Le Japon va renforcer sa cybersécurité par Yoko Nitta, conférencière invitée à l’Académie de défense nationale japonaise

Le dilemme du Japon contre une cyberattaque

Le Japon considère la transmission de renseignements ainsi que le débat dans cyberespace comme fondamentaux dans une société démocratique et libérale. Cet espace numérique est devenu un levier pour la croissance économique ouvrant des portes à de nouveaux modèles commerciaux et à l’innovation technologique.
Cependant, les actes malveillants s’y font de plus en plus nombreux. Rappelons que des informations sensibles ainsi que des industries et des organisations ont été exploitées les unes après les autres. Les prestataires de service voient également leur business menacé. Ces nouvelles menaces constituent une menace grandissante pour le Japon.

Dans ce contexte, la loi fondamentale japonaise relative à la cybersécurité a été promulguée en novembre 2014. [1] Celle-ci définit clairement la responsabilité des personnes concernées et illustre juridiquement le concept de cybersécurité. Le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) a été créé en janvier 2015 comme un centre du gouvernement traitant des politiques de cybersécurité. Le NISC détient également la compétence de recommander des initiatives stratégiques aux organes administratifs. De récentes cyberattaques telles que le leak massif de données personnelles après le piratage du Japan Pension Service[2] qui est sous la juridiction du ministère de la Santé, du Travail et des Affaires sociales ou encore la brèche de sécurité qu’a connu l’association pétrolière du Japon[3] montrent que les organisations japonaises laissent leur environnement numérique vulnérable sans prendre de mesures adéquates.
À cet effet, le gouvernement japonais a décidé de revoir de manière fondamentale la stratégie officielle en matière de cybersécurité qui a été publié en 2013 et qui a été approuvée lors d’une réunion du Cabinet ce mois d’août. Le Bureau du Cabinet a confirmé la demande de budget en 2016 pour cette nouvelle stratégie en cybersécurité. Celle-ci ouvrira la voie à des politiques élémentaires pour les trois prochaines années incluant la feuille de route pour les Jeux Olympiques et Paralympiques qui se tiendront au Japon en 2020.
L’objectif de cette nouvelle stratégie est de créer, dans un premier temps, un « cyberespace libre, juste et sûre » et, dans un second temps, de « contribuer à mettre en valeur une société économique dynamique ainsi que le développement durable ». Dans un troisième temps, cela permettra « d’atteindre un modèle de société où les citoyens pourront vivre en sécurité et pacifiquement ». Enfin, il s’agira d’établir la paix et la stabilité tant au niveau national qu’international.

Le contexte récent de la cybersécurité au Japon

Selon l’Agence de Promotion de la technologie de l’information (IPA) [4] et le JPCERT, les industries japonaises ont été exploitées et attaquées principalement en juin. [5]
Toutes les mesures prises afin d’éviter les cyberattaques ne sont toujours pas assez efficaces en raison du dynamisme de la cybersécurité. À ce titre, l’IPA rappelle aux industries ainsi qu’aux agences gouvernementales qu’il est nécessaire de mener des inspections périodiquement concernant le contrôle de l’exploitation et la maintenance.

Tokyo lutte pour faire face à la violation massive de données

Au mois de mai 2015, le Japon Pension Service (JPS) a provoqué l’inquiétude après le leak massif de données personnelles de 125 millions de personnes [6]. Lors de la conférence de presse, son PDG n’avait clairement aucune donnée quant à la sécurité du système d’information de sa propre entreprise et aux menaces provenant du cyberespace auxquelles elle devait faire face. Et cela malgré les gros titres des principaux journaux qui pointaient du doigt ces cyberattaques. Cela montre à quel point les institutions portent peu d’intérêt à la sécurité de leurs systèmes d’information et qu’elles ne sont pas conscientes de leurs vulnérabilités. Les institutions publiques et les industries sont des cibles attractives pour les pirates, car elles sont responsables de la gestion de nombreuses données personnelles. Désormais le JPS doit faire face aux questions des victimes dont les données personnelles – telles que des noms, des dates de naissance et des adresses – ont été volées. Et puisque le JPS ne reconnaît pas l’importance des informations leakées, les réponses données sont confuses.
En avril, le JPS avait déjà reconnu que quelques départements ne respectaient pas des règles officielles comme la protection par mot de passe de fichiers sauvegardés ; les employés laissaient les fichiers sans protection. Si une protection par mot de passe avait été mise en place avant le 8 mai, quand leurs ordinateurs ont été infectés par un virus, ce leak massif des données personnelles de leurs clients aurait été évité.

Pourquoi le Japon est ciblé par le cyberespionnage?

Plusieurs hackers appelés APT [7], vraisemblablement originaires de Chine, pensent que l’économie japonaise est en position avantageuse grâce à l’innovation technologique japonaise et aux produits de précision. Ils ont ciblé le gouvernement japonais ainsi que des organisations de la Défense pour faire du cyberespionage. Les groupes de pirates chinois considèrent que les sociétés japonaises sont des trésors de propriété intellectuelle et pour la veille concurrentielle. Les organismes gouvernementaux et de la défense japonaise deviennent des cibles pour le cyberespionnage. L’alliance américano-japonaise, les conflits régionaux et le développement de politiques de défense sont les raisons de cette recrudescence d’attaques visant les services de renseignements étrangers.

Les vulnérabilités du Japon face aux cyberattaques

Selon l’Institut national de l’information et des communications (NTIC), [8] le nombre de cyberattaques contre le Japon a doublé et elles se produisent toutes les 30 secondes. Le NISC a déclaré que seule presque la moitié des industries japonaises a mis en place des politiques de sécurité informatique et que 60% des ingénieurs en SSI n’ont pas les compétences requises pour faire face aux menaces du cyberespace.
Premièrement, le Japon n’est pas au fait de la gestion de crise et a retardé la gestion des incidents liés au cyberespace parce qu’ils n’y sont pas familiarisés.
Ensuite, les grandes entreprises ainsi que les TPME doivent faire face à la réalité : l’ampleur d’une attaque n’a pas d’importance pour les pirates mais la propriété intellectuelle, oui.

Les efforts du Japon

Avec les Jeux Olympiques et Paralympiques de Tokyo de 2020 à l’esprit, le Japon a fait des efforts et entend renforcer sa cybersécurité au vue de la pression grandissante des cyberattaques. * 9) Le gouvernement japonais vient d’annoncer qu’il lancera de nouvelles qualifications nationales appelées «gestion de la sécurité de l’information» en 2016. [10] Elles viseront la recherche et le développement pour détecter la malveillance informatique, la conception d’une stratégie de cybersécurité ainsi que des lignes directrices visant à prévenir les fuites de données.
Cette licence exige certaines compétences. Tout d’abord, de connaissances informatiques avancées et une capacité à créer une stratégie de sécurité de l’information. Elle requiert aussi les compétences nécessaires pour faire face aux cyberattaques, des connaissances de l’externalisation et de la conformité ainsi que des connaissances de base concernant les lois et les directives. Selon l’IPA, le Japon aurait besoin d’encore 350 000 ingénieurs en sécurité informatique.
Des initiatives encourageantes comme la création d’opportunités pour l’emploi ont été initiées et sont demandées pour atteindre cet objectif.

Enjeux et autres implications au Japon

Il existe deux types d’institutions dans ce monde. Tout d’abord, celles qui ont déjà été victimes de cyberattaques, puis celles qui ne l’ont pas encore reconnu. Parfois, des organisations remarquent après 6 mois qu’il y a eu une intrusion.
Cela semble pathétique et toutes ces organisations ne doivent pas être complaisantes
Bien que nous devrions parfois être déconnectés, si ces organisations ne veulent pas être mises en difficulté, elles doivent continuer à utiliser le cyberespace et rester connectées et se protéger.

Par ailleurs, le gouvernement et l’industrie ne peuvent pas assurer seuls leur sécurité. Le système employant des hackers éthiques connaît une popularité grandissante. Tout le monde doit faire un effort minimum pour mettre à jour les programmes antivirus gratuits. Ces efforts sont cruciaux. Toutefois, seuls les individus patriotes devraient être employés comme white hats puisque ceux qui ne sont pas patriotes peuvent être dangereux. Nous devons être conscients les individus comme les ordinateurs doivent aujourd’hui faire face au cyberespionnage. Rome ne s’est pas construite en un jour.

Références

[1] http://japan.kantei.go.jp/97_abe/actions/201502/10article4.html
[2] http://www.nenkin.go.jp/n/www/english/
[3] http://www.paj.gr.jp/english/
[4] https://www.ipa.go.jp/index-e.html
[5] http://blog.jpcert.or.jp/trends/
[6] http://www.bloomberg.com/news/articles/2015-06-01/over-1-million-japan-pension-records-leaked-in-cyber-attack
[7] https://blog.kaspersky.com/apt/
[8] http://www.nict.go.jp/en/
[9] kantei.go.jp/97_abe/actions/201505/25article1.html
[10] http://www.fanshawec.ca/programs-courses/full-time-programs/ism1/20156/courses