieures jouent alors un rôle de défense de la nation face à ces attaques étatiques d’origine étrangère, bien plus qu’un rôle de sécurité intérieure.

Le renseignement, catalyseur d’innovations

Le renseignement criminel ouvre la voie, par la caractérisation du phénomène criminel relevant d’une ingérence étrangère, à des méthodes innovantes pour lutter contre les actes hybrides. En effet, les méthodes policières classiques sont inefficaces dans le cadre de la guerre hybride : elles permettent certes d’interpeller à terme les fauteurs de trouble, mais cela n’est qu’anecdotique. Le principal réside dans la capacité des services de sécurité intérieure à entraver ces tentatives de déstabilisation du pays. La recherche en source ouverte (open source intelligence – OSINT) constitue une technique innovante dans le cadre d’enquêtes judiciaires, particulièrement utile pour identifier les opérations d’ingérence étrangère, notamment de désinformation et de manipulation des opinions publiques, souvent associées à des actes criminels comme des sabotages ou des vandalismes. En effet, l’OSINT permet de retracer, sur les réseaux sociaux, la genèse des campagnes de communication associées à des actes de sabotage ou de vandalisme.

Concrètement, les techniques d’OSINT offrent la possibilité de caractériser l’allégeance prorusse de certains réseaux de comptes et de bots, et parfois même d’identifier formellement les groupes d’influence qui multiplient les opérations de désinformation (par exemple, le groupe Storm-1679, qui avait tenté des opérations de désinformation dans le contexte des JO de Paris 2024). De même, l’OSINT permet de reconstituer le circuit de blanchiment de l’information. En effet, la médiatisation de certains actes de sabotage sur les réseaux n’est pas immédiate : au départ des bots prorusses publient, sur un réseau donné, des photos ou des vidéos assorties de commentaires clivants et repartagent des publications similaires.

Ces publications sont ensuite repartagées sur d’autres réseaux, puis progressivement par des comptes de plus en plus crédibles, avant d’être parfois reprises par des hommes politiques ou des médias de premier plan. L’OSINT constitue donc un atout considérable pour l’enquêteur, en ce qu’il permet de l’aiguiller très rapidement sur la piste d’opérations d’influence étrangère. L’OSINT est enfin utilisée pour la recherche des auteurs : les enquêteurs peuvent en effet utilement explorer les comptes des personnes suspectées sur les réseaux pour rechercher d’éventuelles publications prorusses, par exemple.

Les groupes prorusses Storm-1679 et Storm-1099 ont utilisé des *deepfakes* pour diffuser le faux documentaire *Olympics has fallen*, visant à déstabiliser les Jeux olympiques de Paris 2024.

Éléments d’analyse :

Voici brièvement comment un analyste en renseignement criminel caractériserait le phénomène criminel de sabotage commandité par des puissances étrangères, associé à des opérations de désinformation :

Contexte : les attaques commanditées par des puissances étrangères s’inscrivent généralement dans un contexte de conflit géopolitique ou de tensions larvées entre compétiteurs.
Objectif : l’objectif de ces faits commandités est d’affaiblir la capacité d’un pays à se défendre, que ce soit sur le plan diplomatique ou sur le plan militaire, en accentuant les fractures sociales, en diffusant une ambiance de chaos et en inversant les valeurs de façon à faire évoluer les opinions publiques en faveur de l’agresseur, pour supprimer la volonté de se défendre.
Nature des faits : il s’agit d’actes de vandalisme sur la voie publique, tels que des tags, des sabotages (comme des incendies criminels ou des dégradations sur des voies ferrées) ou encore des manifestations non déclarées (les services russes organisent parfois des manifestations factices dont les participants sont rémunérés).
Modes opératoires : une fois les faits criminels commis, ils sont relayés sur les réseaux sociaux par une galaxie de bots animés par des réseaux prorusses. La campagne informationnelle constitue la clé de l’opération, puisqu’elle produit des effets cognitifs parfois majeurs dans les pays concernés.
Identité des auteurs : les auteurs de ces actes commandités sont généralement des ressortissants de pays d’Europe de l’Est (principalement la Bulgarie, où l’influence russe est très présente, mais également l’Ukraine, ou encore la Roumanie), qui ont été repérés par les services russes sur les réseaux en raison de leur activisme en faveur des politiques du Kremlin. Il s’agit d’agents jetables : ils sont rémunérés par l’intermédiaire d’organisations non gouvernementales prorusses (comme le faux parti politique d’Ilan Shor qui sert en réalité à rémunérer des agents jetables réalisant des actions prorusses en Bulgarie et en Europe), d’une somme modique, puis sont laissés pour compte à l’issue de l’opération. Ils sont généralement rapidement identifiés par les services enquêteurs en raison de leur faible discrétion, notamment sur les réseaux sociaux.

L’importance des PME-TPE

Alors que la guerre hybride prend souvent la forme de cyberattaques, destinées à désorganiser nos chaînes de valeur, à entraver la production industrielle ou encore à neutraliser les services publics, le renseignement criminel est à la source, là encore, d’innovations dans la lutte contre les cybermenaces. En effet, le nombre de cyberattaques d’origine russe a explosé depuis 2022 et les modes opératoires employés sont souvent les mêmes : il s’agit majoritairement de cyberattaques à bas coût, telles que des tentatives d’hameçonnage ou de faux ordres de virement, dont le succès repose sur une erreur humaine.

Dans le même temps, les cyberattaques ciblent de plus en plus les PME, alors que les grands groupes ont massivement investi, ces dernières années, dans la sécurité de leurs systèmes informatiques. Dès lors, l’analyse en renseignement criminel permet d’identifier un levier particulièrement efficace pour remédier à ces cyberattaques russes : la prévention cyber auprès des PME-TPE pour les sensibiliser aux erreurs humaines facilement évitables (de 80 à 90 % des cyberattaques seraient dues à une erreur humaine). Dans ce contexte, la Gendarmerie nationale a commencé à former, ces dernières années, des référents cyber PME-TPE dans chaque groupement de gendarmerie départementale (GGD) ainsi que dans certaines sections d’appui judiciaire (SAJ). Ces référents cyber sont formés, à travers un diplôme universitaire de l’université de Vannes intitulé « cyberdéfense des PME-TPE, organismes et privés », à la réalisation de sessions de cyberprévention dans les PME et les TPE.

Bâtir des ponts interministériels

La lutte contre les menaces hybrides ouvre des voies de coopération novatrices en interministériel et avec le monde de la recherche. En interministériel, l’élaboration du renseignement criminel repose sur une connaissance approfondie des différents groupes de hackers et proxies russes. Or les services de renseignements du ministère des Armées (DGSE, DRM, DRSD) sont en première ligne dans l’analyse de la menace extérieure, notamment dans les domaines cyber et des actions clandestines (dont influence, sabotages…), tandis que les forces de sécurité intérieure sont en mesure d’analyser les données de police judiciaire pour faire remonter les modes opératoires des faits commis par des agents ou proxies étrangers sur le territoire national.

Par exemple, en cas de cyberattaque sur le territoire national, le ComCyber-MI est en mesure de faire remonter au ComCyber du ministère des Armées des informations obtenues par enquête judiciaire sur le profil de l’attaquant, ce qui peut contribuer à la cyberdéfense des armées. Il s’ensuit que le cyber, tout comme l’influence et la lutte informationnelle, entraîne de fait un brouillage entre criminalité et conflit interétatique, nécessitant une coordination étroite, en matière de renseignement, entre les armées et les forces de sécurité intérieure.

Coopérer avec le monde de la recherche

Le renseignement criminel portant sur les menaces hybrides requiert la mobilisation de compétences universitaires dans des domaines variés : la cybersécurité pour la caractérisation de la cybermenace, les sciences cognitives pour l’identification des modes opératoires de la guerre informationnelle et des mécanismes psychologiques à l’œuvre, ou encore la géopolitique pour l’analyse des tensions géopolitiques susceptibles de générer des attaques hybrides. Le ministère des Armées mène d’ores et déjà une coopération active sur ces sujets avec le monde de la recherche, comme en témoigne l’organisation de colloques sur la guerre cognitive à l’occasion de la European Cyber Week de novembre 2025.

La nécessaire coopération entre le secteur de la défense et de la sécurité et le monde de la recherche conduit à des innovations de procédés sur la manière de coopérer : détachements de chercheurs dans les états-majors et dans les forces de sécurité, recrutement de réservistes spécialistes issus du monde universitaire ou encore lancement de projets de recherche financés par les forces de défense et de sécurité. Par exemple, le projet ASTRID sur la guerre cognitive, lancé en 2022 et financé par l’Agence d’innovation de défense, permet l’hébergement et le soutien financier et logistique de chercheurs pendant trois ans sur des thématiques variées comme les biais cognitifs ou la lutte informatique d’influence. La coopération entre les praticiens et les chercheurs représente un bénéfice mutuel : si les chercheurs apportent des connaissances susceptibles d’éclairer les praticiens, ces derniers – militaires et policiers – alimentent les travaux de recherche par des données et des analyses opérationnelles.

Bibliographie :

Barlatier, J. (2019). « Le navire et la boussole – Sur la nécessité de combiner la pratique policière et la recherche empirique », Revue internationale de criminologie et de police technique et scientifique.
Barlatier, J. (2020). « Criminal Investigation and Criminal Intelligence: Example of Adaptation in the Prevention and Repression of Cybercrime », Risks.
Barlatier, J. (2022). « Le renseignement criminel au service de la lutte contre la cybercriminalité : l’exemple français de la gendarmerie nationale », Rivista di Criminologia Vittimologia e Sicurezza (XVI, 1-3, 2022).
Bilal, A. (2024). « La guerre hybride menée par la Russie contre l’Occident », Revue de l’Otan.
Claverie, B., Prébot, B., & Du Cluzel, F. (2024). Cognitive Warfare: une guerre invisible qui s’attaque à notre pensée. Éditions de l’IAPTSEM, p. 89-115.
Hofkamp, R. et al. (2025). « Europe increasingly targeted by Russian sabotage », Universiteit Leiden.
Jones, S. (2025). « Russia’s Shadow War Against the West », Center for Strategic and International Studies.
Le Hénanff, A., Mathieu, F. (2024), Rapport d’information en conclusion des travaux d’une mission flash sur les défis de la cyberdéfense, Assemblée nationale.
Lejeune, K. (2021), « La contribution du nouveau ComCyberGend à l’aune du triptyque compétition-contestation-affrontement dans le cyberespace », Revue de la Défense nationale.
Mirallès, P., Thiériot, J. (2022). Rapport d’information de l’Assemblée nationale du 17 février 2022 sur la préparation à la haute intensité.
Service européen pour l’action extérieure, mars 2025, 3rd EEAS Report on Foreign Information Manipulation and Interference Threats: Exposing the Architecture of FIMI Operations : « Exposing FIMI activities requires meticulous forensic open source investigations and analysis of the repetitive use of tactics and techniques employed to conduct attacks. »
Viginum, mai 2025, Analyse du mode opératoire informationnel russe Storm-1516, version 1.0, rapport technique.