Retour à Insights

La nouvelle loi japonaise sur la cybersécurité annonce une position plus offensive

Tae Yeon Eom: Chercheur-boursier, Asie du Nord-Est, FAP Canada
6 juin 2025
Defence officer at cyber computer

À RETENIR

Le 16 mai 2025, le Japon a promulgué une loi de grande envergure sur la cybersécurité, qui autorise le gouvernement à prendre des mesures préventives contre les menaces numériques émanant d’acteurs étrangers, notamment les campagnes de logiciels malveillants sur serveur et les attaques coordonnées de logiciels rançonneurs, et marque un changement radical par rapport à une approche historiquement passive de la réponse aux cyberincidents. Décrite par les représentants du gouvernement comme un cadre de « cyberdéfense active », la loi est considérée par certains comme étant de nature plus offensive, car elle permet aux organismes publics de détecter et de brouiller les cybermenaces avant qu’elles ne se matérialisent.

Si cette loi vise à renforcer la sécurité nationale et à rassurer les alliés, confortant ainsi la crédibilité du Japon dans le monde, elle soulève de sérieuses questions en matière de contrôle, de protection des libertés civiles et d’éventuelles répercussions internationales.

EN BREF

  • La loi sur la cyberdéfense active, qui entrera en vigueur en 2027, donnera à la police et aux forces d’autodéfense japonaises (c’est-à-dire l’armée du pays) le pouvoir d’accéder légalement à des serveurs étrangers désignés comme points de départ de cyberattaques et de les mettre hors service, tout aussi légalement. Ces menaces seront repérées sur la base de métadonnées telles que les adresses IP et les schémas de trafic recueillis à partir de l’activité Internet transfrontalière, plutôt que sur la base du contenu des communications. 

  • La loi fait suite à une forte augmentation des cybermenaces et des cyberattaques, notamment la violation en 2023 du National Center of Incident Readiness and Strategy for Cybersecurity du Japon par des acteurs chinois présumés, et un incident en 2025 au cours duquel des transactions non autorisées totalisant 2,7 milliards de dollars canadiens ont été effectuées par l’intermédiaire de plateformes financières piratées. Entre autres attaques récentes qui ont fait parler d’elles, mentionnons la panne du système de Japan Airlines en 2024 et l’incident causé par un logiciel rançonneur à l’hôpital de Tokushima en 2022. 

  • Afin de protéger le droit au respect de la vie privée, un nouvel organe de contrôle indépendant, provisoirement baptisé Commission de contrôle des cybercommunications, doit approuver ou examiner toutes les mesures pertinentes.

  • Pour justifier l’adoption de cette nouvelle loi, le Japon a notamment cité en exemple des pays comme l’Australie, le Canada, l’Allemagne, le Royaume-Uni et les États-Unis, qui ont mis en place des cadres juridiques comparables pour neutraliser les serveurs étrangers hostiles et analyser les communications transfrontalières.

RÉPERCUSSIONS

Cette loi s’écarte de l’approche traditionnelle du Japon, plutôt réactive en ce qui concerne la cybersécurité. Il s’agit non seulement du premier cadre juridique autorisant le gouvernement japonais à prendre des contre-mesures avant que des dommages réels aient lieu, mais également d’un outil qui redéfinit le cyberespace non pas comme un simple espace d’espionnage et d’activités criminelles, mais comme une frontière stratégique où la sécurité nationale, l’infrastructure critique et la protection civile doivent faire l’objet de défense proactive. On peut voir dans ce changement la reconnaissance par le Japon que l’anticipation et la neutralisation des menaces avant qu’elles ne se manifestent est une exigence fondamentale de l’art de gouverner à notre époque.

Les détracteurs de la loi estiment qu’elle pourrait enfreindre l’article 21 de la constitution japonaise, qui garantit la confidentialité des communications. Ils se demandent en outre jusqu’où le gouvernement pourrait aller dans l’analyse des traces numériques, comme les adresses IP, les journaux d’accès et les schémas de connexion, avant que ces métadonnées ne deviennent fonctionnellement équivalentes à des renseignements personnels. Certes, la loi interdit explicitement la surveillance du contenu des communications nationales et limite l’analyse aux métadonnées provenant du trafic transfrontalier, mais la frontière entre les métadonnées et les renseignements identifiables devient de plus en plus floue, surtout depuis que la reconnaissance des schémas recourt à l’intelligence artificielle. Le gouvernement a annoncé sa volonté de protéger les libertés civiles en créant une commission de contrôle des cybercommunications, chargée d’examiner et d’autoriser les opérations; toutefois, on peut mettre en doute l’efficacité et l’indépendance de cet organe, en particulier si les autorités se voient accorder une plus grande marge de manœuvre pour agir de manière préventive.

La nouvelle approche du Japon en matière de cybersécurité soulève des questions délicates sur la souveraineté extraterritoriale et les normes de cybersécuritéSi les serveurs visés par la nouvelle loi se trouvent dans des pays tels que la Chine ou la Russie, par exemple, les mesures défensives, même limitées, risqueraient de provoquer des réactions diplomatiques virulentes ou de dégénérer en un conflit plus large dans le cyberespace. La reconfiguration de la position du Japon en matière de sécurité à l’ère numérique pourrait aussi bien renforcer la dissuasion qu’exacerber les frictions géopolitiques, selon la façon dont Tokyo naviguera dans les zones grises juridiques et gérera les dynamiques transfrontalières sensibles.

PROCHAINES ÉTAPES

1. Adaptation de l’industrie, demande croissante de cybertalents 
Au Japon, les principaux fournisseurs d’infrastructure numérique devront se conformer à des obligations de déclaration élargies. Le ministère de l’économie, du commerce et de l’industrie a lancé de nouvelles initiatives de financement et des réformes des marchés publics pour soutenir les entreprises de cybersécurité japonaises, dans le but de faire passer ce secteur d’une valeur de 8,7 milliards de dollars canadiens (900 milliards de yens) à plus de 28,9 milliards de dollars canadiens (3 000 milliards de yens) en l’espace de 10 ans. Toutefois, les capacités du Japon en matière de cybersécurité dépendent depuis longtemps de fournisseurs étrangers, et sa pénurie chronique de cybertalents risque de créer un goulot d’étranglement. La formation d’une main-d’œuvre qualifiée, surtout en IA défensive et évaluation des menaces, sera essentielle pour atteindre les objectifs de la nouvelle loi. 

2. Occasions et défis pour la collaboration Canada-Japon 
À l’instar du Japon, le Canada accorde la priorité à la protection de l’infrastructure numérique et des flux de données. Dans cette optique, Ottawa peut élargir son rôle de partenaire politique et technologique au moyen d’exercices de cybersécurité conjoints, d’une collaboration de recherche sur la cybersécurité, d’accords de partage d’information et d’initiatives publiques-privées avec le Japon. Toutefois, les efforts déployés par le Japon pour parvenir à l’autosuffisance numérique pourraient dissuader les éventuels fournisseurs et talents étrangers, étant donné que ses politiques en matière d’approvisionnement et de recherche et développement favorisent de plus en plus les entreprises de cybersécurité japonaises.

Tae Yeon Eom

En tant que chercheur à la Fondation Asie-Pacifique du Canada, Tae Yeon Eom examine les problèmes socio-économiques et politiques sur et autour de la péninsule coréenne, explorant comment ces dynamiques influencent les politiques nationales, la sécurité régionale et les relations internationales. En intégrant ces perspectives, son travail vise à fournir une compréhension globale des défis et des opportunités en Asie de l'Est aux lecteurs canadiens et internationaux.

Dernier articles de Tae Yeon Eom:

Uncertain Tariff Tides and Japan’s High Stakes South Korea Faces Post-Impeachment Era of Turmoil and Resilience South Korea Braces for Trump’s Tariff Storm Read more >

À lire également