La nouvelle stratégie japonaise en termes de cybersécurité

Tsuchiya Motohiro [Profil]

[06.10.2015] Autres langues : ENGLISH | 日本語 | 简体字 | 繁體字 | ESPAÑOL |

Le gouvernement japonais a entrepris en hâte de revoir ses procédures en matière de cybersécurité après le piratage dont les archives de la caisse publique de retraite ont été victimes en mai. La fuite massive de données personnelles provoquée par cet incident, consécutif à l’ouverture d’un courrier électronique infesté par un virus, a incité les autorités à élaborer une nouvelle stratégie de cybersécurité.

L’argent n’était pas le mobile

Le piratage de la caisse japonaise de retraite, dans lequel les données personnelles de 1 250 000 adhérents ont été détournées, est devenu une grande affaire politique. Cet incident a été rangé dans la catégorie des cyberattaques, en dépit du fait que cette expression, au sens étroit du terme, sert en général à désigner des tentatives en vue de nuire à des personnes ou de détruire des systèmes informatiques vitaux et des infrastructures essentielles. Dans l’affaire dont il est ici question, qui se résume en fait à un vol de données, c’est au sens large du terme qu’on peut parler de cyberattaque.

Il est fort improbable que le vol ait directement provoqué le moindre dommage sérieux, car les données piratées ne comportaient que des noms, des adresses postales, des numéros de téléphone et de dossiers de pension. En l’absence d’un numéro de compte ou de carte de crédit, ces informations ne permettent pas de prendre de l’argent à qui que ce soit, mais il est probable que l’argent n’était pas le mobile du vol.

Il est plus vraisemblable que les auteurs du délit avaient l’intention d’utiliser les informations internes puisées dans le système informatique de la caisse de retraite pour accéder à d’autres agences ou organisations. Les grands ministères japonais renforcent continuellement leurs procédures de cybersécurité et il ne serait pas facile d’y ouvrir une brèche. Les pirates ont préféré s’attaquer à des cibles périphériques, notamment des organisations proches des pouvoirs publics, des groupes de réflexion, des sociétés privées collaborant avec l’État et des universités. L’attention des médias s’est essentiellement focalisée sur le vol des dossiers de retraite, mais il n’est pas impossible que cette incursion ne représente que la partie visible d’une opération de plus grande envergure.

À peu près à la même époque a été dévoilée une affaire beaucoup plus sérieuse : le piratage du Bureau de la gestion du personnel des États-Unis, qui s’est soldé par le vol de données concernant 22,1 millions d’employés, dont plusieurs millions disposaient d’habilitations dans des domaines liés à la sécurité. Pour obtenir des habilitations à un niveau de sécurité élevé, il faut fournir toute une panoplie d’informations ultraconfidentielles, y compris l’identité des membres de sa famille, la liste complète de ses domiciles et numéros de téléphones antérieurs, le nom de toutes les villes et pays étrangers visités, l’identité de ses amis, l’état de son endettement, un historique de ses maladies, un descriptif de ses orientations sexuelles et un récapitulatif des infidélités commises. Cette investigation en profondeur ne vise pas à collecter des renseignements compromettant sur les personnes concernées, mais à évaluer leur propension à mentir.

La possibilité que ce genre d’information soit utilisé à des fins infâmes est tout à fait réelle – non seulement pour soutirer de l’argent mais aussi pour des visées politiques. Lorsque les données piratées concernent des Américains employés par le gouvernement des États-Unis et bénéficiant d’habilitations dans des domaines liés à la sécurité, les pirates pourraient, par exemple, utiliser les liens familiaux de ces personnes pour les contraindre à faire de l’espionnage.

L’engagement du Japon dans la cybersécurité

En novembre 2014, la Diète japonaise a adopté la Loi fondamentale sur la cybersécurité. En s’appuyant sur ce texte, le Quartier général de la stratégie officielle de cybersécurité a rédigé, le 25 mai dernier, son projet de nouvelle stratégie en ce domaine. Mais, quand on a découvert que la caisse japonaise de retraite avait été piratée, le secrétaire en chef du cabinet, qui est à la tête de ce groupe, a immédiatement ordonné que le projet soit remanié. La version définitive de la nouvelle stratégie a été achevée le 20 août et approuvée par le cabinet le 4 septembre. Bien que l’approbation du cabinet ne suffise pas à lui donner force de loi, elle confère à la stratégie un statut quasi-légal. Cette initiative, qui témoigne du haut niveau d’engagement du Japon dans le domaine de la cybersécurité, va servir de socle aux mesures à mettre en œuvre dans les ministères, agences et autres organismes publics.

Un examen de la terminologie employée dans la version révisée de la stratégie révèle que ce document de 40 pages contient 51 dérivations de « partage » et 80 occurrences du mot « coopération ». En comparaison, « partage » apparaissait 48 fois et « coopération » 62 dans la version précédente, longue de 43 pages, de la stratégie de cybersécurité approuvée en juin 2013. On est en droit de considérer que le partage de l’information au lendemain des affaires de piratages et la coopération entre organisations constituent les piliers de la stratégie de cybersécurité du Japon.

  • [06.10.2015]

Professeur à l’Institut de hautes études des médias et de la gouvernance de l’Université Keiô, où il a obtenu son doctorat en 1999. Né en 1970. A été universitaire invité au East-West Center à Hawaii en 2014-2015. Auteur, entre autres ouvrages, de Cyber Security to kokusai seiji (La cybersécurité et les politiques internationales, éd. Chikura Shobô, 2015).

Articles liés
Articles récents

Nippon en vidéo

バナーエリア2
  • Chroniques
  • Actu nippone