What Next for Japan’s Digital Agency After the My Number Misfire?

Pourquoi le Japon est à la traîne en matière de capacités de cyberdéfense

Comme précédemment rapporté par Le Diplomate, Le Japon est à la traîne des autres grands pays en termes de capacités de cyberdéfense pour faire face aux cyberattaques. Actuellement, seule la cyberdéfense passive, comme la détection des intrusions sur les réseaux, est possible.

Le gouvernement japonais a décidé d’introduire la cyberdéfense active dans la nouvelle stratégie de sécurité nationale, publiée en décembre 2022, afin de rattraper le retard pris dans les efforts de cyberdéfense. Le Japon reconnaît la nécessité de contrer les cyberattaques ciblant des infrastructures importantes telles que les organisations gouvernementales et les centrales nucléaires.

Mais les efforts du gouvernement avancent toujours à la vitesse d'un escargot.

« La cyberdéfense japonaise a été ridiculisée par le monde parce que nous n'avons rien fait », a déclaré Kanehara Nobukatsu, ancien secrétaire en chef adjoint du Cabinet et directeur général adjoint du Secrétariat à la sécurité nationale sous la deuxième administration Abe Shinzo dans les années 2010. dans une émission télévisée de BS Fuji le 23 mai.

« De nombreuses personnes en Corée du Nord, en Russie et en Chine recherchent de grandes quantités de données dans le cyberespace japonais. Qui ira les attraper ? Personne ne l'a fait au Japon. Le Japon est le seul pays qui fait preuve de laxisme en matière de cybersécurité depuis 20 ans », a prévenu Kanehara.

Le Washington Post a rapporté le 7 août de l'année dernière que des pirates informatiques militaires chinois avaient infiltré les systèmes qui gèrent les secrets de défense du Japon et que le gouvernement américain avait émis un avertissement au Japon à l'automne 2020.

« C’était mauvais – terriblement mauvais », a déclaré le journal citant un ancien responsable militaire américain.

Pourquoi la cyberdéfense au Japon est-elle si peu fiable ? Il y a plusieurs raisons.

Premièrement, au Japon, le Centre national de préparation aux incidents et de stratégie pour la cybersécurité (NISC) est chargé des cyber-contre-mesures pour les bureaux du gouvernement, mais aucune organisation n'est en place pour protéger l'ensemble de la population contre les cybermenaces.

Il est vrai que le Japon a la capacité et la volonté de réagir et de répondre aux menaces immédiates telles que les tremblements de terre plus rapidement que presque tout autre grand pays. Cependant, le Japon ne réagit généralement pas beaucoup aux problèmes difficiles à détecter. Le débat sur la cybersécurité est donc resté en veilleuse depuis des années.

Le gouvernement a stipulé dans la Stratégie de sécurité nationale 2022 que « le NISC sera restructuré de manière constructive pour créer une nouvelle organisation, qui coordonnera de manière globale et centralisée les politiques dans le domaine de la cybersécurité ». Cependant, il n’existe aucune estimation quant à la date à laquelle cette organisation sera créée.

Deuxièmement, pour mettre en place une cyberdéfense active, les législateurs doivent modifier les lois existantes, mais les obstacles à franchir pour y parvenir sont considérables.

La Stratégie de sécurité nationale énumère spécifiquement les trois mesures suivantes mettre en œuvre une cyberdéfense active :

  1. Le Japon poursuivra ses efforts de partage d'informations avec le gouvernement en cas de cyberattaques ciblant le secteur privé, y compris les infrastructures critiques, ainsi que de coordination et de soutien aux activités de réponse aux incidents pour le secteur privé.
  2. Le Japon prendra les mesures nécessaires pour détecter les serveurs et autres infrastructures numériques soupçonnés d'être exploités par des attaquants en utilisant les informations sur les services de communication fournis par les fournisseurs de télécommunications nationaux.
  3. Pour les cyberattaques graves qui posent des problèmes de sécurité en ciblant le gouvernement, les infrastructures critiques et autres, le gouvernement recevra l'autorité nécessaire pour pénétrer et neutraliser les serveurs de l'attaquant et autres à l'avance dans la mesure du possible.

Quant au deuxième point, les activités de collecte d'informations au sein du réseau sont essentielles pour détecter les serveurs soupçonnés d'être exploités ou attaqués via des communications suspectes. Mais lorsqu'il s'agit de patrouiller dans le cyberespace à l'aide d'informations provenant d'opérateurs de télécommunications nationaux, il existe de fortes chances que les informations personnelles et la vie privée des citoyens soient violées.

L'article 21 de la Constitution japonaise garantit aux citoyens le « secret des communications » et la loi sur le commerce des télécommunications stipule que les opérateurs de télécommunications doivent protéger le secret des communications. Il existe donc un risque que cela entre directement en conflit avec les dispositions de la stratégie de sécurité nationale.

Si une nation ne peut pas maintenir la sécurité du cyberespace, elle ne peut certainement pas maintenir la confidentialité des communications. Mais il est très difficile de définir ce qui constitue une collecte légitime d’informations, comme le montrent les fuites d’Edward Snowden, un ancien sous-traitant de la CIA.

Le troisième point – permettre au gouvernement de pénétrer et de neutraliser les serveurs d'un attaquant – présente un obstacle encore plus important. Dès qu'une attaque sur un serveur est suspectée, le gouvernement a le pouvoir d'accéder aux systèmes de l'autre partie. Mais cela pourrait violer la loi japonaise sur l'interdiction de l'accès non autorisé aux ordinateurs, qui interdit l'accès non autorisé aux systèmes.

De plus, une façon de neutraliser une attaque consiste à envoyer des logiciels malveillants (programmes malveillants) à la source de l’attaque. Cela peut également violer les sanctions pénales prévues pour la création de virus informatiques.

Si le système de l’autre organisation est détruit par une telle pénétration et neutralisation, on ne peut exclure la possibilité qu’il s’agisse d’une attaque armée. Il est également nécessaire de prendre en compte les exigences et les normes de mise en œuvre, ainsi que la personne qui mènera la cyber-contre-attaque.

Troisièmement et enfin, la mise en place d'une cyberdéfense active doit être conforme au principe de longue date du Japon d'une politique exclusivement axée sur la défense, qui a été sa politique nationale au cours des 79 années qui ont suivi la fin de la Seconde Guerre mondiale.

Au Japon, du point de vue de la défense exclusive, il a été jugé difficile de prendre des contre-mesures avant d'être attaqué. Mais dans le cadre d'une cyberdéfense active, les autorités gouvernementales compétentes collectent et analysent des informations sur les attaquants, et s'il existe un risque de cyberattaque grave, elles infiltreront le système de l'attaquant et le rendront inoffensif lors d'une attaque préventive.

Afin de renforcer les capacités de cyberdéfense du Japon, le gouvernement prévoit de réunir un groupe d'experts pour la première fois début juin et de soumettre un projet de loi connexe à la session extraordinaire de la Diète cet automne.

Il reste à voir si le Japon pourra établir fermement un système répondant aux normes internationales pour protéger ses citoyens en surmontant les nombreux défis juridiques.

A lire également