La nouvelle stratégie japonaise en termes de cybersécurité

Politique Société

Le gouvernement japonais a entrepris en hâte de revoir ses procédures en matière de cybersécurité après le piratage dont les archives de la caisse publique de retraite ont été victimes en mai. La fuite massive de données personnelles provoquée par cet incident, consécutif à l’ouverture d’un courrier électronique infesté par un virus, a incité les autorités à élaborer une nouvelle stratégie de cybersécurité.

L’argent n’était pas le mobile

Le piratage de la caisse japonaise de retraite, dans lequel les données personnelles de 1 250 000 adhérents ont été détournées, est devenu une grande affaire politique. Cet incident a été rangé dans la catégorie des cyberattaques, en dépit du fait que cette expression, au sens étroit du terme, sert en général à désigner des tentatives en vue de nuire à des personnes ou de détruire des systèmes informatiques vitaux et des infrastructures essentielles. Dans l’affaire dont il est ici question, qui se résume en fait à un vol de données, c’est au sens large du terme qu’on peut parler de cyberattaque.

Il est fort improbable que le vol ait directement provoqué le moindre dommage sérieux, car les données piratées ne comportaient que des noms, des adresses postales, des numéros de téléphone et de dossiers de pension. En l’absence d’un numéro de compte ou de carte de crédit, ces informations ne permettent pas de prendre de l’argent à qui que ce soit, mais il est probable que l’argent n’était pas le mobile du vol.

Il est plus vraisemblable que les auteurs du délit avaient l’intention d’utiliser les informations internes puisées dans le système informatique de la caisse de retraite pour accéder à d’autres agences ou organisations. Les grands ministères japonais renforcent continuellement leurs procédures de cybersécurité et il ne serait pas facile d’y ouvrir une brèche. Les pirates ont préféré s’attaquer à des cibles périphériques, notamment des organisations proches des pouvoirs publics, des groupes de réflexion, des sociétés privées collaborant avec l’État et des universités. L’attention des médias s’est essentiellement focalisée sur le vol des dossiers de retraite, mais il n’est pas impossible que cette incursion ne représente que la partie visible d’une opération de plus grande envergure.

À peu près à la même époque a été dévoilée une affaire beaucoup plus sérieuse : le piratage du Bureau de la gestion du personnel des États-Unis, qui s’est soldé par le vol de données concernant 22,1 millions d’employés, dont plusieurs millions disposaient d’habilitations dans des domaines liés à la sécurité. Pour obtenir des habilitations à un niveau de sécurité élevé, il faut fournir toute une panoplie d’informations ultraconfidentielles, y compris l’identité des membres de sa famille, la liste complète de ses domiciles et numéros de téléphones antérieurs, le nom de toutes les villes et pays étrangers visités, l’identité de ses amis, l’état de son endettement, un historique de ses maladies, un descriptif de ses orientations sexuelles et un récapitulatif des infidélités commises. Cette investigation en profondeur ne vise pas à collecter des renseignements compromettant sur les personnes concernées, mais à évaluer leur propension à mentir.

La possibilité que ce genre d’information soit utilisé à des fins infâmes est tout à fait réelle – non seulement pour soutirer de l’argent mais aussi pour des visées politiques. Lorsque les données piratées concernent des Américains employés par le gouvernement des États-Unis et bénéficiant d’habilitations dans des domaines liés à la sécurité, les pirates pourraient, par exemple, utiliser les liens familiaux de ces personnes pour les contraindre à faire de l’espionnage.

L’engagement du Japon dans la cybersécurité

En novembre 2014, la Diète japonaise a adopté la Loi fondamentale sur la cybersécurité. En s’appuyant sur ce texte, le Quartier général de la stratégie officielle de cybersécurité a rédigé, le 25 mai dernier, son projet de nouvelle stratégie en ce domaine. Mais, quand on a découvert que la caisse japonaise de retraite avait été piratée, le secrétaire en chef du cabinet, qui est à la tête de ce groupe, a immédiatement ordonné que le projet soit remanié. La version définitive de la nouvelle stratégie a été achevée le 20 août et approuvée par le cabinet le 4 septembre. Bien que l’approbation du cabinet ne suffise pas à lui donner force de loi, elle confère à la stratégie un statut quasi-légal. Cette initiative, qui témoigne du haut niveau d’engagement du Japon dans le domaine de la cybersécurité, va servir de socle aux mesures à mettre en œuvre dans les ministères, agences et autres organismes publics.

Un examen de la terminologie employée dans la version révisée de la stratégie révèle que ce document de 40 pages contient 51 dérivations de « partage » et 80 occurrences du mot « coopération ». En comparaison, « partage » apparaissait 48 fois et « coopération » 62 dans la version précédente, longue de 43 pages, de la stratégie de cybersécurité approuvée en juin 2013. On est en droit de considérer que le partage de l’information au lendemain des affaires de piratages et la coopération entre organisations constituent les piliers de la stratégie de cybersécurité du Japon.

Les grandes lignes de la nouvelle stratégie

En ce qui concerne la nouvelle stratégie, le premier point à retenir est le renforcement des capacités de l’équipe de la Coordination des opérations publiques de sécurité (GSOC, Government Security Operation Coordination). Partie intégrante du Centre national pour la préparation aux incidents et la stratégie de cybersécurité (NISC, National Center of Incident Readiness and Strategy for Cybersecurity), la GSOC est au premier chef responsable de la surveillance des systèmes et réseaux informatiques des différents ministères du gouvernement central. C’est la GSOC qui eu vent du piratage de la caisse de retraite et l’en a informée en premier, malgré l’impossibilité d’apporter une réponse rapide au problème qu’il posait. Suite à cela, le gouvernement a élargi le domaine de surveillance de la GSOC aux organisations proches des pouvoirs publics, y compris les agences administratives constituées en sociétés et les entreprises publiques spéciales (la caisse japonaise de retraite entrant dans cette dernière catégorie). Une augmentation du budget et des effectifs de la GSOC et du NISC est également prévue pour leur permettre de jouer pleinement leur rôle de tours de contrôle de la cybersécurité.

Le second point important de la stratégie réside dans la volonté du gouvernement d’améliorer non seulement la gestion de la situation après les incidents mais aussi la prévention en amont. La stratégie vise à convaincre toutes les parties prenantes que la protection contre les attaques informatiques de grande ampleur exige que les moindres dysfonctionnements et signes d’activité suspecte fassent l’objet d’un rapport. Elle insiste aussi sur le renforcement des systèmes internes et externes de coopération et de partage de l’information. Il va sans dire qu’après une attaque informatique il est impératif de réagir et de remédier rapidement aux dégâts, mais il doit également être possible de prévenir les incidents grâce à la surveillance des réseaux et des systèmes et au partage, par les différentes agences et l’ensemble des partenaires, des informations concernant les cas de piratage.

Une contribution dynamique

En troisième lieu, la stratégie vise à trouver un équilibre entre sécurité et liberté d’accès. Elle souligne qu’il serait impossible, dans la pratique, de confier au gouvernement la charge de maintenir l’ordre dans le cyberespace. Dans les pourparlers sur la cybersécurité, la Chine et la Russie ont appelé les États et les gouvernements à s’investir davantage dans la lutte contre les activités illégales en renforçant les mesures de surveillance et de contrôle. Le Japon, les États-Unis et les pays européens soulignent quant à eux la nécessité de garantir la liberté d’expression et la libre circulation de l’information. En faisant de l’État l’unique garant de la cybersécurité, on risque de favoriser la généralisation du modèle de société de surveillance qu’on peut observer en Chine et en Russie. Le Japon a ouvertement exprimé son opposition à ce genre de scénario. La stratégie japonaise exprime clairement l’opposition résolue du gouvernement tant à l’utilisation du cyberespace par l’État à des fins de contrôle, de censure, de vol ou de destruction d’informations qu’à son usage illicite par des terroristes et autres acteurs non étatiques. Elle affirme aussi la résolution du gouvernement à tout mettre en œuvre pour réserver le cyberespace à des usages pacifiques tout en assurant la sécurité nationale.

La cybersécurité ne se réduit pas à ériger des remparts et à se cacher derrière. La valeur d’une société interconnectée tient à la libre circulation de l’information. Nous devons bien comprendre qu’il ne peut pas y avoir de système de défense parfait, dans la mesure où les pirates mettront toujours à profit le moindre trou et la plus petite fissure des remparts pour s’infiltrer et voler des informations.

Si l’on veut se protéger des attaques informatiques, la stratégie nous rappelle que le premier pas consiste à développer des ressources humaines d’une compétence élevée pour le secteur public comme pour le secteur privé, et à dépasser le sectarisme pour « partager » l’information et promouvoir la « coopération » tant au niveau individuel qu’organisationnel. Tel va être, à mesure que nous allons de l’avant, le fondement de la ligne de conduite du Japon en matière de sécurité.

(D’après un original en japonais publié le 3 septembre 2015)

sécurité politique ordinateur stratégie internet retraite numérique donnée criminalité informatique