L'analyse de pattern of life (PoL) est une branche du renseignement comportemental qui établit des normes comportementales de référence pour les cibles et détecte les écarts par rapport à ces normes. Dans le contexte ISR, une « cible » peut désigner un individu, un véhicule, une installation ou une unité — et le « pattern » englobe où ils se déplacent, quand ils communiquent, comment ils se meuvent et quelles activités ils conduisent. Lorsque le pattern change, c'est un signal méritant investigation.

L'analyse PoL se situe au Niveau 2 JDL — elle opère sur des données de pistes corrélées et des rapports de renseignement, pas sur des flux bruts de capteurs. Ses sorties sont des alertes d'anomalie et des profils de cible mis à jour. La valeur qu'elle ajoute au-delà de la simple corrélation de pistes est le renseignement temporel : comprendre non seulement où se trouve quelque chose, mais si son comportement aujourd'hui est cohérent avec son comportement des semaines précédentes.

Définir le comportement de référence pour les cibles ISR

La première étape de l'analyse PoL est d'établir à quoi ressemble le « normal » pour une cible donnée. Pour un véhicule, le normal pourrait être : garé à la position X entre 21h00 et 07h00 chaque jour, empruntant la Route 5 vers l'est vers 08h30, arrivant à l'installation X à 09h00. La modélisation de la ligne de base nécessite un historique d'observations suffisant — minimum 7 à 14 jours de données cohérentes pour la plupart des patterns comportementaux.

Sources de données pour l'analyse de pattern of life

Les intercepts SIGINT fournissent les données PoL les plus riches pour les cibles actives en communication. Une cible communicant trois fois par jour avec un calendrier prévisible, utilisant des fréquences et des paramètres de chiffrement constants, génère un pattern de communication pouvant être caractérisé et surveillé. L'absence de communications attendues est aussi informative que la présence d'inattendues.

Les pistes de navires AIS sont extrêmement utiles pour l'analyse PoL maritime. Les navires commerciaux suivent des routes prévisibles entre ports avec des délais cohérents. Un pétrolier déviant de sa route établie, réduisant sa vitesse en un emplacement inhabituel ou désactivant son transpondeur AIS exhibe un comportement anomal.

Les patterns de dispositifs mobiles dérivés de la collecte SIGINT — émissions d'identifiants de dispositifs depuis les réseaux cellulaires, requêtes sonde Wi-Fi, annonces Bluetooth — fournissent des données PoL haute résolution pour les cibles individuelles.

Implémentation technique : modélisation de la ligne de base et détection d'anomalies

La tâche computationnelle principale est de maintenir un modèle probabiliste du comportement de la cible et de calculer des scores d'anomalie pour les nouvelles observations. L'approche standard utilise une ligne de base à fenêtre glissante. Pour les attributs continus, un modèle gaussien multivarié est couramment utilisé. Le score d'anomalie pour une nouvelle observation est la distance de Mahalanobis par rapport à la moyenne du modèle.

Gestion des faux positifs et workflows analyste dans la boucle

Les systèmes PoL produisent des volumes élevés d'alertes — beaucoup n'ayant pas de signification opérationnelle. L'approche standard est un workflow en deux étapes : la notation automatisée des anomalies produit une file d'attente d'alertes candidates triées par score, l'analyste examine les alertes les mieux notées et les marque comme « opérationnellement significatives », « expliquées » ou « faux positif ».

Observation clé : Les alertes PoL les plus utiles ne sont pas des anomalies mono-source — ce sont des anomalies corrélées multi-sources. Une déviation de piste de véhicule simultanément corrélée avec un silence des communications et un changement d'activité d'installation est un indicateur bien plus fort de changement comportemental délibéré.

Contraintes de confidentialité et légales dans les opérations en coalition

L'analyse PoL sur les populations civiles soulève des contraintes légales importantes, particulièrement dans les opérations en coalition DGA/EMA où différentes nations ont des cadres légaux différents. Les contraintes principales sont la minimisation des données, la limitation des finalités et les durées de conservation. En termes logiciels, ces contraintes requièrent des flags de classification sur les profils de cible, des politiques de suppression automatisées et une journalisation d'audit de tous les accès analytiques.