TechTarget
Guides Essentiels
Voir tous les articles de ce guide
Opinion
Cet article fait partie de notre guide: Ransomware : ce que vous apprennent les négociations

Du GIGN à… la négociation de crises cyber

David Corona, ancien négociateur de crise au GIGN, a cofondé la société In Cognita en novembre 2020. Il met la négociation au cœur de la gestion des crises cyber.

Sylvaine Luckx
par
Publié le: 03 nov. 2023

Au téléphone, la voix de David Corona est affable, avec la réserve de bon aloi de tout ancien militaire en contact avec des journalistes. 

D’emblée, il confie ne pas être issu d’une famille de militaires. Le « déclencheur » a été l’affaire dramatique de la prise d’otages de l’aéroport de Marignane, le 26 décembre 1994. 

La France vivait alors suspendue au journal télévisé. Le jeune David Corona, âgé de 15 ans, est scotché devant le poste de télévision familial. « J’ai été frappé », se souvient-il, « par le calme et la coordination des équipes d’assaut, au service d’une mission qui épargne des vies. Ça a été un déclic. Je me suis dit : “c’est ça que je veux faire”. J’en ai parlé à mes parents, plutôt dubitatifs, et je suis allé voir une caserne de gendarmerie ». 

Les gendarmes accueillent avec une bonhomie rigolarde le gamin de 15 ans, lui enjoignent « de passer son bac d’abord », faire son service militaire, puis, s’il est toujours motivé de préparer le concours de l’école de gendarmerie, pour devenir gendarme « de terrain », et apprendre les bases du métier avant de penser à rejoindre cette unité d’élite. 

« On n’est pas là pour jouer au héros »

L’apprentissage est rude : « il faut avoir 24 ans minimum. Après une présélection sur tests physiques, sélection et formation se font sur le mental et les aspects psychologiques. Pendant 3 mois, on nous teste, on nous pousse dans nos retranchements, et on voit très vite ceux qui ont un profil problématique ».

Ce sont ceux qui prennent trop de risques, jouent perso, ou ne sont pas stables : « on préfère des personnes avec une certaine maturité émotionnelle, mais aussi affective : mariés, avec des enfants », explique David Corona. Il faut un cadre stable, qui permet de reprendre pied avec la réalité quand on sort d’opérations difficiles. 

Les « têtes brûlées » sont mal vues : « on n’est pas des cow-boys. L’individu doit s’effacer derrière une mission et une volonté collective, des procédures, chacun doit pouvoir compter sur ses coéquipiers, et chacun est à sa place. On n’est pas là pour jouer au héros », martèle David Corona. 

Recalé une première fois en 2001, le jeune homme, têtu, s’accroche. « Le 24 mai 2008, le jour de mes 30 ans », il intègre la prestigieuse unité du GIGN. Commence alors une vie à part, rythmée par des missions à haut risque, qu’il évoque dans son livre Négocier, face à la violence, avec ses émotions, pour trouver son chemin, publié chez Grasset en 2022. Par celles, notamment, de la prise d’otage de l’hyper casher en 2015, et de Trèbes, où le Lieutenant Colonel Arnaud Beltrame se sacrifie pour sauver des otages le 23 mars 2018. 

« La négociation réussit dans 70 % des missions » 

Pendant toutes ces années au service du GIGN, David Corona se forge une conviction : il veut être négociateur, le rôle le plus sensible, difficile… et intéressant. « Car c’est de la négociation, en fait, que dépend la résolution – ou non – de la crise, qui permet d’épargner éventuellement des vies. Donc la réussite de la mission ». Selon lui, « la négociation réussit dans 70 % des missions ». 

En 2018, il devient, au grade d’adjudant-chef de gendarmerie, coordinateur de négociation de crise du GIGN. « Mon rôle, c’est avant tout de décortiquer un processus, psychologique, et d’en proposer un autre, où l’attaquant pense être gagnant », explique David Corona. 

À cette période, il commence aussi à intervenir pour des débuts de grande crise cyber, avec extorsions de fonds et chantage au vol et à la divulgation de données par des gangs cybercriminels qui utilisent des ransomwares. À ce moment-là, l’expérience n’est pas pléthorique sur ce sujet.

Lorsqu’on lui demande si ça fait le même effet de négocier avec des cybercriminels qu’avec des forcenés ou des terroristes pour épargner des vies, il sourit : « ce n’est pas si différent », explique-t-il. 

« Les cybercriminels savent jouer avec la peur de leur victime aussi bien que des preneurs d’otages » 

Ainsi, « les scénarii d’escalade, les procédures pour les contrer, les réactions humaines, sont similaires. On peut appliquer à la crise cyber les processus de gestion de crise majeure, comme un enlèvement et une prise d’otages. Même si le motif des attaquants dans une crise cyber est avant tout l’argent, les motivations profondes, sous-jacentes, souterraines, se recoupent : goût du danger et du défi par manque de reconnaissance, volonté de nuire et de faire du mal, désir de toute-puissance… ». 

Les réactions des victimes se rejoignent également : « vous pensez qu’il n’y a pas de ressemblance dans ce que ressent une victime qui a un pistolet sur la tempe dans un cockpit d’avion, et un PDG à qui un gang cybercriminel fait monter de plus en plus la pression, avec des effets chrono gérés de manière précise, pour le faire craquer, payer une rançon, et continuer, de toute façon, par la divulgation des informations, à mettre toute une entreprise, ses salariés, son économie à genoux ? Bien sûr, la tension immédiate sur la vie humaine n’est pas la même. Mais le stress, si. Parce que l’entreprise est menacée d’une mort plus ou moins rapide, et que les gangs cybercriminels, tels que Hive ou Lockbit auxquels nous avons eu à faire, pour ne citer qu’eux, savent jouer avec la peur de leur victime aussi bien que des preneurs d’otages », détaille-t-il. 

Et jour après jour, il constate les immenses lacunes qui existent dans les organisations victimes : « Ils ont les outils, et pensent être protégés, avec ce syndrome bien connu dans les crises, notamment cyber : “on est à l’abri, cela ne peut pas nous arriver” ». L’erreur majeure est là, selon lui : la forteresse se croit invulnérable. D’où l'art de la négociation

Pour approfondir sur Menaces, Ransomwares, DDoS

Close