Définitions et objectifs du concept de « mode opératoire informationnel » (MOI)

La présente note a pour objectif de proposer une définition claire de ce concept et de la terminologie qui y est associée, à travers des exemples concrets issus d'activités malveillantes connues en source ouverte, attribuées ou non et issues de différents types d'acteurs.

Le concept de MOI est basé sur une approche centrée sur les indicateurs techniques et le comportement en ligne des attaquants suivis par VIGINUM, qui diffère de l'approche axée sur les narratifs et privilégiée par d'autres acteurs de la communauté de lutte contre les manipulations de l'information (LMI). Proposant une nomenclature précise et structurée, il ajoute un niveau d'abstraction nécessaire dans le continuumallant de la détection à l'attribution d'opérations d'ingérence numérique étrangère, puisqu'il permet de décrire et d'imputer des ensembles cohérents d'éléments techniques, et ce même sans connaître l'identité, l'origine, les intentions ou encore le niveau de ressources (humaines, financières et techniques) des acteurs de la menace informationnelle impliqués.

Par ailleurs, le concept de MOI présente l'avantage d'être interopérable avec des concepts éprouvés issus de l'analyse de la menace informatique (CTI), ainsi que les standards et les outils déjà exploités au sein de la communauté de la LMI, comme le modèle STIX. Utilisé dans trois rapports techniques publiés par VIGINUM en 2025, le concept de MOI a depuis été réemployé dans les travaux d'autres acteurs de la communauté de LMI, à l'image du Service européen d'action extérieur (SEAE), de l'Agence de l'Union européenne pour la cybersécurité(ENISA) ou dans un récent rapport d'un groupe de travailpiloté par l'ONG EU DisinfoLabréunissant des acteurs institutionnels (dont VIGINUM) et de la société civile.

Définitions et objectifs du concept de « mode opératoire informationnel » (MOI)

Definitions and objectives of the concept of "Information Manipulation Set" (IMS)

As part of its efforts to develop and adopt a common grammar for describing digital information threats, VIGINUM has employed the concept of an "Information Manipulation Set" (IMS) since the beginning of 2025. This document aims to provide a clear definition of the IMS concept and its associated terminology through concrete examples of malicious activities from open sources, whether attributed or not, originating from various types of threat actors.

The concept of IMS is based on an approach that is not centered on narratives, but rather on the technical indicators and online behaviors of attackers tracked by VIGINUM and the FIMI-Defender community. It offers a precise and structured nomenclature and adds a necessary level of abstraction to the continuum ranging from the detection to the attribution of foreign digital interference operations. The IMS concept allows for the description and attribution of coherent sets of technical elements without knowing the attackers' identity, origin, intentions, or level of resources (human, financial, and technical).

Furthermore, the concept has the advantage of being interoperable with well-established CTI (Cyber Threat Intelligence) concepts, as well as with the community's existing standards and tools, such as the STIX format. The concept was employed in three technical reports published by VIGINUM in 2025 and has since been used by other organizations, such as the European External Action Service(EEAS), the European Union Agency for Cybersecurity (ENISA) or in a recent reportby a working group led by the NGO EU DisinfoLab, bringing together institutional stakeholders (including VIGINUM) and civil society actors.

Definitions and objectives of the concept of "Information Manipulation Set" (IMS)