Le Japon est-il prêt à affronter la menace croissante des cyberattaques?

Technologie International

En juin 2021, un think tank britannique a placé le Japon dans le dernier tiers de son classement des pays en termes de cyberdéfense. Que pourrait donc faire le Japon pour remédier à ses grosses failles ? Le plus grand expert japonais de cybersécurité enquête sur le fond du problème.

Le Japon mal classé en cyberdéfense : un message d’alerte

Le 28 juin 2021, le think thank britannique International Institute for Strategic Studies (IISS) a publié une étude, Cyber Capabilities and National Power: A Net Assessment, qui analyse les compétences de 15 pays dans le domaine de la cybersécurité. IISS s’est servi de sa propre méthodologie pour obtenir ses résultats, classant les pays selon leurs capacités dans diverses catégories. Le Japon s’est retrouvé dans le troisième tiers.

  • Premier tiers : superpuissance au premier plan dans toutes les catégories
  • Deuxième tiers : superpuissance au premier plan de certaines catégories
  • Troisième tiers : malgré un certain potentiel dans certaines catégories, des faiblesses flagrantes dans d’autres

Autrement dit, cet institut considère que de sérieuses lacunes existent au niveau des cybercapacités japonaises. Les médias japonais ont toutefois véhiculé le mauvais message, en parlant simplement de la présence du Japon dans « le troisième tiers des grandes puissances », comme s’il n’y avait rien de particulièrement négatif à retenir.

Je pense qu’une analyse approfondie de cette étude, surtout au niveau du contexte, de l’objectif et des hypothèses, pourrait aider à clarifier le fond du problème et identifier les initiatives que le Japon devrait prendre.

La méthodologie unique de l’IISS évalue les États à partir de « catégories de cyberpuissances ». Le tableau qui suit repose sur ma propre interprétation pour ébaucher les résultats de cette évaluation pour le Japon de façon claire .

Catégories de cyberpuissance Résultats de l’évaluation du Japon
Stratégie et doctrine Les mesures en vigueur manquent souvent de fond ; les forces militaires ne sont pas prêtes.
Gouvernance, chaine de commandement et contrôle Faible coordination au niveau des donneurs d’ordre ; les capacités des forces armées restent faibles.
Capacités de cyberespionnage de base Les initiatives sont freinées par un manque de financement et des contraintes constitutionnelles.
La cyber-autonomie et la cyber-dépendance L’utilisation militaire de technologie avancée est limitée.
Cybersécurité et résilience Le pays est à un stade de haute fragilité pour le développement de ce domaine.
Leadership global dans le cyber-espace Le pays s’emploie activement à des efforts diplomatiques.
Cybercapacité offensive Les contraintes constitutionnelles et politiques compliquent ce développement.

Ces catégories permettent de mesurer le potentiel d’un pays à se défendre dans le cyberespace, ou encore sa capacité et sa volonté d’en éliminer les dangers envahissants. En clair, cela représente l’ultime recours d’un pays pour maintenir sa cybersécurité : il n’existe pas de solutions alternatives pour y arriver. Cela veut dire que cette étude n’est pas, comme certains médias nippons l’ont dit, un simple constat que le Japon se trouve « parmi le dernier tiers des grandes nations ». C’est plutôt un lourd message alertant de la faiblesse considérable du Japon au niveau de la défense et la sécurité informatiques.

La Russie et la Chine : des valeurs différentes, et plus de puissance

La Chine est très haut placée dans la catégorie « gouvernance, chaine de commandement et contrôle ». Ce pays a le système le plus étendu au monde dans le domaine de la cybersurveillance interne ainsi que de la censure, strictement contrôlées sous la direction du gouvernement. La Chine a aussi des atouts évidents dans la catégorie « stratégie et doctrine », les détails de sa cyber-stratégie nationale étant disponibles dans sa publication de 2015, le Livre blanc sur la stratégie militaire de la Chine, ainsi que dans la loi de 2017 sur la cybersécurité.

Depuis le début du siècle, la Chine est également engagée dans des cyberactivités à grande échelle dirigées vers des pays du monde entier. Les analystes concluent que de telles actions auraient pour but l’acquisition de propriété intellectuelle ou d’influence politique, l’espionnage international, ainsi que la mise en place de techniques informatiques perturbatrices en vue de conflits éventuels entre États. En renforçant de manière intensive sa technologie numérique, il n’est pas exagéré de dire que les cybercapacités offensives de la Chine peuvent rivaliser avec celles des États-Unis.

Quant aux cybercapacités de la Russie, elles se sont développées de façon indépendante durant sa longue rivalité avec les États-Unis et l’Europe. La Russie estime que ce domaine est un élément clé de sa stratégie de guerre informatique au sens large, et procède donc à des cyberattaques et du cyberespionnage de grande envergure contre les pays de l’Ouest, avec l’objectif clair de troubler leurs affaires et leur gouvernance. C’est pour cette raison que la Russie est bien classée au niveau de la cybercapacité offensive.

Parallèlement, l’infrastructure informatique de la Russie pourrait être vulnérable en raison de sa forte dépendance sur des entreprises britanniques et françaises. Toutefois, le gouvernement russe favorise la mise en place d’un internet souverain et un développement numérique ancré dans ses propres dispositions légales. La Russie se positionne donc de façon à solutionner ses vulnérabilités éventuelles en cybersécurité.

La Russie a aussi œuvré de façon efficace au niveau diplomatique pour lutter contre la dominance des pays de l’Occident, tout particulièrement les États-Unis. Cette démarche lui a valu un bon classement au niveau du « leadership global pour le cyberespace ».

L’évolution inexorable des cybermenaces

Au vu de ce que cette étude de l’IISS semble prédire pour l’avenir, mon interprétation est la suivante : les problèmes conjoncturels et structurels rencontrés par chaque nation sont forcément et causalement liés aux problèmes de diplomatie et de défense auxquels chacun fait face quand il intéragit avec ceux qui ne partagent pas les mêmes valeurs. Cela veut dire, en quelque sorte, qu’il est garanti que les pays verront leurs intérêts de plus en plus confrontés aux cybermenaces...

Compte tenu de cette situation, les grandes nations ont, pour la plupart, pris des initiatives pour répondre à l’évolution de ces dangers comme, par exemple, l’établissement d’une agence nationale de cybersécurité possédant un mandat juridique et les capacités de mettre en place une défense nationale face aux cybermenaces.

Pour que le Japon se bouge réellement...

Avec les problèmes de société auxquels le Japon est confronté en ce moment, il lui est difficile de mettre en place une agence nationale de cybersécurité puissante et compétente. En conséquence, certains ministères développent leurs propres mesures de cybersécurité. Le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du cabinet a pour fonction de coordonner une partie de cette initiative, mais on ne voit pas vraiment d’efforts unifiés conséquents.

Au début des années 2010, chaque ministère et agence gouvernementale avait commencé à mettre en place ses propres mesures face à l’évolution de la situation et des recommandations extérieures. Toutefois, la confusion a été telle que la NISC a essayé de coordonner toutes ces politiques en 2017, mais en vain : l’année suivante, un rapport du NISC sur la cyberstratégie montrait qu’aucune mesure concrète n’avait été décidée et que le gouvernement « réfléchirait à plus de coordination ». Pour moi, cela traduit tout simplement le fait que les mesures indépendantes adoptées par chaque ministère étaient restées bloquées au sein de leurs services respectifs, et que le gouvernement n’a pas examiné la question de façon rigoureuse. Il semble difficile dans ce pays de faire bouger des structures organisationnelles solidement ancrées...

Je crois fermement que la formation d’un personnel capable d’améliorer les capacités du Japon au niveau de la diplomatie, de la sécurité, et des questions militaires devient de plus en urgent face à la montée de cybermenaces contraires aux intérêts du pays. En parallèle, il faudrait de même établir une entité centrale d’exécution qui définirait clairement les responsabilités et les rôles de chacun, et qui répondrait à la question de « Qui est le chef ? ».

La Force de réserve de la police a été établie en 1950, et ses responsabilités n’ont fait que de croitre par la suite. Son évolution s’est poursuivie dans la création du ministère de la Défense et des Forces d’auto-défense (FAD) : ce sont les ultimes armes de recours quand les agences gouvernementales ou les organisations privées sont incapables de protéger les vies et assurer le bien-être des citoyens. Le ministère de la Défense et les FAD ont dû procéder à des efforts considérables pour obtenir le budget leur permettant de s’acquitter de leurs responsabilités et de leur rôle.

Je suis convaincu que le seul moyen de surmonter les « vulnérabilités considérables » du Japon en terme de cyberpuissance serait de créer une agence nationale de cybersécurité qui pourrait défendre les intérêts du pays l’espace informatique, comme le font d’autres pays.

(Photo de titre : Pixta)

technologie sécurité ordinateur international