Cybersecurity
Sur le terrain : éclairages juridiques sur la cybercriminalité
Flore Mével, Magistrate, Section J3 de lutte contre la cybercriminalité du Parquet de Paris
Que se passe-t-il réellement lorsqu’une cyberattaque est signalée au parquet ? Comment les magistrats remontent-ils des réseaux criminels qui s’étendent sur plusieurs continents ? Lors du Signal Paris, Flore Mével, magistrate au sein de la section J3 du parquet de Paris, spécialisée dans la lutte contre la cybercriminalité, a partagé avec une franchise rare le quotidien d’une unité qui opère à l’avant-garde de la répression des cybermenaces en France.
Un paysage criminel en pleine mutation
La section J3 est composée de six magistrats, épaulés par des assistant·e·s expert·e·s en nouvelles technologies, en relations internationales et en traçage de cryptomonnaies. Cette équipe restreinte mais hautement spécialisée instruit des dossiers dont la géographie dépasse souvent les frontières nationales. Un cas typique : l’auteur présumé se trouve en Allemagne, la victime est établie en France, les serveurs de commande sont hébergés en Lituanie, et les fonds ont transité par l’Angleterre. La coopération pénale internationale est donc une condition sine qua non de l’enquête.
Le contentieux traité par J3 couvre trois grandes catégories : les attaques informatiques classiques (rançongiciels, dénis de service), les infractions commises via le vecteur numérique (escroqueries en masse, usurpations d’identité, espionnage industriel), et le démantèlement des plateformes hébergeant des contenus illicites. Sur ce dernier point, Flore Mével souligne une évolution juridique significative : l’infraction d’« administration illicite de plateforme », initialement conçue pour lutter contre les marchés clandestins du darknet, s’étend désormais à des plateformes grand public. Des enquêtes ont ainsi été ouvertes visant Telegram et TikTok — non parce que l’intégralité de ces services serait illicite, mais pour traquer et poursuivre les auteurs de contenus manifestement illégaux hébergés sur ces réseaux.
Autre signal fort que Flore Mével documente avec précision : la convergence croissante entre cybercriminalité et criminalité organisée classique. En janvier 2026, le piratage de la Fédération française de tir a permis l’extraction de centaines de milliers de fiches de licenciés, avec noms et adresses. Ces données ont alimenté une vague de cambriolages ciblés, commis par des individus cagoulés s’en prenant à des détenteurs légaux d’armes. La donnée numérique peut donc devenir un levier d’action physique.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
Décoder la stratégie des attaquants
L’un des phénomènes les plus structurants observés par la section J3 est la montée en puissance du modèle « Crime as a Service » (CaaS). La cybercriminalité s’est ubérisée : chaque acteur opère dans son « couloir de nage », selon l’expression de Flore Mével. Un développeur conçoit le code malveillant ; des affiliés l’acquièrent et l’utilisent pour conduire les attaques, en échange d’un pourcentage de la rançon.
« Aujourd’hui, on peut avoir une multiplicité d’acteurs avec une forme de taylorisation des tâches. Ce qui veut dire aussi que des personnes qui ne sont pas nécessairement expertes en informatique, ne sont pas des cybercriminels nés, vont en réalité pouvoir commettre des attaques parce que le virus aura été codé et créé par un autre individu à qui ils l’auront acheté »
Les profils mis en cause révèlent par ailleurs une réalité troublante : les auteurs des grandes fuites de données nationales ne sont pas des professionnels de la fraude. Ils sont souvent des mineurs ou de jeunes majeurs, autodidactes, ayant grandi dans un environnement entièrement numérique et sociabilisés au travers de leurs écrans. L’individu qui a compromis le système d’information de l’Agence nationale des titres sécurisés (ANTS) avait 15 ans. Celui mis en cause dans la compromission du ministère de l’Intérieur n’avait que 20 ans. Pour nombre d’entre eux, la collecte de bases de données relève d’une forme de compétition sociale : ils échangent et revendent parfois ces fichiers pour des sommes dérisoires, pour s’amuser, sans toujours mesurer les conséquences pour les victimes.
Identifier les signaux faibles avant l’impact
Face à ces réseaux fragmentés et transnationaux, la section J3 a développé des méthodes d’enquête innovantes. L’une des plus efficaces concerne les négociations de rançons : des enquêteurs spécialisés se font passer, sous couvert d’anonymat et avec l’accord de l’entreprise victime, pour les interlocuteurs directs des cybercriminels. L’objectif est de piloter le paiement vers une cryptomonnaie facilement traçable, hébergée de préférence en France, afin de remonter la chaîne jusqu’à l’auteur. La réactivité des entreprises à déposer plainte est alors un atout tactique pour les enquêteurs.
La coordination internationale repose principalement sur Eurojust, l’agence européenne qui synchronise les interpellations simultanées, gère les saisies d’actifs et résout les conflits de compétence entre pays. Lorsque les suspects se trouvent hors du territoire européen ou dans des pays non coopératifs, le mandat d’arrêt international reste l’outil privilégié pour les appréhender, notamment grâce à la diffusion de notices rouges par Interpol. L’été dernier, cette chaîne de coopération a permis le traçage et l’interpellation en Ukraine d’un affilié du rançongiciel LockBit, responsable de plus de 2 000 attaques dans le monde et d’au moins 200 en France.
La section J3 recourt également à l’OSINT (Open Source Intelligence, littéralement « renseignement en sources ouvertes ») non sans prudence juridique. Flore Mével insiste sur la ligne de crête que doivent négocier les enquêteurs : les informations disponibles en ligne sont souvent issues de vols de données, et les utiliser en procédure pourrait constituer un « recel de vol de données ». Il s’agit de « trouver des techniques d’enquête innovantes qui […] permettent d’avoir des informations sur les individus suspectés et en même temps, toujours respecter le cadre légal. ».
Cette frontière entre innovation investigatrice et cadre légal est appelée à évoluer dans les prochaines années, à mesure que la jurisprudence se consolide.
La section J3 fonctionne en permanence, sept jours sur sept, jour et nuit, via une permanence téléphonique et par courriel. Déposer plainte rapidement est crucial et peut conditionner l’issue d’une enquête. Ainsi, les RSSI et directeurs des risques ont tout intérêt à construire, en amont de toute crise, une relation de travail avec leurs interlocuteur·rice·s judiciaires.










