Cybersecurité : comment le Japon passe en mode « guérilla numérique »

De la défense de siège à la guérilla numérique

Le 16 mai dernier, la Diète a adopté la Loi sur la cyberdéfense active (« Active Cyber Defense Act »), qui entrera en vigueur en 2026. Elle repose sur quatre piliers :

• Renforcer la coopération public-privé
• Surveiller les données de communication afin de détecter les menaces
• Contre-attaquer à la source et neutraliser les infrastructures d’attaque
• Consolider les institutions de cybersécurité

Jusqu’à présent, la stratégie japonaise reposait sur des protections « passives », comme les pare-feux et les antivirus limités aux réseaux visés, à l’image d’une « guerre de siège », où l’on attend l’assaut pour réagir.

La défense active, elle, s’apparente plutôt à la « guérilla » : repérer les modes opératoires adverses, intercepter à des points vulnérables, perturber les lignes logistiques. L’idée est d’exploiter les failles ennemies afin de saboter leurs opérations et d’augmenter le coût des attaques, dans un objectif dissuasif.

Une coordination centralisée par le gouvernement

Afin de renforcer la collaboration entre public et privé, les opérateurs d’infrastructures critiques du Japon seront désormais légalement tenus d’informer le gouvernement lorsqu’ils subissent une cyberattaque ou lorsqu’ils introduisent de nouveaux systèmes informatiques importants pour l’exploitation de ces infrastructures. À cette fin, un « Conseil de partage d’informations sur les cybermenaces » sera créé pour renforcer la coopération en matière de réponse aux incidents et formaliser l’échange d’informations et de renseignements entre le gouvernement et le secteur privé. Cette nouvelle plateforme permettra également au gouvernement de mieux superviser les infrastructures critiques susceptibles d’être la cible de cyberattaques et de demander rapidement aux opérateurs de corriger des vulnérabilités de type zero-day. En imposant un signalement obligatoire au secteur privé, le gouvernement obtiendra aussi une compréhension plus complète de la situation de la cybersécurité au Japon à tout moment, afin d’améliorer la planification stratégique.

En ce qui concerne la « surveillance des données de communication pour détecter les menaces », la nouvelle loi donne au gouvernement le pouvoir légal de collecter des données relatives aux communications intérieures afin d’identifier et d’analyser les cybermenaces. L’accent sera mis sur les « données de communication » liées aux attaques, telles que les adresses IP, les chaînes de caractères servant à exécuter des commandes, les dates et heures de transmission et les journaux de communication pouvant être utilisés pour identifier le type de logiciel malveillant employé, ainsi que la source de l’attaque. Toutefois, le gouvernement ne pourra pas collecter ni analyser le « contenu substantiel » des discussions personnelles et privées des citoyens. À cette fin, un organe indépendant de supervision des communications en ligne sera créé pour surveiller l’action du gouvernement et garantir le respect du secret des communications garanti par l’article 21 de la Constitution japonaise.

Le troisième pilier permettra à la police et aux Forces d’autodéfense japonaises de contre-accéder directement afin de neutraliser les ordinateurs et infrastructures utilisés pour les cyberattaques et de supprimer les logiciels malveillants. Légalement, de telles actions ne seront entreprises que dans un nombre limité de situations où une réponse rapide est nécessaire pour prévenir ou atténuer des attaques graves. Les autorités japonaises pourront suivre à distance des fichiers électroniques volés et marqués d’un filigrane puis neutraliser les serveurs relais utilisés par les pirates. Il sera également légal pour les agences gouvernementales de contre-accéder et de mettre hors service les ordinateurs utilisés par les assaillants. Par exemple, les autorités japonaises pourraient lancer une attaque par déni de service distribué (DDoS) contre une menace imminente, inondant un serveur d’un grand nombre de requêtes afin de le surcharger pour l’empêcher de fonctionner correctement.

Ces piliers représentent un renforcement global des institutions de cybersécurité japonaises qui permettra aux autorités de recueillir de manière proactive et de coordonner de façon centralisée les informations relatives aux cyberattaques sophistiquées, y compris celles menées par des acteurs étatiques. Cela permettra également d’améliorer l’échange d’informations avec les pays alliés et partageant les mêmes valeurs. Lorsque d’autres pays demanderont au Japon de neutraliser des attaques menées par un acteur parrainé par un État ou par une organisation criminelle très organisée, le Japon sera mieux placé pour faciliter une coopération internationale efficace.

Les ressources humaines, un défi majeur

Le plus grand obstacle à la mise en œuvre de cette approche de cyberdéfense active est celui des ressources humaines. Il existe une pénurie d’experts en cybersécurité, mais la formation actuelle des professionnels japonais est insuffisante, en particulier pour ce qui concerne les questions de sécurité nationale. Les experts en cybersécurité du Japon doivent acquérir une meilleure connaissance de la diplomatie, des affaires militaires et du renseignement afin de favoriser une approche « active ». Une avancée notable en ce sens a été l’introduction, en mai 2025, des habilitations de sécurité nationale. Ce système permet aux fonctionnaires et aux employés du secteur privé ayant été approuvés par des autorités de haut niveau d’accéder à des informations classifiées, et dont la divulgation pourrait menacer la sécurité nationale du Japon.

Cependant, il ne s’agit que d’une première étape, et il est essentiel de mettre en place d’autres cadres institutionnels favorisant la formation du personnel. S’il est difficile de déterminer précisément l’ampleur de la pénurie, une référence utile est l’enquête menée en 2016 par l’ISC² (International Information System Security Certification Consortium), une organisation à but non lucratif qui certifie les qualifications professionnelles en cybersécurité. Cette enquête prévoyait que le Japon connaîtrait un déficit d’environ 170 000 experts en cybersécurité d’ici 2024. De même, en 2020, le ministère de l’Économie, du Commerce et de l’Industrie estimait qu’il manquait environ 190 000 personnes. Même pour les besoins en cybersécurité liés à la sécurité nationale, le déficit est estimé à plusieurs dizaines de milliers. Alors que la nouvelle loi sur la cyberdéfense active suivait son parcours législatif à la Diète en mai 2025, le METI a annoncé qu’il doublerait d’ici 2030 le nombre de spécialistes enregistrés en sécurité informatique possédant des compétences avancées, portant leur nombre à 50 000.

Cette question des ressources humaines a aussi une dimension internationale. Un projet gouvernemental prévoit de partager avec le secteur privé, sous certaines conditions de confidentialité, des informations sur certaines menaces telles que les vulnérabilités zero-day (non divulguées et inconnues des développeurs de logiciels) obtenues auprès de gouvernements étrangers. Par conséquent, les opérateurs d’infrastructures critiques et les entreprises évoluant dans le domaine du cyber devront également disposer de personnels capables de gérer les implications nationales et internationales de ce nouveau cadre législatif et stratégique.

La nouvelle législation n’est qu’un point de départ. Les menaces dans le cyberespace évoluent chaque jour et dépassent les frontières nationales. À l’avenir, les acteurs de la cybersécurité axés sur la sécurité nationale devront être prêts à livrer en continu une bataille permanente contre des adversaires, y compris des acteurs étatiques. C’est le concept « d’engagement permanent » promu par les États-Unis dans leur stratégie de défense active. L’engagement permanent se caractérise par le maintien d’un contact continu avec les adversaires, la détection des cyberattaques à l’avance, et leur blocage sur le terrain de l’ennemi. Comme l’objectif de la défense est de perturber les opérations adverses, le camp défenseur doit disposer de capacités techniques avancées et de compétences renforcées en jugement comme en analyse.

En outre, des capacités complètes de sécurité informatique nationale ne se limitent pas à l’action dans le cyberespace. Pour renforcer les capacités du Japon dans ce domaine, le gouvernement doit aussi être capable de collecter des informations, d’analyser du renseignement, de mener des actions diplomatiques et d’exercer des pressions économiques au-delà d’internet. C’est en particulier lorsque des attaques sont menées ou facilitées par des acteurs parrainés par des États que le Japon doit être prêt à prendre des mesures décisives en collaboration avec la communauté internationale. L’introduction de la cyberdéfense active représente une évolution significative de la stratégie de cybersécurité du Japon… et le début d’une guerre numérique sans fin.

(Photo de titre : Pixta)