Skip to main content

Cybercriminalité

Définitions

Le terme cybercriminalité est un terme journalistique qui n’a toujours pas, dans la plupart des pays, de définition légale (Wall, 2007). Plusieurs traités internationaux (United Nations Manual On The Prevention And Control Of Computer-Related Crime, Cybercrime Treaty) n’offrent eux non plus aucune définition officielle optant plutôt pour des définitions fonctionnelles.

 

Les définitions du terme cybercriminalité viennent donc du monde scientifique. Le terme est défini de manière très large par Schell & Martin (2004) pour qui la cybercriminalité inclut tous les crimes reliés à la technologie, aux ordinateurs et à l’internet. Similairement, Yar (2013) propose une définition qui englobe toutes les activités assistées par un ordinateur qui sont illégales. D’autres définitions sont plus restrictives et se limitent aux activités criminelles et nocives qui mènent à l’acquisition ou la manipulation d’information pour des gains personnels (Wall, 2007). La tendance actuelle pointe vers des définitions larges qui incluent tous les crimes facilités ou commis par des appareils électroniques ou des réseaux informatiques. Cette dernière définition de Gordon & Ford (2006) sera celle que nous retiendrons pour le présent article en raison de sa simplicité.

 

Il existe une certaine confusion entre les différents groupes d’individus qui commettent – ou semblent commettre – des cybercrimes. Un premier groupe, les white hat hackers, travaillent pour des firmes de sécurité ou encore dans le milieu académique (Caldwell, 2011). Leur objectif est de tester la sécurité de logiciels et d’équipements avec l’autorisation de leurs propriétaires. Ils n’ont donc aucune intention malicieuse, bien au contraire. Ils utilisent les mêmes outils que les cybercriminels aussi connus sous le nom de black hat hackers ou encore de crackers. Les black hat hackers sont les individus qui commettent des crimes pour leur gain personnel ou pour leur plaisir. Le troisième et dernier groupe d’individus forme un hybride et est connu sous le nom de grey hat hackers. Ces derniers cherchent aussi à tester la sécurité des logiciels et d’équipements, mais sans l’autorisation de leurs propriétaires (Bingisser, 2007). Ils utilisent leur sens éthique pour défendre leurs crimes en affirmant agir avant tout pour avertir les individus et compagnies des problèmes dans leur sécurité.

 

Historique

Les comportements délinquants impliquant des systèmes informatiques remontent aux années 1960 et 1970 alors que des académiciens de grandes universités comme le Massuchusetts Institute of Technology (MIT) cherchaient à explorer l’univers du virtuel même si cela impliquait de transgresser certaines normes sociales ou lois (Schell & Martin, 2004). Ce désir d’explorer et cette curiosité sont à la base du comportement de bien des délinquants qui les ont suivis dans les années 1980 et 1990. C’est en cherchant à évaluer la taille de l’internet que Robert Morris a conçu le premier ver informatique en 1988 qui a eu pour effet de mettre hors service plus de 6,000 ordinateurs (Chen & Robert, 2004). Quelques années plus tard, Kevin Mitnick, un jeune pirate informatique s’intéressant au fonctionnement du système de téléphones aux États-Unis a infiltré bon nombre de compagnies téléphoniques américaines ainsi que les compagnies leur fournissant des logiciels (Mitnick, 2011). Mitnick affirme qu’il était en mesure de faire des appels que même les ingénieurs des compagnies de téléphone ne pouvaient retracer.

 

Ces deux cas illustrent bien une forme de cybercriminalité qui se veut avant tout une quête de savoir et de curiosité et où les délinquants cherchent surtout à avoir accès à des ressources ou des informations auxquelles ils n’ont pas de droit légitime. En ce sens, ils sont beaucoup plus proches des grey hat hackers que des blacks hat hackers. Les comportements des grey hat hackers sont très différents des comportements des cyberdélinquants ayant vu le jour à la fin des années 1980 et qui ont été particulièrement actifs au cours des années 1990. Ceux-ci avaient pour objectif de créer des virus aux capacités destructrices importantes (Bisset & Shipton, 2000). Des virus comme Jérusalem effaçaient par exemple tous les programmes activés les vendredis 13; d’autres comme Michelangelo effaçaient tous les fichiers d’un ordinateur le jour de l’anniversaire de l’artiste. Ces virus commettaient surtout des méfaits où les données étaient visées sans procurer aucun avantage apparent au concepteur du virus.

 

Sous sa plus récente forme, la cybercriminalité s’est grandement transformée suite à une commercialisation des comportements délinquants et une mise en réseau des délinquants. Cette transformation a été permise par les outils de communication qui ont été développés sur internet. Une transformation similaire s’est opérée dans le monde légitime avec le développement de compagnies offrant des logiciels comme service; les délinquants n’ont en quelque sorte qu’adapté les mêmes technologies à leur besoin. Dans ce nouveau contexte, les délinquants se sont grandement spécialisés et offrent sur des forums de discussion, des sites de revente ou encore des salles de clavardage, leurs services de conception de virus, d’envoi de pourriel, d’infection d’ordinateur ou encore de fraude de données personnelles et financières (Manky, 2013). Chaque offre de service est complémentaire et un délinquant ou un groupe du crime organisé peut alors faire appel au professionnel dont il a besoin au moment où ses services sont requis. Chaque morceau du script criminel peut ainsi être loué. Cela permet aux délinquants qui achètent ces services de ne pas avoir à se perfectionner dans un domaine en particulier et aux fournisseurs de service de limiter leurs risques en commettant par directement un délit, mais en fournissant à d’autres les moyens de les commettre. La cybercriminalité a ainsi pris un tournant de nature acquisitive avec cette commercialisation des services qui a mené à la création de plusieurs formes de délinquance comme les botnets, le carding et les ransomware (voir définitions plus bas).

 

Le cybercrime comme un service

Les fournisseurs de services illicites
Dans le contexte du crime comme un service (Manky, 2013), peu de délinquants ont les connaissances et/ou les capacités nécessaires à la création de logiciels malveillants. Cette spécialisation est plutôt réservée à une élite de programmeurs qui produisent de leur propre chef ou sur demande des logiciels aux multiples fonctionnalités. Celles-ci incluent le contrôle à distance d’ordinateurs et/ou l’exfiltration de données personnelles et financières. Les concepteurs de logiciels malveillants ne lancent pas eux-mêmes leurs créations dans la nature, mais rendent disponibles ces logiciels sur internet, offrant même à l’occasion un service de soutien technique (Krebs, 2012).

 

Les délinquants ont besoin d’avantage que de logiciels malveillants pour mener à terme leurs activités criminelles. Ils doivent aussi louer des serveurs d’où lancer leur attaque, trouver des individus prêts à servir de mule pour blanchir leurs profits, trouver des experts en fraude pour monter leurs arnaques ainsi que des experts en télécommunication pour sécuriser leurs opérations. Tous ces services sont disponibles de manière indépendante et sont offerts aux délinquants qui auraient des besoins dans l’un ou l’autre de ces domaines.

 

Plutôt que de faire affaire avec de multiples fournisseurs, il est aussi possible pour les délinquants de se tourner vers des botmasters, les délinquants contrôlant des botnets (Abu Rajab et al., 2006). Les botnets sont des réseaux d’ordinateurs personnels, appartenant à des compagnies ou des gouvernements, qui ont été infectés par un virus. Ce virus sert de contrôleur à distance et permet au botmaster d’avoir un contrôle total des ordinateurs dans son botnet, comme s’il était devant le clavier de chaque ordinateur. Les botnets modernes comptent plusieurs milliers voire plusieurs centaines de milliers d’ordinateurs. En faisant affaire avec un botmaster, les délinquants peuvent obtenir plusieurs services à la fois comme l’envoi de pourriel, l’hébergement de faux sites bancaires et l’entreposage de mots de passe dans le cas d’un délinquant intéressé par la fraude d’identité. Toutes les données enregistrées sur les ordinateurs piratés, toutes les données qui transigent par ces ordinateurs, la bande passante et les ressources computationnelles sont à la disposition des botmasters.
 
 
Les marchés criminels en ligne
Il existe un besoin naturel pour les délinquants et les fournisseurs de services illicites de se retrouver pour acheter et vendre des services (Holt & Lampke, 2010). Ceux-ci se retrouvent habituellement dans des salles de clavardage sur IRC ou encore sur des forums de discussion. Une nouvelle tendance est d’utiliser des cryptomarchés (Martin, 2013). Ceux-ci ressemblent, du point de vue de leur utilisation, à des sites de marchands en ligne comme Amazon ou eBay où les fournisseurs peuvent offrir leurs services et où les délinquants peuvent laisser des commentaires sur leurs interactions passées avec les fournisseurs. L’identité des participants à ces marchés est protégée par le service The Onion Router (TOR) (Dingledine et al., 2004) et les paiements se font en bitcoins, une monnaie virtuelle anonyme (Nakamoto, 2008).   

 

Types et typologies de cybercriminalité

Wall (2007) distingue trois types de cybercriminalité. La première est composée des délits qui menacent l’intégrité des ordinateurs et inclut le piratage, le contournement des mesures de protection et les dénis de service. La deuxième est composée des délits assistés par les ordinateurs et inclut les fraudes et les vols. Finalement, la troisième est composée des délits basés sur le contenu des ordinateurs et inclut la pornographie, la violence et les communications offensantes.

 

Cette classification de Wall (2007) est l’une des plus utilisées bien qu’il en existe de nombreuses autres. Parmi celles-ci, plusieurs classent les activités des délinquants en deux groupes soit les délits assistés par ordinateur – soit les délits qui existaient avant l’internent et qui prennent maintenant une nouvelle couleur (fraude, blanchiment d’argent, harcèlement sexuel, crimes haineux) – et les délits centrés sur les ordinateurs – soit les délits qui sont apparus suite à l’internet (piratage informatique, déni de service, vandalisme de sites web) (Furnell, 2002).

 

Leman-Langlois (2006) propose une troisième voie qui met en commun certains des éléments des typologies décrites ci-dessus. Son modèle fait la distinction entre les crimes dits traditionnels qui existaient avant l’internet et les crimes émergents qui sont apparus suite à l’adoption importante de l’internet. Dans chaque cas, les crimes sont classés en fonction du rôle que les réseaux informatiques ont joué. Les crimes émergents qui ont été déclenchés par l’arrivée des réseaux informatiques incluent les attaques de déni de service et le vandalisme virtuels, des crimes qui ne pourraient exister sans ces réseaux. Les crimes traditionnels qui ont vu leur impact se multiplier suite à l’arrivée des réseaux incluent la pornographie juvénile et la fraude tant d’identité que financière. Ces crimes existaient avant, mais l’apparition de marchés en ligne a grandement augmenté leur fluidité et l’efficacité des délinquants. Les crimes émergents ont aussi profité de l’effet multiplicateur des réseaux comme en fait foi l’explosion du nombre de fraudes de propriété intellectuelle sur internet et les réseaux poste-à-poste. L’aspect cyber a finalement eu un rôle accessoire dans le cas de crimes traditionnels comme le leurre. Il est vrai que les délinquants peuvent trouver des victimes dans les salles de clavardage, mais cela ne réduit pas les efforts nécessaires à attirer une victime. Ce rôle accessoire s’observe aussi dans les crimes émergents comme le terrorisme où les réseaux de support peuvent s’organiser grâce aux réseaux. Cette structure et les communications qui en découlent ne sont pas transformées cependant par l’arrivée des réseaux.

 

Ces typologies incluent un nombre important de comportements criminels très variés. Parmi ceux-ci, quelques-uns se démarquent de par leur prévalence et de leur impact social.

 

  • Le piratage informatique : le piratage informatique est un accès non autorisé à un ordinateur. Ce crime permet d’accéder aux données contenues sur un système informatique, aux données qui transigent à travers le système et d’utiliser les ressources (computationnelle, bande passante) du système. Le piratage informatique est la première étape qui donne les ressources nécessaires à la commission de plusieurs autres crimes.
  • Les pourriels : les pourriels sont des courriels non sollicités. Ils sont utilisés pour vendre des produits illicites ou contrefaits ou pour collecter des informations personnelles, financières et des comptes d’utilisateurs. Les pourriels copient souvent les courriels officiels et tenter d’attirer leurs victimes vers de faux sites qui copient eux aussi les véritables sites web.
  • La prise en otage : certains virus prennent en otage les fichiers de leurs victimes en chiffrant leur contenu puis en exigeant une rançon pour obtenir les clés de décryptage. D’autres virus se font passer pour des logiciels antivirus et exigent un paiement afin de retirer un virus qui, dans les faits, n’existe pas. Finalement, certains virus prennent le contrôle du micro et/ou de la caméra d’un ordinateur et surveillent à leur insu leurs victimes. Le délinquant peut ensuite exiger une rançon sous la menace de diffuser le contenu capturé par le micro et la caméra sur internet.
  • Les botnets : tel que décrit ci-dessus, les botnets sont de vastes réseaux d’ordinateurs infectés et contrôlés à distance par un botmaster. Les botnets sont utilisés pour copier des informations personnelles et financières, lancer des attaques de déni de service, envoyer des pourriels et générer artificiellement du trafic vers certains sites afin d’en augmenter les revenus publicitaires.  
  • Le carding : le carding englobe toutes les fraudes de cartes de débit et de crédit en ligne. Cette fraude se distingue des autres types de fraude de par son ampleur et de par le nombre d’individus qui y participe. Cette fraude s’est perfectionnée à un point tel qu’il est maintenant possible d’acheter sur certains sites des cartes de crédit d’institutions bancaires spécifiques ainsi que toutes les informations personnelles des détenteurs de ces cartes.

Les coûts de la cybercriminalité

Évaluer les coûts d’une forme de criminalité aussi large et internationale que la cybercriminalité est un exercice périlleux. L’effort le plus sérieux nous vient d’un groupe de chercheurs anglais (Anderson et al., 2012) qui se sont intéressés aux coûts de la cybercriminalité en Grande-Bretagne et dans le monde. Les deux conclusions les plus intéressantes de leur rapport sont tout d’abord que les délits dits traditionnels et qui ont migré vers l’internet comme la fraude fiscale ont des impacts nettement plus élevés que les nouvelles formes de délits. La deuxième conclusion est que les coûts associés à la protection des infrastructures et des services sont beaucoup plus importants que les profits retirés par les délinquants. Ainsi, les banques investissement des milliards de dollars dans la sécurité de leurs réseaux informatiques, mais perdraient bien moins en fraude directe. Cela crée un déséquilibre qui risque d’être difficile à soutenir à moyen ou long terme.
 
 
Les controverses
Deux controverses ont actuellement cours en lien avec la cybercriminalité. La première est en lien avec la spécificité même de la cybercriminalité. McGuire (2007) affirme qu’il est illusoire de tenter de comprendre le crime en se basant sur les définitions légales étant donné les lacunes dans les codes criminels. McGuire (2007) suggère donc que plutôt que de s’intéresser aux crimes officiels, il faudrait étudier les comportements déviants et discuter des dommages qu’ils causent. Ces dommages se produisent lorsque notre capacité à occuper notre espace est brimée (McGuire, 2007 : p.37). Notre espace inclut non seulement l’espace physique que nous occupons, mais aussi ce qui nous entoure. McGuire (2007) divise cet espace en quatre couches soit : a) la proximité 0 qui représente l’espace physique occupé par notre corps; b) la proximité 1 qui représente l’espace occupé par les objets, les activités et les relations qui assurent notre standard de vie; c) la proximité 2 qui représente les éléments de notre vie sociale comme les amis, la famille, le travail et; d) la proximité 3 qui représente l’environnement social dans lequel nous évoluons. Ces couches d’espaces peuvent elles-mêmes être envahies à trois degrés différents : 1) la simple incursion dans laquelle notre espace est envahi sans pour autant limiter notre capacité à jouir de lui; 2) l’incursion dégradante ou dommageable dans laquelle notre capacité de jouir de l’espace est limitée et; 3) l’incursion destructive dans laquelle nous perdons notre capacité de jouir de notre espace. En adoptant une telle vision de la criminologie, McGuire (2007) affirme qu’il n’existe pas de différence significative entre les mondes réels et virtuels. Il n’y aurait qu’une seule réalité qu’il faudrait comprendre en termes d’espaces et non en termes de deux réalités indépendantes. Rien, dans la nature de la cybercriminalité, ne la distinguerait des crimes dits traditionnels. Un argument supplémentaire en faveur de cette position lorsque des chercheurs se sont intéressés à d’autres révolutions technologiques comme le téléphone et l’automobile. Bien qu’importantes, ces innovations n’ont pas amené la création de nouvelles catégories de crimes, et ce, malgré le fait que l’automobile ait permis aux délinquants de modifier plusieurs de leurs scripts criminels tels que les vols de banque. En suivant cette logique, la cybercriminalité ne devrait donc pas en théorie former une catégorie distincte de crime, mais être étudiée avec toutes les autres formes de criminalité.

 

Un autre débat important tourne autour de la menace réelle que pose la cybercriminalité. Plusieurs acteurs comme les firmes de sécurité privée et les médias ont un certain avantage à maximiser la menace que pose la cybercriminalité afin d’augmenter leurs revenus (Wall, 2009). D’autres acteurs issus du monde académique cherchent à mesure beaucoup plus détachée et objective la réelle menace que pose la cybercriminalité. Les messages en provenance de ces différents acteurs sont souvent contradictoires et amènent une grande ambiguïté sur le niveau de menace que fait peser la cybercriminalité. Cela est encore plus vrai quand plusieurs domaines différents comme la sécurité nationale, la sécurité personnelle et la sécurité des entreprises sont mélangés. Il n’est pas toujours aisé de mesurer avec certitude l’impact de la cybercriminalité tel que l’illustre le cas du carding. T.J. Maxx et Target ont été les cibles d’attaques prolongées qui ont permis à des délinquants de copier les numéros de carte de crédit de dizaines de millions d’individus. Ces fraudes, très médiatisées, ont augmenté le danger apparent de la cybercriminalité. Dans les faits, il est pratiquement impossible pour une organisation criminelle, quelle que soit sa taille, de frauder un si grand nombre d’individus. La menace réelle est donc bien moindre que celle que les médias pourraient laisser entendre. Par ailleurs, certains des numéros de cartes fraudées se sont retrouvés sur des marchés criminels. Mais, tel que l’illustrent Herley & Flôrencio (2010), les marchés criminels sont très dysfonctionnels et ne se prêtent pas non plus à la diffusion efficace de numéros de carte de crédit volés. Bien qu’il soit possible de s’y procurer de telles données, le degré de victimisation est relativement élevé sur les marchés criminels et ce manque de fluidité se doit d’être intégré dans les analyses de la menace réelle de la cybercriminalité.

 

Références
 

  • Abu Rajab, M. & J. Zarfoss & F. Monrose & A. Terzis. (2006). “A Multifaceted Approach To Understanding The Botnet Phenomenon.” Proceedings Of The 6th ACM SIGCOMM Conference On Internet Measurement. Rio De Janeiro, Brésil.
  • Anderson, R. & C. Barton & R. Böhme & R. Clayton & M. van Eeten & M. Levi & S. Savage. “Measuring The Cost Of Cybercrime.” DANS Böhme, R. (ed). The Economics of Information Security and Privacy. New York, États-Unis : Springer.
  • Bingisser, G. M. (2007). “Data Privacy And Breach Reporting: Compliance With Various State Laws.” Journal Of Law, Commence And Technology. 4(1).
  • Bissett, A. & G. Shipton. (2000). “Some Human Dimensions Of Computer Virus Creation And Infection.” International Journal Of Human-Computer Studies. 52(5): 899-913.
  • Chen, T. M. & J. M. Robert. (2004). “The Evolution Of Viruses And Worms.” DANS Chen, W. W. S. (ed). Statistical Methods In Computer. Londres, Grande-Bretagne: Taylor & Francis.
  • Caldwell, T. (2011). “Ethical Hackers: Putting On The White Hat.” Network Security.7: 10-13.
  • Dingledine, R. & N. Mathewson. & P. Syverson. (2004). “Tor: The Second-Generation Onion Router.” Naval Research Lab, Washington DC.
  • Furnell, S. (2002). Cybercrime: Vandalizing the Information Society. Boston, États-Unis: Addison-Wesley.
  • Gordon, S. & R. Ford. (2006). “On The Definition And Classification Of Cybercrime.” Journal In Computer Virology. 2(1): 13-20.
  • Herley, C. & D. Florêncio. (2010). “Nobody Sells Gold For The Price Of Silver: Dishonesty, Uncertainty And The Underground Economy.” DANS Moore, T. & Pym, D. & Ioannidis, C. (eds). Economics Of Information Security And Privacy. New York, États-Unis : Springer.
  • Holt, T. J. & E. Lampke. (2010). “Exploring Stolen Data Markets Online: Products And Market Forces.” Criminal Justice Studies. 23(1): 33-50.
  • Krebs, B. (2012). “Citadel’ Trojan Touts Trouble-Ticket System.” Téléchargé le 25 avril 2014 au : http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/.
  • Leman-Langlois, Stéphane (2006), « Le crime comme moyen de contrôle du cyberespace commercial », Criminologie, 39 (1), 63-81.
  • Manky, D. (2013). “Cybercrime As A Service: A Very Modern Business.” Computer Fraud & Security. 6: 9-13.
  • Martin, J. (2013). “Lost On The Silk Road: Online Drug Distribution And The ‘Cryptomarket’.” Criminology And Criminal Justice. DOI: 10.1177/1748895813505234.
  • McGuire, M. (2007). Hypercrime: The New Geometry Of Harm. New York, États-Unis : Routledge-Cavendish.
  • Mitnick, K. (2011). Ghost In The Wires: My Adventures As The World's Most Wanted Hacker. New York, États-Unis : Hachette Digital.
  • Nakamoto, S. (2008). “Bitcoin: A peer-to-peer electronic cash system.Consulted, 1, 2012.
  • Schell, B. H. & C. Martin. (2004). Cybercrime: A Reference Handbook. Santa Barbara, États-Unis : ABC-CLIO.
  • Wall, D. S. (2007). Cybercrime: The Transformation of Crime in the Information Age. Cambridge, Grande-Bretagne: Polity.
  • Wall, D. S. (2009). Crime And Deviance In Cyberspace. Brookfield, États-Unis: Ashgate Publishing Co.
  • Yar, M. (2013). Cybercrime And Society. Thousands Oak, États-Unis : Sage Publications.

 

 

Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Gouvernance de la sécurité

Auteur: 
Dupont, Benoît

 

Le concept de gouvernance de la sécurité reflète la prise de conscience par les criminologues, les politologues et les sociologues que la production de sécurité dans les sociétés modernes ne relève pas de la responsabilité exclusive de l’État, mais qu’elle résulte au contraire d’une prolifération d’acteurs publics, privés et hybrides qui y contribuent de manière significative. Les recherches menées à partir des années 1970 ont en effet démontré à quel point le rôle joué par la sécurité privée avait été jusque là négligé, et dans quelle mesure la notion classique d’un monopole étatique en matière de production de sécurité manifestait un fétichisme institutionnel qui ne reflétait plus une réalité complexe.

La gouvernance, qui est définie par le Dictionnaire des politiques publiques comme « un processus de coordination d’acteurs, de groupes sociaux et d’institutions, en vue d’atteindre des objectifs définis et discutés collectivement » (Boussaguet et al. 2004 : 243), ne concerne bien entendu pas seulement le domaine de la sécurité. D’autres secteurs traditionnels de l’intervention étatique comme l’éducation, la santé, le logement social, les transports ou l’accès à l’emploi ont aussi été soumis à de profondes reconfigurations de leurs modes de gouvernance au cours des dernières décennies (Gaudin 2002).

La gouvernance de la sécurité est généralement abordée à travers deux cadres d’analyse complémentaires. D’abord, le concept de gouvernance offre aux chercheurs une boîte à outils leur permettant de décrire avec plus de nuances la multiplication d’acteurs et d’interactions qui contribuent à la production de sécurité dans toute sa complexité. Cette approche empirique s’accompagne souvent d’une dimension normative qui se traduit par un jugement de valeur porté sur les bénéfices – ou au contraire les périls – inhérents à cette pluralisation des modes de production de la sécurité.

 

Les configurations empiriques de la gouvernance de la sécurité

Loin de représenter un concept «mythologique» qui n’existerait que dans les textes abstraits des chercheurs qui l’étudient (une sorte de licorne ou de sirène théorique), la gouvernance de la sécurité se manifeste au quotidien par le biais de configurations institutionnelles caractérisées par leur diversité et leur capacité d’adaptation «adhocatrique» (Hassid, 2005. Qu’il s’agisse de la présence d’agents de sécurité dans les espaces publics ou privés recevant du public (les propriétés privées de masse), de la commercialisation de services policiers à des autorités parapubliques ou à des intérêts privés, ou encore des échanges constants de données et de renseignements criminels entre acteurs publics et privés qui rythment notre vie quotidienne dans la «société du risque» (Ericson et Haggerty 2001), la gouvernance de la sécurité nous est plus familière qu’on ne l’imagine de prime abord.

Trois grandes structures institutionnelles (l’État, le marché et les réseaux) sont généralement associées à des formes distinctes de gouvernance. Ces idéaux-types qui sont étroitement imbriqués dans la réalité reflètent des modalités de pilotage spécifiques. Dans le modèle étatique, la gouvernance de la sécurité prend ainsi la forme d’un mode d’organisation vertical où l’autorité législative et administrative de l’acteur public dominant (la police) s’exerce sur les autres acteurs de la sécurité, qu’ils soient parapublics, communautaires ou privés. Dans le modèle de marché, qui a connu une forte expansion depuis le début des années 1970 dans le monde occidental, la gouvernance de la sécurité est structurée par la loi de l’offre et de la demande. Si le marché se caractérise par une logique de compétition qui permet d’offrir des services variés à moindre coût, il introduit également de profondes inégalités dans l’accès au bien public qu’est la sécurité en excluant les plus démunis. Les réseaux constituent enfin la troisième structure institutionnelle de gouvernance. Reposant sur des relations horizontales de réciprocité entre leurs membres et plus flexibles que les structures bureaucratiques traditionnelles, les réseaux permettent la mise en place de mécanismes de gouvernance qui incluent aussi bien des acteurs publics que privés, au niveau local, national et international.

Concrètement, la gouvernance de la sécurité s’exprime à travers les interdépendances de ces trois grandes structures institutionnelles. Par exemple, dans les États fortement centralisés où les acteurs publics occupent une position dominante, le rôle du marché dans la gouvernance de la sécurité sera souvent moins prononcé que dans les systèmes décentralisés, où il constituera une alternative attractive à des acteurs publics fragmentés et par conséquent plus faibles. De la même manière, la capacité des réseaux à gouverner la sécurité, ainsi que leur composition et leurs modes de fonctionnement seront influencés par la place respective qu’occupent l’État et le marché. Des États forts favoriseront l’émergence de réseaux publics tissant des liens entre les acteurs locaux et nationaux (Ocqueteau 2004), alors que des États faibles se prêteront mieux à la constitution de réseaux mixtes ou majoritairement privés qui auront vocation à renforcer ou même à se substituer à une offre publique insuffisante (Dupont, Grabosky, Shearing et Tanner 2007).

Comme nous l’avons déjà mentionné, ces trois structures institutionnelles abritent une pluralité d’acteurs organisationnels qui vont remplir les fonctions de mandants ou de prestataires de sécurité. Alors que les mandants identifient les besoins en sécurité et les ressources disponibles pour y répondre, les prestataires fournissent à ces derniers le large éventail des services requis. On retrouve parmi les mandants des autorités politiques locales (municipalités) ou nationales (ministères), des entreprises, des communautés résidentielles, des communautés d’intérêts (politiques, religieux, ethniques, culturels), ou encore des individus. La catégorie des prestataires comprend quant à elle les services de police, les services publics d’application de la loi (douanes, services de renseignement, administrations fiscales, sécurité routière, etc. – par exemple l’énumération de 79 catégories d’agents administratifs dotés de pouvoirs de police faite par Lascoumes et Barberger (1986, p. 288) pour la France), les organismes gouvernementaux ou communautaires de prévention, les services de sécurité internes des entreprises, les agences de sécurité privée (gardiennage, consultants, intelligence économique), ainsi que les groupes d’autodéfense et même dans certains cas des groupes criminels. Si les fonctions de mandant et de prestataire sont généralement assumées par les mêmes acteurs dans le modèle étatique, les structures du marché et des réseaux se caractérisent par une plus grande dispersion des responsabilités.

Une dernière dimension empirique de la gouvernance de la sécurité concerne la nature des liens qui unissent les divers acteurs mentionnés plus haut. On distingue cinq modes relationnels qui vont permettre la coordination et la régulation des mandants et des prestataires de sécurité : l’obligation (ou « tierce police »), la délégation, la vente, l’échange et le don. L’obligation se traduit par la contrainte qu’une organisation fait peser sur des tierces parties afin d’obtenir de leur part le comportement désiré, comme la transmission d’informations concernant des transactions financières suspectes, la mise en œuvre de dispositifs spécifiques de prévention du crime, ou encore le respect de certaines normes de sécurité lors de l’organisation d’événements culturels ou sportifs. La délégation reflète le transfert de fonctions traditionnellement assumées par des acteurs étatiques à des acteurs hybrides ou privés, moyennant le versement de redevances par l’État ou l’octroi d’un privilège de prélèvement direct auprès des usagers du service délégué. Ainsi, dans les pays où la gestion et l’entretien des radars automatisés de vitesse sont confiés à des entreprises, ces dernières perçoivent un pourcentage des amendes perçues auprès des automobilistes en infraction. Nous avons vu plus haut que la vente est le mode de relation privilégié dans la structure de marché entre acteurs privés. Cependant, les acteurs publics y ont également recours de plus en plus fréquemment, aussi bien à titre d’acquéreur (sous-traitance de certaines tâches comme la détention ou le transfert de prisonniers à des entreprises) que de vendeur (commercialisation de services de formation, de patrouille ou d’enquête à des intérêts parapublics ou privés). Ce recours croissant des acteurs publics à la vente vise en partie à compenser les coupures budgétaires auxquelles ces derniers sont parfois confrontés. Le don obéit à la même logique lorsqu’il prend la forme d’un parrainage d’acteurs publics par des intérêts privés, qu’il s’agisse de la mise à disposition de locaux, d’équipements ou de compétences professionnelles à titre gracieux. Le don est également répandu dans le secteur communautaire, où de nombreux programmes de prévention sont par exemple subventionnés par des compagnies d’assurance ou des entreprises locales. L’échange se manifeste enfin par le partage bilatéral ou la mutualisation de ressources matérielles, humaines et d’informations. L’échange repose sur la réciprocité dont font preuve les participants et comporte un faible degré de contrainte entre ces derniers. Il implique donc un niveau préalable de confiance suffisamment élevé entre les acteurs.

Ces cinq formes relationnelles sont fortement influencées par les structures institutionnelles au sein desquelles la gouvernance se déploie. Ainsi, on rencontrera l’obligation plus fréquemment dans les États forts disposant de polices centralisées, alors que la vente sera privilégiée dans les sociétés où l’État providence est moins affirmé. On retrouve enfin plus fréquemment le don, l’échange et la délégation dans des contextes où les réseaux de sécurité fonctionnement de manière routinière (Dupont 2007).

 

Les enjeux normatifs de la gouvernance de la sécurité : marginalisation ou centralité de l’État

Nous nous sommes jusqu’ici limités à présenter les différents outils analytiques permettant de décrire les diverses configurations que peut prendre la gouvernance de la sécurité – ou les dysfonctionnements qui les accompagnent (Gautron 2010). Toutefois, ce concept n’a pas seulement une vocation descriptive, et les enjeux normatifs qui y sont associés donnent lieu à des interprétations divergentes qu’on peut regrouper en trois grands courants.

La première lecture de la gouvernance de la sécurité, inspirée par les travaux du criminologue Clifford Shearing, y voit une opportunité pour divers acteurs privés et communautaires de participer de manière plus active à la définition et à l’implantation de solutions de sécurité qui répondent mieux à leurs besoins que celles imposées de manière unilatérale par l’État. Cette gouvernance par le bas permettrait de mobiliser et de coordonner de manière plus efficace et démocratique les savoirs locaux, les technologies et les ressources de nœuds (ou nodes) institutionnels parmi lesquels l’État ne serait qu’un site de gouvernance parmi d’autres.

En réaction à cette approche « émancipatrice » de la gouvernance, à laquelle ils reprochent une marginalisation de l’État auquel se substitueraient des formes émergente de « gouvernement privé », d’autres chercheurs anglo-saxons influencés par Ian Loader (et son collègue Neil Walker) orientent leur réflexion vers un modèle plus traditionnel de gouvernance. La pluralité des acteurs impliqués n’y est pas remise en question, mais l’État y conserverait un rôle de premier plan afin de garantir l’équité dans l’accès à la sécurité et la protection des libertés individuelles (Loader 2005).

Enfin, les principaux chercheurs francophones en sociologie de la police et de la sécurité privée (Jean-Paul Brodeur, Frédéric Ocqueteau, et Dominique Monjardet notamment) ont toujours manifesté une certaine réticence face à ce concept qui aurait selon eux bien du mal à s’extraire du cadre institutionnel anglo-saxon duquel il a émergé et qui peine à intégrer un modèle d’État jacobin pourtant encore bien enraciné dans de nombreuses sociétés postmodernes.

On voit donc que si les reconfigurations des structures, des acteurs et des liens qui sous-tendent la gouvernance de la sécurité font l’objet d’une cartographie de plus en plus précise, il n’existe pas à l’heure actuelle de consensus concernant le rôle que l’État doit jouer dans ces nouveaux arrangements (Roché 2004). Si l’hypothèse de son dépérissement ne peut plus sérieusement être évoquée, son omnipotence passée en matière de sécurité est sérieusement écornée. Loin de constituer un problème, cette incertitude apparaît au contraire bénéfique dans la mesure où elle alimente l’indispensable débat démocratique sur les interactions complexes entre liberté, sécurité et justice.

 

Mars 2010

Références

  • Boussaguet, L; Jacquot, S et P Ravinet (dirs.) (2004), Dictionnaire des politiques publiques, Les Presses de Sciences Po, Paris.
  • Dupont, B (2007), « La gouvernance et la sécurité », in Cusson, M; Dupont B et F Lemieux (eds.), Traité de sécurité intérieure, HMH Hurtubise, Montréal, pp. 67-80.
  • Dupont, B; Grabosky, P; Shearing, C et S Tanner (2007), «La gouvernance de la sécurité dans les États faibles et défaillants», Champ Pénal : Nouvelle Revue Internationale de Criminologie, vol. IV.
  • Ericson, R et K Haggerty (2001), « La communication sur les risques, la police et le droit », Droit et Société, no. 47, pp. 185-204.
  • Gaudin, J-P (2002), Pourquoi la gouvernance?, Les Presses de Sciences Po, Paris.
  • Gautron, V (2010), «La coproduction locale de la sécurité en France : un partenariat interinstitutionnel déficient», Champ Pénal : Nouvelle Revue Internationale de Criminologie, vol. IV.
  • Hassid, O (2005), « La gouvernance de sécurité : un concept pour un nouveau paradigme en criminologie ?», Revue Internationale de Criminologie et de Police Technique, vol. LVIII, no. 2, pp. 151-161.
  • Lascoumes, P et C Barberger (1986), Le droit pénal administratif, instrument d’action étatique, Commissariat Général du Plan, Paris.
  • Loader, I (2005), « Police inc., une entreprise à responsabilité non limitée?: Sécurité, gouvernance civile et bien public », Criminologie, vol. 38, no. 2, pp. 157-171.
  • Ocqueteau, F (2004), Polices entre État et marché, Les Presses de Sciences Po, Paris.
  • Roché, S (2004) (ed.), Réformer la police et la sécurité : Les nouvelles tendances en Europe et aux États-Unis, Odile Jacob, Paris.
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 
Mots-clés: 

Sous la direction de Benoît Dupont et Stéphane Leman-Langlois

Chaire de recherche du Canada en sécurité, identité et technologie: http://www.benoitdupont.net

Chaire de recherche du Canada en surveillance et construction sociale du risque: http://www.social-surveillance.com

CICC: http://www.cicc.umontreal.ca

ISBN: 978-2-922137-30-9