La cybersécurité au Japon

1. Le gouvernement a pris conscience du retard du Japon en matière de cybersécurité et élaboré une stratégie nationale faisant appel à une multitude d’acteurs

Dans un contexte géopolitique marqué par des tensions régionales fortes et compte tenu de ses avancées technologiques, le Japon est devenu une cible de choix. 97% des attaques visant le Japon auraient ainsi pour origine un pays étranger[1]. Ces cyberattaques, de plus en plus sophistiquées, visent des infrastructures critiques et l’accès à des informations sensibles. Après 2010 et une série de cyber-attaques de grande ampleur ayant touché tant les réseaux étatiques que les systèmes des grands groupes industriels[2], la cybersécurité a été identifiée comme une priorité dans la Stratégie de sécurité nationale japonaise publiée en décembre 2014. Le Japon ensuite a adopté, en 2015, une Loi fondamentale sur la cybersécurité et créé un quartier général stratégique pour la cybersécurité relevant du Cabinet du Premier Ministre. Le secrétariat de ce quartier général est assuré par le NISC (National center of Incident readiness and Strategy for Cybersecurity). Ce dernier est l’autorité nationale de cybersécurité et opère en interaction étroite avec les administrations japonaises, les entreprises, les gouvernements étrangers et les organisations internationales.

Le Cabinet office[3] a également publié, en septembre 2015, sa stratégie nationale en matière de cybersécurité. Cette stratégie fixe trois axes d’actions afin d’assurer « un cyberespace libre, juste et sûr » : 1/ contribuer à améliorer la vitalité socio-économique et le développement durable, 2/ construire une société où les individus peuvent vivre librement et sûrement et 3/ assurer la paix et la stabilité de la communauté internationale et la sécurité nationale. Dans la mise en œuvre de cette stratégie, chaque ministère a été amené à renforcer ses capacités internes. A titre d’exemple, une unité spéciale, la « Cyber Force »[4] et une unité spécialisée dans la cyberdéfense ont respectivement été créées au sein de la National Police Agency et du MOD. Le MIC, en collaboration avec les fournisseurs d’accès internet et Telecom ISAC (Information Sharing and Analysis Center), tient, à cet égard, un rôle particulier de prévention et de détection. Les grands groupes, leaders du secteur des hautes technologies, contribuent également à l’amélioration de la sécurité digitale du Japon, notamment dans le cadre de partenariats public-privé. Enfin, les instituts de recherche japonais comme l’AIST (National Institute of Advanced Industrial Science and Technology), le NICT (National Institute of Information and Communication Technology) ou les principaux laboratoires universitaires (Keio University, Université de Tokyo…) dédient une part croissante de leur activité à la recherche en matière de cybersécurité.

2. Deux priorités ont été fixées : la protection des infrastructures critiques et la formation

 2.1 Le Japon met un accent particulier sur la protection de ses infrastructures critiques. Plusieurs mesures ont été prises en ce sens : 1/ l’adoption d’une Basic Policy of Critical Information Infrastructure Protection, en 2015, 2/ l’affectation, en 2016, de 2,5 Mds JPY (environ 22 M EUR) au Critical Infrastructure Cybersecurity Program[5] qui vise à doter le Japon d’infrastructures critiques résilientes, 3/ le lancement de la Cybersecurity Research and Development Strategy, pour développer la R&D et les solutions permettant d’améliorer les capacités de détection et de défense contre les cyber-attaque, 4/ le lancement, en janvier 2017, de l’IoT Cybersecurity Action Program, pour améliorer la sécurité de « l’Internet des objets » et 5/ la tenue, chaque année par le NISC, d’un exercice cyber national[6] dans lequel toutes les infrastructures critiques désignées sont impliquées quel que soit leur domaine d’activité.

2.2 Le deuxième aspect de la stratégie japonaise concerne la formation. Les industriels comme le gouvernement font, en effet, face à un manque de main d’œuvre qualifiée dans ce secteur. Aujourd’hui, 132 060 postes d’experts informatiques sont vacants alors même, selon le METI, que 60 000 postes supplémentaires devraient être créés d’ici 2020. Par ailleurs, près de 34% des dirigeants d’entreprise ne considèrent toujours pas la cybersécurité comme un enjeu prioritaire pour leur stratégie commerciale[7]. Le gouvernement japonais a, par suite, lancé le Program to Develop Cybersecurity Human Resources qui repose sur l’idée que la cybersécurité ne représente pas seulement un coût pour les entreprises, mais est créatrice de valeur commerciale et contribue à l’amélioration de leur compétitivité à l’international. En outre, le METI a publié, en décembre 2015, des Cybersecurity Guidelines for Business Leadership afin de susciter une prise de conscience chez les dirigeants sur l’importance d’améliorer la sécurité des données et les inciter à intégrer la cybersécurité dans leur politique de responsabilité sociale.

Des programmes de formation ont, par ailleurs, été mis en place à destination notamment des cadres dirigeants et des jeunes professionnels. Le National Cyber Training Center, un institut de recherche créé sous la direction du NICT, organise également des exercices afin de préparer les collectivités locales aux risques d’attaques informatiques. Enfin, des campagnes de communication sont menées auprès du grand public par l’IPA (Information-technology Promotion Agency).

3. Le Japon se tourne également vers l’international pour combler son retard, notamment au sein des instances internationales et au moyen de coopérations bilatérales

Le Japon est désireux d'accroître ses réseaux d'échanges d'information, de mieux coordonner en amont ses positions dans les enceintes internationales et de développer une offre d'assistance dans des zones économiquement et politiquement stratégiques pour lui (Asie du sud-est et Afrique). Ainsi, le gouvernement a nommé un ambassadeur pour la cybersécurité et de plus en plus d’évènements nationaux et internationaux sont organisés au Japon autour de la cybersécurité (International Workshop on Security, CEATEC, Cybertech en coopération avec le gouvernement israélien). D’autre part, preuve de l’intérêt japonais à structurer une coopération sur cette question, le Japon a été particulièrement proactif sur le sujet cybersécurité lors du sommet du G7 à Ise-shima, en 2016. Enfin, il a engagé un dialogue avec l’OTAN qui est un allié clé face aux menaces russes, chinoises et nord-coréennes.

Le Japon a également entamé des consultations bilatérales principalement avec les Etats-Unis, le Royaume-Uni, Israël, l’Estonie. Avec l’Europe, de nouvelles perspectives de projets de recherche conjoints voient le jour avec le lancement, en Octobre 2017, de l’« EU-Japan Joint Call on ICT ». Parmi les sujets retenus, un projet co-financé par le NICT porte sur la cybersécurité : Advanced technologies combining Security, IoT, Cloud and Big Data for a hyper-connected society.

Avec la France, un dialogue politique s’est mis en place à la suite de la visite d’Etat du Premier Ministre Japonais à Paris en mai 2014[8]. Cette rencontre a permis le lancement d’une coopération entre le NICT et l’Inria et la tenue d’un évènement annuel commun consacré à la cybersécurité. La cybersécurité constitue également l’un des thèmes clés de plusieurs autres coopérations économiques existantes sur les TIC (DGE/MIC) ou sur l’IoT et l’industrie du futur (DGE/METI).