Compte tenu de la diversité des moyens par lesquels les particuliers et les entreprises peuvent accéder au métavers, y compris les canaux numériques et physiques, l'énorme quantité de données recueillies dans le métavers crée à elle seule une nouvelle génération de problématiques de sécurité.

L'un des plus grands défis inhérents à cette nouvelle frontière des communications sera le développement exponentiel des identités numériques, qui ouvrira de nouvelles portes aux cybercriminels potentiels. Le problème est que les professionnels de l'informatique cherchent encore à maîtriser la sécurisation des identités dans ce monde axé sur le Cloud. Dès lors, bon nombre d'entre eux ne sont pas préparés à gérer l'explosion des identités numériques, qui va découler de l'avènement du métavers. Mais heureusement, il existe une voie à suivre pour y parvenir. En appréhendant le concept d'identité numérique tel qu'il se présente aujourd'hui, et son impact sur le nouveau paysage virtuel, les entreprises peuvent faire face au spectre croissant de ces menaces et tendre vers la résilience numérique.

Décomposer le paysage actuel des identités

La portée du concept d'identité est aujourd'hui phénoménale, et c'est précisément ce dont tirent parti les cybercriminels. Mais il est un facteur négligé par de nombreux professionnels de l'informatique : la façon dont la prolifération des identités rend les organisations plus vulnérables. En raison de l'évolution de nos lieux et modes de travail, de la course au Cloud et de l'augmentation spectaculaire du recours à l'automatisation, la quantité d'identités connaît un essor très rapide.

Ces volumes élevés d'identités proviennent de sources multiples ; ils sont donc non seulement difficiles à gérer, mais constituent également une porte d'entrée idéale pour les cybercriminels, qui cherchent à exploiter les points faibles que les organisations auraient négligés. Selon le Rapport Data Breach 2022 de Verizon (DBIR 2022), 61 % des violations de sécurité constatées au cours de l'année dernière consistaient en des « exploits » sur des informations d'identification. Il est clair que les professionnels de l'informatique et de la sécurité ont du mal à maîtriser le paysage toujours plus vaste des identités. Malheureusement, l'avènement du métavers ne va faire qu'étendre davantage la surface d'attaque des identités.

Ainsi, avec un paysage actuel des identités déjà en équilibre précaire, le métavers va non seulement exacerber les problèmes existants, mais aussi en créer de nouveaux, notamment sur le plan des accès. Les utilisateurs du métavers seront incités à rallier le monde numérique par de nouveaux moyens, qu'il s'agisse d'ordinateurs portables, de smartphones, de casques de réalité virtuelle ou de consoles de jeux. Il en résulte de nouveaux usages, et de nouveaux points d'accès que les cybercriminels pourront exploiter. Les professionnels de l'informatique vont donc devoir faire preuve d'adaptabilité pour définir leurs stratégies de gestion des accès, à mesure que les identités migrent dans le métavers.

L'accès, le respect de la vie privée et la gestion des identités sont autant de facteurs qui vont s'avérer essentiels pour assurer le bien-être et la sécurité des individus et des organisations dans le monde numérique. Kurt Opsahl, avocat général d'Electronic Frontier Foundation, une ONG internationale de protection des libertés et de la confidentialité sur Internet, note qu'en matière de données générées par des technologies gravitant autour du métavers, « le potentiel de manipulation ou d'utilisation abusive de ces données est réel ». Et qui ne serait pas seulement du fait des employeurs, ou bien de collaborateurs naïfs, mais aussi de cybercriminels. Et si l'on se fie à nos antécédents sur le Cloud computing et la transformation numérique, chaque avancée portée par une innovation entraîne une hausse des tentatives d'exploitation frauduleuse, dans les mêmes proportions et avec des répercussions hélas diamétralement opposées.

Pourquoi la résilience numérique s'impose comme le principal enjeu

Alors que la course au monde virtuel se poursuit et que les voies, identités et points d'accès numériques se multiplient dans l'entreprise, « résilience numérique » va s'imposer comme le maître-mot pour 2022. Pour sécuriser ce nouvel environnement, les organisations doivent veiller à ce que tous les individus, et la foison d'identités qui en découlent, bénéficient dès le départ d'un accès aux ressources de l'entreprise et aux données qui soit limité au strict nécessaire.

Une autre façon d'envisager la résilience numérique, et la gestion des identités et des accès en 2022, est de l'aborder sous le prisme du modèle de sécurité "Zero Trust". Sa popularité s'est considérablement accrue depuis le début de l'année 2021. Ce modèle, qui est notamment officiellement plébiscité par le gouvernement Biden, constitue un cadre de cybersécurité éprouvé, à même de contenir très efficacement l'impact d'un cyberincident. Ciblant la mise en œuvre d'une stratégie de sécurité robuste et sélective, le modèle "Zero Trust" élimine les autorisations présentant des vulnérabilités, ainsi que les accès inutiles et ceux offrant une trop grande latitude. Il aide ainsi les entreprises à mieux gérer et sécuriser les identités, les applications et les machines de leur réseau.

En d'autres termes, plutôt que de chercher à déployer un pare-feu, un système de mots de passe ou d'autres formes de défenses périmétriques autour de chaque nouveau point d'accès ou identité défini dans le métavers, les organisations doivent s'efforcer de fixer des limites à l'éventail des possibles, et de traiter chaque identité comme une menace potentielle. À mesure que nous avançons dans ce monde du tout-numérique, hypercollaboratif et de plus en plus interactif, et à mesure que la cybersécurité gagne en complexité et en intensité, il sera d'autant plus essentiel pour les entreprises de limiter et de gérer les accès ; la première pierre de cet édifice étant le modèle "Zero Trust".

Le métavers s'impose petit à petit, et amène avec lui pléthore de nouvelles possibilités pour les acteurs de ce secteur d'activité. Les bons, mais aussi ceux autrement plus malveillants. Mais l'innovation ne doit pas forcément entraîner de telles exploitations frauduleuses. Si les entreprises sont préparées, qu'elles adoptent le modèle "Zero Trust" et qu'elles imposent des limites pour les accès, alors il n'y a aucune raison pour que le monde virtuel ne soit pas aussi un lieu sûr.