Le monde numérique a évolué, tout comme les mécanismes de confiance et de vérification. Les décideurs, les régulateurs et les professionnels de la sécurité doivent adapter les mécanismes et les principes de confiance existants et créer des cadres stratégiques de cybersécurité à l’approche des métavers.
Les métavers poseront bientôt de nouveaux défis pour la vérification de l’identité et la sécurisation des interactions. Image : Canva
Le métavers promet d’être la prochaine étape de l’internet – une expérience immersive en 4D qui accueillera le commerce, les jeux et de nouveaux environnements numériques. Contrairement au monde physique, qui est limité par les frontières des États-nations et les passeports, le métavers sera sans limites. Et le jour viendra où nous ne pourrons plus imaginer la vie sans lui.
Il est donc temps de se préparer.
Les régulateurs de Singapour et d’ailleurs devront élaborer des cadres politiques pour guider la prise de décision afin de sécuriser le métavers. Bien que l’expérience de l’adoption de l’internet et du cloud ait été riche d’enseignements, le métavers engendrera des défis d’un genre nouveau et inattendu.
En tant que tel, il nécessitera une combinaison de méthodologies de confiance existantes, telles que la confiance zéro et la confiance numérique, pour garantir qu’il reste un espace protégé pour les consommateurs et les entreprises.
Les défis de l’attribution de l’identité virtuelle
L’identité et la confiance sont les fondements de toutes les entreprises. Lorsque vous effectuez une transaction avec une autre personne ou une entreprise, vous faites confiance à l’identité de cette personne, que ce soit par son nom d’utilisateur, les détails de sa carte de crédit ou son passeport. Dans les métavers, nous devrons identifier et faire confiance non seulement à un individu, mais aussi à des avatars, voire à des entités virtuelles qui ne peuvent être reliées à un être physique.
Et les gens profiteront des angles morts, tout comme ils l’ont fait avec le cloud. Au fil du temps, nous avons développé des modèles de sécurité clairs pour l’informatique dématérialisée, avec des modèles de responsabilité partagée qui définissent clairement qui assume la responsabilité de chaque risque de sécurité. Nous devrons bientôt faire de même pour les métavers.
Le défi majeur auquel les régulateurs seront confrontés sera d’attribuer les actions aux personnes. Si quelqu’un vous vole dans les métavers, comment savoir qui est cette personne ? Si un robot IA se faisant passer pour un individu vole une entreprise, à qui pouvons-nous attribuer cette action ?
Cette question ne fera que se compliquer à mesure que l’intelligence artificielle atteindra des niveaux d’intelligence proches de la sensibilité. À ce moment-là, pourrons-nous vraiment attribuer les mauvaises actions d’une telle intelligence à l’humain qui l’a créée afin de protéger les personnes réelles ? Bien que cela puisse être une mesure palliative, une réglementation plus nuancée devra être élaborée pour de tels cas.
Pendant des centaines d’années, nous avons lié l’identité à l’accès, depuis les listes électorales et les recensements dans la Rome antique jusqu’aux noms d’utilisateur et aux mots de passe à l’ère de l’informatique. Avec les métavers, nous entrons dans un monde où les identités virtuelles peuvent se développer, faire des ravages, créer des retombées et être supprimées en quelques millisecondes. Je ne pense pas que nous ayons encore effleuré la surface de ce qui pourrait émerger.
Des mécanismes de confiance zéro pour protéger les consommateurs
Les réglementations excessivement lourdes ne seront pas la solution pour protéger les gens des mauvais acteurs. Au contraire, une politique centrée sur les personnes sera la clé.
À l’heure actuelle, les méthodes de confiance zéro authentifient l’identité d’une personne à chaque étape pour empêcher les mauvais acteurs d’y accéder, afin que seules les bonnes personnes aient accès aux bonnes données.
De la connexion à votre courrier électronique à l’accès à votre compte bancaire, l’authentification multifactorielle vérifie votre identité en envoyant un mot de passe à usage unique sur votre téléphone, en vous appelant ou en demandant un scan facial biométrique.
Dans les métavers, chaque action peut nécessiter un nouveau niveau d’authentification en fonction du risque. Si vous vous baladez dans le métavers, vous n’aurez peut-être pas besoin de vérifier votre identité. En revanche, si vous lancez une transaction, vous devrez peut-être prouver que vous êtes bien la personne que vous prétendez être, grâce à une authentification multifactorielle.
La confiance zéro délimite également des accès différents pour des personnes différentes. Sur le lieu de travail, personne n’a accès à tous les documents. L’accès de chaque personne est plutôt déterminé par les privilèges associés à sa fonction. Un manager peut avoir accès à des modules d’équipe, ce qui n’est pas le cas d’un employé, par exemple.
Ces politiques basées sur les personas seront essentielles pour les régulateurs. Une fois que des personas distincts ont été définis – créateur de contenu, joueur, propriétaire d’entreprise – ils peuvent être plus facilement gérés. Les personas peuvent alors avoir différentes actions et options à leur disposition.
C’est ainsi que les pays pourront réglementer l’accès au métavers en fonction de leur appétit pour le risque, un peu comme les services de streaming proposent actuellement des contenus différents selon les régions et les groupes d’âge. Bientôt, il pourrait y avoir différents « flux » de métavers qui répondent aux exigences de conformité de différents pays pour différents types de personnes.
Des mécanismes de confiance numérique pour faciliter les affaires
La confiance numérique jouera également un rôle essentiel dans le maintien de l’intégrité des métavers. La confiance numérique fait référence à la confiance que les gens ont dans la capacité d’une organisation à assurer la sécurité des données. Cela facilite la confiance entre les entreprises, ce qui facilite à son tour les échanges, le commerce et les chaînes d’approvisionnement. Lorsqu’une entreprise est victime d’une violation de données, cela peut gravement compromettre le niveau de confiance des consommateurs et des autres entreprises.
La blockchain est un moyen pour les entreprises d’instaurer la confiance entre elles. Des entreprises comme Nestlé et Walmart utilisent la blockchain pour enregistrer numériquement les transactions et permettre une transparence de bout en bout. Si un cas de contamination alimentaire se produit, cette richesse de données peut servir à retracer la source de la contamination en quelques secondes, rapporte CNBC.
Lorsque les entreprises commenceront à acheter et à vendre dans les métavers – en particulier des actifs numériques comme les jetons non fongibles – des outils comme la blockchain seront essentiels pour déterminer qui a fait quoi et quand. Ces éléments fondamentaux contribueront à rendre le commerce entre les entreprises transparent.
Les pays devront également s’entendre sur des ensembles communs de normes de sécurité. Les réglementations transfrontalières et les accords intergouvernementaux sont essentiels à la mise en place d’écosystèmes de confiance dans les différentes régions du monde. Par exemple, de nombreux pays et régions, comme l’UE, interdisent aux entreprises de transférer des données personnelles vers d’autres pays dont le régime de protection des données est moins adéquat.
Les mondes virtuels nécessiteront les mêmes audits et traitements que le commerce, ainsi que des centres d’opérations de sécurité capables de protéger le commerce des escroqueries. Il pourrait être nécessaire de créer des personnages automatisés dans les métavers pour effectuer le travail essentiel de gestion de la conformité.
Les techniques de confiance zéro et de confiance numérique seront essentielles pour protéger les personnes et faciliter les activités au sein des métavers et entre eux. À mesure que les différentes plateformes déploient leurs propres métavers, les leçons que nous avons tirées de nos expériences avec l’internet, avec l’adoption du cloud et avec les cadres multicloud émergents seront essentielles.
Des agences comme la Monetary Authority of Singapore adoptent déjà une approche fondée sur des principes et proportionnelle aux risques pour l’adoption de technologies dans les institutions financières. Il est temps de commencer à développer des cadres similaires à mesure que les métavers évoluent.
