Quels cyber risques dans le Metaverse ?

Extension de la surface d’attaque potentielle

L’utilisation grandissante de ces plateformes, comme toute transition technologique, demande la réplication des réflexes de cybersécurité des entreprises sur cette nouvelle surface d’attaque potentielle. Les risques cyber préexistants au Metaverse tels que les fuites de données ou dénis de service, demeurent en effet avec celui-ci.

Avec chaque évolution technologique apparaissent des enjeux propres et certains risques cyber spécifiquement prégnants dans le Metaverse, du fait de la particularité des cas d’usage.

Risques d’accès illégitime aux actifs de l’entreprise

Le Metaverse étant une technologie connectée, il constitue une porte d’entrée vers le SI des entreprises et leurs données.

Les plateformes d’entreprise visant à améliorer l’expérience employé en sont un bon exemple. Pour les entreprises, le Metaverse peut renforcer l’engagement des collaborateurs : les ateliers animés dans ces espaces immersifs leur permettent d’interagir via des avatars, procurant un sentiment d’immersion. De la même façon, les collaborateurs peuvent y monter rapidement en compétences, grâce à des simulations réalistes et des exercices interactifs.

L’accès à ces plateformes par des employés nécessite l’utilisation de leurs identités, associées à d’autres niveaux de privilèges sur le reste du SI de l’entreprise. Le risque d’usurpation de leurs identités fait alors du Metaverse un point faible d’introduction au système, puis de gain en privilège jusqu’à potentiellement l’accès à des données sensibles.

En particulier, les plateformes industrielles concentrent directement certaines de ces données sensibles. Dans le domaine de la fabrication, le Metaverse révolutionne les processus en permettant la conception virtuelle de produits dont les jumeaux numériques, réduisant ainsi les coûts de prototypage et permettant de simuler le comportement du produit. Dans le domaine de la production, des lignes de production entières peuvent être conçues digitalement et paramétrées à distance pour faciliter la surveillance des opérations. Par conséquent, la sécurité de ces actifs est cruciale pour éviter le vol ou la contrefaçon. Par exemple, un brevet pourrait être copié et vendu illégalement dans d’autres environnements virtuels, entraînant une perte de valeur pour l’entreprise créatrice.

Risques d’atteinte à la réputation de l’entreprise exposée

Grâce au Metaverse, les entreprises peuvent désormais créer des environnements virtuels captivants qui transforment l’expérience client. Des showrooms virtuels s’appuyant sur la réalité virtuelle permettent aux clients d’explorer et d’interagir avec les produits de manière réaliste, tandis que des essais virtuels s’appuyant sur la réalité augmentée leur permettent de visualiser les produits dans leur propre environnement. Les événements virtuels offrent également une opportunité de se connecter avec un public international, éliminant les contraintes géographiques.

Néanmoins, plus l’exposition est forte, plus des individus ou organisations malveillants pourraient être tentés de prendre l’événement comme cible. Une attaque par défiguration, c’est-à-dire la modification non autorisée de l’apparence visuelle ou de l’interface d’une zone dans le Metaverse, peut être utilisée pour sabotage ou diffusion de messages. Par exemple, si une maison de luxe organise un défilé privé dans le Metaverse, des hacktivistes pourraient réaliser une action de défacement pour dénoncer certaines de ses pratiques (inaction écologique, procédés de fabrication…), entraînant un impact réputationnel considérable se traduisant par des pertes financières pour la marque.

Les cyberattaques via ces plateformes particulièrement exposées peuvent fortement impacter la confiance des clients et partenaires commerciaux.

Gestion des identités et des accès

Quels que soient les cas d’usage du Metaverse pour une entreprise, les prérequis en matière de cybersécurité restent les mêmes. Une posture cyber renforcée, c’est-à-dire l’atteinte d’un bon niveau de maturité et des capacités en matière d’identification, protection, détection, réponse et rétablissement, assure un cadre solide pour l’utilisation Metaverse.

En particulier, la gestion des identités et des accès est à considérer avec attention. Les propriétés immersives du Metaverse requièrent un renforcement de la gestion des identités par les entreprises afin d’assurer la continuité de leur politique dans le Metaverse. Afin de garantir la protection des actifs exposés dans le Metaverse, les entreprises doivent appliquer le principe de moindre privilège, voire les principes de Zero Trust, si ce virage stratégique a été adopté.

Résilience et transparence

Les entreprises doivent porter une attention particulière à leur réputation numérique et plus largement à la confiance qu’elles inspirent à leurs clients. Cela passe notamment par des infrastructures résilientes testées régulièrement et à une totale transparence vis-à-vis de la gestion et sécurité des données et actifs.

Enfin, l’entreprise doit appliquer son cadre de gestion du risque lié aux prestataires tiers lors de la sélection et tout au long de l’utilisation d’une plateforme Metaverse.