Les pays de l’Association des Nations de l’Asie du Sud-Est (ANASE) connaissent une numérisation rapide et de ce fait, deviennent de plus en plus vulnérables aux violations de données et au vol d’informations sensibles ou confidentielles.
Entre 2021 et 2022, le nombre de « cybermenaces » (c’est-à-dire, d’actes cherchant à compromettre la sécurité d’un ou plusieurs systèmes d’information) dans la région, y compris les violations de données, a augmenté de plus de 80 pour cent. En 2023, les entreprises d’Asie du Sud-Est ont déclaré avoir connu plus de 36 000 attaques en ligne par jour en moyenne.
Reconnaissant le nombre et la complexité croissante des cybermenaces en Asie du Sud-Est, le Canada et l’ANASE ont accepté d’améliorer leur collaboration en matière de cybersécurité pendant le lancement de leur partenariat stratégique en 2023. Cet engagement s’appuie sur l’initiative de cybersécurité et de diplomatie numérique du Canada annoncée comme faisant partie de la Stratégie pour l’Indo-Pacifique, qui alloue 47,4 millions de dollars canadiens sur cinq ans à l’amélioration des capacités cybernétiques de l’Indo-Pacifique et à la progression de la coopération régionale dans ce domaine par l’intermédiaire du déploiement dans la région de cyberattachés.
Alors que le Canada s’est engagé à travailler avec l’ANASE au renforcement des capacités cybernétiques régionales, il lui faudra également examiner soigneusement les forces, les faiblesses, les approches et les politiques au niveau national. Comme l’a démontré l’Indice national de cybersécurité (NCSI) de 2023 – une évaluation de la capacité des pays à prévenir les attaques cybernétiques et à traiter les menaces de ce type – il existe, au sein des pays de l’Asie du Sud-Est, de grandes différences en matière de capacités cybernétiques.
Par exemple, alors que la Malaisie, qui est la nation présentant les meilleures capacités cybernétiques, se classe 22e, le Myanmar arrive dernier de la région, au 152e rang. D’autres grands pays d’Asie du Sud-Est se situent quelque part entre les deux, avec Singapour à la 31e place, les Philippines à la 48e et le Vietnam à la 93e.
Par ailleurs, en dépit des diverses initiatives cybernétiques régionales de l’ANASE, la mise en œuvre de ces cadres de travail reste extrêmement fragmentée. Selon Elina Noor, attachée de recherche supérieure du programme Asie au Carnegie Endowment for International Peace, il existe deux raisons principales à cette fragmentation. La première est la « différence de niveau dans les ressources et la maturité technologique parmi les pays membres de l’ANASE », et la seconde est le fait que les états d’Asie du Sud-Est sont peu enclins à divulguer publiquement des informations à propos de leurs propres capacités et limites cybernétiques.
Cette hésitation, associée au manque de mécanismes d’exécution inclus dans les stratégies cybernétiques de l’ANASE, signifie que les cadres de travail cybernétiques du bloc sont difficiles à mettre en œuvre à l’échelle régionale.
Une représentation plus détaillée de ces facteurs au niveau national peut aider le Canada à développer un ensemble d’initiatives de diplomatie numérique plus précis et par conséquent, plus efficace, en Asie du Sud-Est, que ce soit par l’intermédiaire de l’ANASE ou de manière bilatérale.
Cet article explicatif explore les cas de Singapour et des Philippines afin de mettre en lumière la diversité des violations cybernétiques auxquelles doit faire face l’Asie du Sud-Est, la manière dont ces gouvernements réagissent aux menaces en question et les occasions de partenariats supplémentaires avec le Canada dans ce domaine.
Singapour : des menaces sophistiquées gérées par des réponses sophistiquées
Singapour se vante de disposer de l’un des niveaux de numérisation les plus élevés de l’Asie du Sud-Est. Par l’intermédiaire de programmes menés par l’État tels que l’initiative « Smart Nation » (nation intelligente), le pays a poussé à la numérisation des services gouvernementaux en fournissant aux citoyens un accès en ligne à de nombreux services publics. Cela inclut par exemple un système électronique de déclaration des revenus, une application permettant de prendre des rendez-vous médicaux et de vérifier les antécédents médicaux personnels, et un site Web judiciaire permettant aux citoyens d’avoir accès à des documents judiciaires. Ces technologies numériques facilitent la vie des citoyens et soulignent l’objectif plus général du gouvernement de procéder à la numérisation de la cité-État. En outre, en tant que centre d’affaires de l’Asie du Sud-Est, Singapour sert de siège social régional à quelque 4 200 entreprises multinationales.
Ces deux facteurs – la concentration importante de conglomérats régionaux et étrangers, et le niveau élevé de numérisation – en ont fait une cible majeure pour les cybercriminels. Par exemple, en 2018, des pirates informatiques ont volé les informations personnelles d’environ 1,5 million d’individus, y compris celles du premier ministre d’alors, Lee Hsien Loong. Les pirates ont infiltré le site Internet de SingHealth, le plus grand groupe d’institutions de soins de santé de la nation. Les informations volées comprenaient notamment les adresses, les dates de naissance et les numéros des cartes d’identité d’enregistrement national (NRIC) des patients.
L’année suivante, un pirate non identifié a obtenu de manière illégale les informations personnelles de plus de 1 300 diplômés de l’Université Nationale de Singapour. Les données volées comprenaient notamment les numéros NRIC, les numéros de téléphone personnels et professionnels, ainsi que les numéros d’immatriculation des véhicules.
Selon un rapport publié en 2023 par Smart Nation et le Digital Government Office (Bureau numérique gouvernemental), l’agence singapourienne responsable de la mise en œuvre de la transformation numérique du pays, les violations de données gouvernementales sont en augmentation. Dans le secteur public, le nombre de violations est passé de 75 en 2019 à 182 en 2022.
Dans le secteur privé, les violations ont également augmenté, passant à 137 en 2021, contre 89 cas l’année précédente. L’une des violations les plus médiatisées a impliqué le lieu de villégiature Marina Bay Sands qui a été piraté en 2023, exposant publiquement les données personnelles de 665 000 clients.
Quelle a été la réponse de Singapour?
Bien que le statut de centre d’affaires de Singapour en fasse une cible idéale pour les cybercriminels, l’approche proactive du gouvernement a permis de mettre en œuvre des réglementations et de créer des agences afin de contrer le vol d’informations, que ce soit pour les entreprises ou les particuliers. Par exemple :
- En 2013, le gouvernement a lancé le National Cyber Security Masterplan 2018 (plan directeur pour la cybersécurité nationale 2018), qui s’appuie sur les objectifs des plans directeurs précédents en améliorant les capacités de défense cybernétique de la cité-État, tout en renforçant la « résilience cybernétique » par le développement des connaissances des entreprises et des particuliers.
- En 2015, le gouvernement a créé la Cyber Security Agency (CSA, l’agence de cybersécurité) afin de superviser, synchroniser et améliorer les capacités nationales de défense cybernétique. La CSA travaille avec le gouvernement, les industries, les secteurs privés et les particuliers pour améliorer les connaissances cybernétiques de toutes les parties prenantes.
- En 2018, Singapour a mis en œuvre le Cybersecurity Act (loi sur la cybersécurité), qui s’est concentré sur l’identification des « infrastructures d’informations critiques », soit les secteurs qui fournissent des services essentiels tels que l’énergie, les services bancaires et les télécommunications. Selon cette loi, les exploitants d’infrastructures d’informations critiques doivent mettre en œuvre des normes de cybersécurité solides afin de protéger les infrastructures des violations de données et autres cyberattaques.
- En 2021, le gouvernement a modifié le Personal Data Protection Act (PDPA, la loi de protection des données personnelles), qui réglemente la collecte et l’utilisation des informations personnelles des individus, afin de fournir des directives supplémentaires sur la manière de signaler une violation de données. Dans de tels cas, l’organisation concernée doit avertir la Commission de protection des données personnelles. L’organisation doit ensuite avertir les individus concernés et leur fournir les détails des étapes suivies dans le but de traiter cette violation de données.
- En 2023, la loi sur la cybersécurité a été modifiée afin d’y inclure des infrastructures numériques supplémentaires vitales pour l’économie de Singapour. Les infrastructures numériques cruciales au fonctionnement quotidien de la nation – notamment les centres de données, les systèmes de paiement en ligne et les services numériques gouvernementaux – doivent se plier aux protocoles de sécurité décrits dans la loi sur la cybersécurité. Les exploitants d’infrastructures d’informations critiques qui négligent de signaler les cyberattaques « sans excuse raisonnable » sont soumis à une amende pouvant aller jusqu’à 200 000 dollars canadiens ou dix pour cent des revenus annuels de l’organisation.
Les Philippines : les tensions géopolitiques créent de la vulnérabilité sur le plan de la cybersécurité.
La majeure partie des menaces visant la cybersécurité des Philippines découle de leur statut de plaignant dans le conflit de la mer de Chine méridionale, faisant d’elles une cible parfaite pour les attaques provenant d’entités étrangères, en particulier la Chine. Bon nombre des cyberattaques provenant de serveurs basés en Chine visent les institutions gouvernementales des Philippines.
Bien que le gouvernement chinois ait démenti publiquement toute implication, Manille a retracé des cyberattaques jusqu’à des serveurs opérés par la société de télécommunication China Unicom, appartenant à l’État; cet élément de preuve suggère que Beijing a tenté d’obtenir des informations confidentielles et d’affaiblir les institutions gouvernementales. Au même moment, l’absence d’une réglementation plus solide en matière de protections des données a fait de la nation une cible populaire pour les cybercriminels cherchant à voler des données personnelles à des fins lucratives.
Entre 2021 et 2023, l’équipe nationale de réponse aux situations informatiques d’urgence des Philippines a répondu à 3 470 incidents de cybersécurité, dont 61 % visaient des institutions gouvernementales.
En avril 2023, il a été divulgué que la police nationale des Philippines, le Bureau national d’investigation et le Bureau du revenu intérieur avaient tous été piratés. Les dommages comprenaient le vol de 1,3 million de dossiers, y compris des dossiers concernant les employés, des certificats de naissance et des numéros d’identification fiscale. Bien que le nom de l’instigateur de l’attaque ne soit pas connu ou n’ait pas été divulgué, les données volées ont fini par atteindre le marché noir russe. De la même manière, la Philippine Health Insurance Corporation (PhilHealth) a été la cible d’une attaque majeure par logiciel de rançon en 2023, entraînant une violation des données personnelles de jusqu’à 20 millions de membres. Les pirates informatiques ont exigé du gouvernement philippin 405 000 dollars canadiens pour rendre les informations volées, mais ont ensuite divulgué les données en question sur le Web clandestin après n’avoir pas réussi à obtenir une rançon.
En février 2024, le ministère des Technologies de l’information et de la communication a annoncé que le gouvernement avait repoussé avec succès une tentative de cyberattaque sur les serveurs de l’Administration de protection des travailleurs migrants (OWWA). Entre décembre 2023 et février 2024, le DICT a enregistré au moins 17 000 tentatives de piratage informatique visant l’OWWA et a retracé ces attaques jusqu’à des appareils utilisant des adresses IP situées en Chine. Les autres victimes de 2023 comprennent entre autres l’Autorité statistique des Philippines, le ministère des Sciences et des Technologies, et les sites Web du Sénat et de la Chambre des Représentants.
Quelle a été la réponse des Philippines?
En réponse à ces cyberattaques incessantes contre les particuliers et les institutions, le gouvernement philippin a entrepris les actions suivantes :
- En 2016, il a créé la Commission de la vie privée afin de faire appliquer des exigences plus strictes aux particuliers et aux organisations lors de la collecte ou du traitement de données personnelles. Selon les nouvelles directives, la Commission, ainsi que les personnes touchées, doivent être averties dans les 72 heures suivant une violation des données personnelles. Le défaut de notification peut entraîner une amende allant de 12 000 à 24 000 dollars canadiens et une peine d’emprisonnement pouvant aller jusqu’à cinq ans.
- En janvier 2024, ont pris effet les Rules on Voluntary Administrative Site Blocking (règles concernant le blocage administratif volontaire de sites Internet). En vertu de cette loi, les fournisseurs de services Internet sont autorisés à bloquer les sites distribuant du contenu protégé par le droit d’auteur ou des matériaux piratés. En bloquant ce type de contenu, la loi chercher à prévenir les cyberattaques telles que les escroqueries en ligne et les violations de données.
- En février 2024, le gouvernement a approuvé le 2023-2028 National Cybersecurity Plan (plan national de cybersécurité 2023-2028), qui cherche à identifier les infrastructures d’informations cruciales du pays, à développer une base de données nationale des menaces concernant la cybersécurité et à renforcer la réponse en matière de cybersécurité ainsi que les équipes d’investigation.
Malgré la mise en œuvre de réglementations visant à mieux protéger et avertir les individus des violations de données, le cadre de travail cybernétique actuel des Philippines ne permet pas de renforcer ses institutions contre les cyberattaques, qu’elles soient ou non commanditées par des États.
Les mesures techniques et organisationnelles des Philippines ne sont pas, dans l’immédiat, adaptées à la fréquence et à l’intensité des violations de données. Par exemple, à la suite de la cyberattaque contre la PhilHealth, le sous-secrétaire d’État aux Technologies de l’information et de la communication Jeffrey Ian Dy a déclaré que l’équipe nationale de réponse aux situations informatiques d’urgence avait fonctionné au-delà de ses capacités en ayant répondu à jusqu’à 3 000 incidents relatifs à la cybersécurité à l’échelle nationale entre seulement janvier et août 2023. Citant l’importante pénurie de travailleurs et de ressources, M. Dy avait appelé à la création d’équipes de réponse en matière de cybersécurité pour chacune des agences gouvernementales nationales.
Bien que le plan de cybersécurité du pays cherche à bâtir les capacités cybernétiques des Philippines en améliorant la résilience cybernétique locale et nationale par la création d’équipes de réponse aux situations d’urgence cybernétiques locales, il n’existe pas de plan détaillé précisant la date à laquelle ces équipes de réponse seront mises en place.
De quelle manière le Canada aide-t-il à améliorer la résilience cybernétique de l’Asie du Sud-Est?
Conscient de la différence importante dans l’état de préparation des États de l’Asie du Sud-Est, le Canada s’engage actuellement à la fois de manière multilatérale et bilatérale en établissant des partenariats cybernétiques avec l’ANASE et avec des États membres sélectionnés.
En 2023, le Canada a participé à la séance spéciale de la Conférence ministérielle de l’ANASE sur la cybersécurité avec ses partenaires de dialogue de l’ANASE, insistant sur le besoin d’une confiance accrue entre le gouvernement et le secteur privé.
Dans le même temps, le Canada a renouvelé le protocole d’entente sur la cybersécurité entre le Canada et Singapour en 2023, les deux parties acceptant de renforcer la coopération bilatérale pour contrer les cybermenaces locales et internationales par l’échange d’informations, le renforcement des capacités et le développement des compétences.
En 2023, les Philippines et le Canada ont signé un protocole d’entente pour augmenter le degré de coopération entre le Commissariat à la protection de la vie privée du Canada et la Commission nationale de la vie privée des Philippines dans le renforcement des protocoles de protection des données. L’accord inclut un effort conjoint d’investigation lors des violations de données transfrontalières et le partage des connaissances et de la formation sur les sujets concernant la protection des données et de la vie privée. Au cours d’un discours public lors d’un événement de la FAP Canada à Vancouver, le secrétaire des Affaires étrangères des Philippines, Enrique Manalo, a insisté sur la coopération entre le Canada et les Philippines dans les domaines de l’intelligence artificielle et de la cybersécurité.
De la même manière que le Canada a fourni le système de détection des navires sombres aux Philippines pour combattre la pêche illégale qui sévit actuellement dans la mer de Chine méridionale, les partenariats en matière de cybersécurité offrent une réponse pratique supplémentaire aux défis de sécurité non traditionnels qui émergent dans la région. Les cybermenaces devenant de plus en plus complexes et plus fréquentes à l’échelle mondiale, la contribution du Canada à l’amélioration de la cybersécurité de l’Asie du Sud-Est devrait renforcer les liens ANASE-Canada et améliorer la présence d’Ottawa dans cette région importante sur le plan stratégique.