Le battage médiatique autour des métavers se poursuit avec plus de questions que de réponses sur la façon dont la cybersécurité, la vie privée, la confiance et l’identité joueront un rôle dans la sécurité des métavers. L’identité décentralisée jouera-t-elle un rôle ? Comment allons-nous sécuriser les identités des machines (logiciels, bots, charges de travail et dispositifs, etc.) ? Qu’en est-il des lois sur les droits d’auteur pour les NFT ? Comment la propriété du contenu sera-t-elle déterminée ? Comment ces questions seront-elles abordées dans le métavers ? Bien que nous ne connaissions pas toutes les réponses, l’adoption de l’informatique en nuage, autre évolution majeure du monde numérique, offre de nombreux enseignements aux responsables informatiques qui préparent leurs entreprises à un autre changement radical potentiel dans la manière de faire des affaires.
Le passage au cloud computing, qui dure depuis une décennie, est riche d’enseignements pour aujourd’hui
Il y a une dizaine d’années, de nombreux visionnaires de l’informatique ont souligné tous les avantages du « cloud », mais il a naturellement fallu du temps pour en arriver là où nous en sommes aujourd’hui. Malgré la promesse du cloud d’améliorer les économies, la sécurité, la flexibilité, la collaboration et même la durabilité, de nombreux chefs d’entreprise hésitaient (et hésitent peut-être encore) à s’en remettre uniquement au cloud.
En réponse, les fournisseurs de services en nuage les plus réputés, tels que Microsoft Azure et AWS, ont veillé à investir considérablement dans la sécurisation de leurs environnements en nuage et continuent d’investir massivement pour atténuer toute inquiétude persistante de leurs clients en matière de confiance, de sécurité et de confidentialité.
De même, le métavers devra faire face aux barrières et aux hésitations à l’adoption qui, pour le cloud, ont pris la majeure partie de la dernière décennie. Alors que nous examinons ce que le métavers signifie pour les entreprises, il y a trois leçons que nous avons tirées de l’adoption du cloud que nous pouvons appliquer aujourd’hui.
Première leçon : S’appuyer sur l’héritage pour prendre en charge les nouveaux environnements est une approche viable.
La sécurité du cloud a emprunté certaines des meilleures pratiques de sécurité existantes, mais pas toutes. Le cloud est un environnement différent et nécessite des outils hautement évolutifs.
Un exemple est le domaine de la gestion des identités et des accès, plus précisément la gestion des utilisateurs privilégiés. Bien que le marché des solutions de gestion des accès privilégiés (PAM) soit sain et en pleine croissance, nombre d’entre elles n’ont pas été conçues pour les environnements multi-clouds hybrides. C’est ce qui a conduit à l’arrivée d’outils axés sur le cloud, appelés CIEM (Cloud Infrastructure entitlements Management). Il s’agit essentiellement de PAM, mais dans le nuage. Certaines organisations doivent désormais utiliser à la fois un ancien outil PAM et un outil CIEM distinct pour gérer les deux environnements.
La sécurisation du metaverse nécessitera une approche hybride similaire, s’appuyant sur les pare-feu avancés et les outils d’authentification multifactorielle existants, ainsi que sur les technologies basées sur la blockchain pour sécuriser une nouvelle vague d’identités décentralisées. Dans le cadre de cette approche, le recours à la technologie de l’infrastructure à clé publique (ICP) est nécessaire pour sécuriser le métavers. Les certificats numériques alimentés par l’infrastructure à clé publique constituent l’étalon-or pour établir la confiance numérique, vérifier et sécuriser l’afflux d’identités numériques, tant pour les humains que pour les dispositifs intelligents traversant le métavers. Cette utilisation de la cryptographie constituera une base technologique importante pour le métavers – et par conséquent, une surveillance sans faille de la cryptographie sera impérative pour éviter des résultats dévastateurs, tels que des pannes et des cyberattaques.
Bien sûr, avec cette utilisation accrue des certificats numériques, un besoin important de solutions automatisées de gestion du cycle de vie des certificats (CLM) aidera à gérer ce nouvel ensemble massif d’identités décentralisées ; sans elles, les organisations se retrouveront rapidement incapables de gérer les nouveaux flux de travail de manière évolutive.
Deuxième leçon : la confiance se gagne en investissant dans la sécurité
Les opérateurs de cloud computing prennent la sécurité au sérieux et, à ce titre, nombre d’entre eux disposent de personnes, de processus et de technologies éprouvés. Pourtant, il a fallu beaucoup de temps pour que les organisations fassent confiance aux opérateurs de cloud computing.
L’une des principales préoccupations des sceptiques du cloud concernait la sécurité des données et des informations sensibles. Ces inquiétudes étaient toutefois déplacées : De nombreux opérateurs de cloud computing exploitent des technologies et des infrastructures que peu d’entreprises pourraient se permettre de construire et d’entretenir elles-mêmes. En outre, Gartner prévoit que 99 % des défaillances de la sécurité du cloud d’ici 2025 seront imputables au client, ce qui signifie que si quelque chose ne va pas, ce n’est probablement pas la faute d’AWS ou d’Azure.
Gestion des données sensibles dans le métavers
Tout comme les opérateurs de cloud ont dû déployer des mesures de sécurité innovantes pour rassurer les clients sur la sécurité de leurs données, les entreprises responsables de la gestion des données sensibles dans le métavers devront donner la priorité aux mesures de sécurité pour garantir la sécurité et instaurer la confiance avec leurs utilisateurs. La gestion efficace des besoins de conformité législative sera la clé de cet effort dans un monde où de nouvelles lois et réglementations autour de la confidentialité et de la sécurité des données sont régulièrement proposées.
Troisième leçon : La souveraineté des données et le stockage des données doivent être soigneusement gérés.
À mesure que les lois sur la souveraineté des données évoluent, de nombreux responsables de la sécurité sont maintenus éveillés la nuit par des pensées nerveuses sur l’endroit où leurs données en nuage sont réellement stockées et sur la question de savoir si elles se trouvent dans un endroit auquel ils peuvent faire confiance et qui est conforme aux exigences des clients ou à la législation locale. Pensez à un cabinet d’avocats dont les clients sont très exigeants quant au pays dans lequel leurs données privilégiées sont domiciliées. Ce cabinet doit avoir une idée très claire de l’endroit où son fournisseur de services en nuage stocke ses données.
Les opérateurs de cloud computing, pour leur part, continuent de lancer de multiples centres de données cloud dans de nombreuses juridictions à travers le monde, afin de prouver que les données de leurs clients sont stockées dans des endroits appropriés.
Le métavers suivra un chemin similaire, en ce qui concerne la confiance et la sécurité. La simple gestion d’un si grand nombre d’identités est un défi et nécessitera des capacités CLM sophistiquées pour gérer l’embarquement et le débarquement dans le métavers d’une manière qui respecte les exigences de souveraineté des données.
Assurer la sécurité alors que le métavers prend forme
À mesure que les entreprises commencent à effectuer des transactions dans le métavers, la sécurité fondée sur l’identité doit être placée au centre de la conception de la sécurité. Avec des milliards d’identités numériques complexes à protéger, le succès du métaverse dépendra de la gestion sûre non seulement de ces identités mais aussi de la technologie de confiance sous-jacente qui sécurise ses clés cryptographiques et ses certificats.
Nous ne connaissions pas tous les problèmes de sécurité et de confiance que le nuage allait devoir résoudre lorsqu’il a commencé à s’imposer il y a dix ans. De même, si nous pouvons anticiper certains problèmes de sécurité qui existent déjà dans le métavers, d’autres n’apparaîtront qu’avec l’usage.
Les organisations ont tout intérêt à s’assurer qu’elles disposent d’une stratégie de sécurité axée sur l’identité afin de se préparer à établir la confiance numérique et à mener leurs activités en toute sécurité dans ce nouveau monde connecté au fur et à mesure qu’il prend forme. Les leçons tirées du passage au cloud ne devraient pas rester lettre morte alors que se déroule le prochain chapitre de l’histoire du métavers.