Selon le dernier rapport du service spécialisé de la police nationale nipponne, les cyberattaques par rançongiciel ont augmenté de 85% au premier trimestre 2022 dans l’archipel. Au pays du Soleil Levant, les pirates informatiques s’en prennent volontiers à l’industrie manufacturière et aux services, avec une prédilection marquée pour le secteur médical.
Fin février, les 14 usines que Toyota possède au Japon ont été arrêtées après qu’un cyberattaquant s’en est pris à l’un de ses sous-traitants. Dernièrement, l’hôpital d’Osaka (2,7 millions d’habitants) a dû patienter deux mois pour récupérer les données de ses patients. Les dégâts causés par les cyberpirates aux infrastructures critiques inquiètent les autorités.
Créée en 2015 et révisée une première fois en 2018, la cyberstratégie nationale en vigueur avait bien fonctionné pour protéger les JO de Tokyo en 2021. Efficace pour sécuriser un point ou un événement précis, souligne Kazuto Suzuki, professeur à l’université de Tokyo et chercheur partenaire de la Fondation pour la recherche stratégique (FRS), cette posture apparaît défaillante pour contrer une menace globale, bridée par des contraintes réglementaires spécifiques. Aujourd’hui, par exemple, le NISC, l’équivalent de notre Anssi, qui dépend de la police, protège les infrastructures critiques sans mandat législatif explicite.
Le principal verrou juridique est l’article 21 de la Constitution, qui grave dans le marbre l’inviolabilité des communications privées. Ce texte interdit tout système ou action de surveillance de l’ensemble du trafic numérique. Kazuto Suzuki explique : « Bien sûr, nos responsables ont accès à l’ensemble des données, mais ils sont incapables d’identifier de quel endroit proviennent les attaques ; il faut attendre que celles-ci soient officiellement classées comme telles pour pouvoir agir. Dans ces conditions, il est impossible de prendre des mesures préventives globales. »
Une « défense par anticipation »
Alors que le pays doit à nouveau réviser d’ici la fin de l’année sa stratégie nationale de cybersécurité, les débats enflent entre les experts et les responsables politiques sur ses futurs contours. L’enjeu est crucial, car deux autres textes fondamentaux sont en discussion, dont dépend l’architecture globale de défense et de sécurité du Japon. En matière de cybersécurité, l’objectif est de donner naissance à une véritable « défense par anticipation » ou « défense active » de l’archipel dans le cyberespace.
Pour y parvenir, il faudra un accord entre les différents ministères concernés, sous la houlette du Premier ministre, le conservateur Fumio Kishida, nommé à ce poste en septembre 2021 en remplacement du très expérimenté Shinzo Abe, démissionnaire pour raison de santé et décédé depuis. Autour de la table, figurent les ministères des Affaires intérieures, de l’Industrie, du Commerce et de la Communication.
Les militaires ont aussi leur mot à dire. Responsables aujourd’hui de la cyberprotection de leurs seuls réseaux, les Forces d’autodéfense pourraient récupérer les infrastructures critiques. Et pour la première fois, on songe à étendre la stratégie de cyberdéfense à l’espace, où le Japon souhaite accroître sa présence, dans le giron des États-Unis, et aux infrastructures des fonds sous-marins.
Les experts japonais relancent l’idée adoptée par le G20 d’Osaka en 2019 de promouvoir une zone de libre-échange des données numériques qui engloberait les États-Unis, l’Europe, l’Inde et le Japon. Ils suggèrent que sa gouvernance s’inspire de la directive européenne encadrant la libre circulation des données non personnelles au sein de l’Union adoptée en 2018. Cette avancée, plaide Kazuto Suzuki, renforcerait l’attractivité du Japon face à la Chine, où se pressent les développeurs de programmes d’intelligence artificielle adossés à des fermes de méga données.
La peur du voisin chinois
Plus encore que les cybercriminels, le Japon craint par-dessus tout est d’être un jour confronté à une cyberattaque massive de son économie orchestrée depuis Pékin. En matière de cyberpuissance, le rapport de force avantage toujours largement la Chine, à en croire le dernier rapport sur le sujet du think tank britannique IISS. Sur 15 pays analysés, l’empire du Milieu arrive en tête du classement, juste derrière les États-Unis, ex aequo avec la France ou la Grande-Bretagne, tandis que le Japon est relégué dans le dernier tiers, aux côtés de l’Inde, de l’Indonésie, de l’Iran, de la Corée du Nord ou encore du Vietnam…
Au regard des premières les leçons que tirent les Européens de la guerre en Ukraine, rien n’est perdu pour Tokyo, qui a bâti sa stratégie de cybersécurité en s’inspirant notamment du modèle français et semble vouloir parier aujourd’hui sur le développement de la coopération avec le camp occidental pour consolider ses défenses. « Malgré le recensement de plus de 1 000 cyberattaques d’origine russe sur les réseaux et les infrastructures ukrainiennes au cours des premiers mois de la guerre », soulignait le chercheur Nicolas Mazzuchi lors d’un échange récent avec Kazuto Suzuki à la FRS, « l’impact s’est révélé faible, hormis celle qui a touché la veille du 24 février le système spatial Via Sat ».
Pour le directeur de recherche au Centre d’études stratégiques de la Marine, la Russie n’a pas été surestimée, mais les dégâts que ses pirates informatiques ont infligé à l’Ukraine avant la guerre ont conduit Kiev à mettre les bouchées doubles pour se défendre. Et le résultat montre qu’elle a fait les bons choix : en agissant à la fois sur les couches techniques et informationnelles, en pariant sur la coopération avec les États-Unis et l’Union européenne ; en 2021, Bruxelles s’engage à épauler Kiev en cas d’attaque majeure.
Bonne nouvelle, la zone de libre échange des données numériques qu’appelle de ses vœux le Japon pour contrebalancer l’influence de la Chine enregistre une nouvelle avancée à l’Ouest. Après l’entrée en vigueur du RGPD, le premier véritable texte efficace pour protéger les données privées, puis l’adoption des directives DMA (pour limiter les monopoles de marchés) et DSA (qui rend responsable les plateformes du contenu en ligne), Bruxelles et Washington se sont entendus, fin, octobre sur un cadre « transparent » d’échange des données personnelles. Résultat d’un compromis, cet accord « marque un tournant pour l’ambition de créer un espace commun de partage des données numériques », estime Nicolas Mazzuchi.
![[Forum InCyber Montréal 2023] Penser en grand : sommes-nous en route vers un cadre réglementaire mondial sur la protection des données ?](https://incyber.org/wp-content/uploads/2023/12/iStock-1596127582-480x300.jpg)
