Sécuriser le métavers : les défis des pays du Golfe dans le monde réel pour un univers fictif

La prochaine grande nouveauté en matière de transition numérique est arrivée, avec un nom brillant et fantaisiste et la promesse d’avancées passionnantes dans de multiples domaines tels que le marketing, la productivité des entreprises et les interactions sociales.

En fait, le métavers devrait remodeler notre univers avec des applications du monde réel aussi diverses que la créativité humaine le permet, et il semble que les pays du Conseil de coopération du Golfe (CCG) aient pris conscience de la valeur ajoutée de cette nouvelle expérience. Cependant, le métavers pose de nombreux problèmes de sécurité et de confidentialité. Quels sont ces défis, et comment les grands acteurs du métavers prévoient-ils de les relever ?

Les plans des pays du Golfe pour l’adoption du métavers

Dubaï

Dans une démarche sans précédent, l’Autorité de régulation des actifs virtuels (VARA) de Dubaï est devenue le premier régulateur au monde à s’installer dans le métavers en y établissant un siège. S.A. Sheikh Hamdan bin Mohammed bin Rashid Al Maktoum, prince héritier de Dubaï et président du Conseil exécutif de Dubaï, a annoncé que cette mesure visait à réaffirmer la place de Dubaï en tant que leader de la transformation technologique et à « inaugurer une nouvelle ère dans laquelle le gouvernement de Dubaï utilise les innovations modernes pour étendre ses services et son pouvoir de réglementation à des publics situés dans une étendue technologique ouverte, sans contraintes ni frontières ».

En outre, le gouvernement de Dubaï est en train de mettre sur pied un groupe de travail spécialisé dans le cadre d’une stratégie qui devrait apporter une contribution de 4 milliards de dollars à l’économie de Dubaï d’ici 2030. Cette stratégie devrait bénéficier de la capacité du métavers à créer 42 000 emplois virtuels et à accroître la productivité des professionnels dans différents secteurs. Par exemple, les performances des chirurgiens résidents devraient augmenter de 230 %, et la productivité des ingénieurs de 30 %.

Dans une initiative distincte, Emirates, la compagnie aérienne de Dubaï et la première compagnie aérienne au monde à lancer une application de réalité virtuelle dans la boutique Oculus, a également annoncé son intention de créer des expériences de marque dans le métavers, soulignant une fois de plus la valeur marketing offerte par cette technologie.

La compagnie aérienne prévoit également de lancer pour ses clients des NFT à collectionner et des NFT utilitaires.

Le Royaume d’Arabie Saoudite

La construction d’une ville écologique de 500 milliards de dollars s’étendant sur 26 500 kilomètres carrés et fonctionnant entièrement aux énergies renouvelables semble sortir d’un film de science-fiction. C’est pourtant le projet bien réel et contemporain que l’Arabie saoudite a lancé.

NEOM est la version saoudienne d’une ville du futur, une ville intelligente qui servira de centre de tourisme, de technologie, d’innovation et de progrès dans de nombreux domaines tels que la santé, l’énergie, le sport, le design, la construction et l’éducation. C’est là qu’intervient le métavers.

L’Arabie saoudite a annoncé son intention de construire XVRS, qui serait le jumeau numérique de NEOM dans le métavers. Nombreuses sont les applications de XVRS dans le monde réel – si on peut l’appeler ainsi. Le jumeau de NEOM permettra aux visiteurs de découvrir une version numérique de la ville. Ils pourront se promener dans ses rues et admirer ses bâtiments sans quitter leur canapé. Ils pourront également être informés des activités de construction en cours, ce qui leur permettra de personnaliser les logements avant qu’ils ne soient achevés.

En outre, les intérêts des visiteurs du métavers pourraient éclairer les décisions qui seront prises dans le monde réel. L’achat d’un grand nombre d’appartements dans tel immeuble à XVRS pourrait signifier que les ventes d’appartements dans l’immeuble correspondant à NEOM seront probablement élevées en cas de construction.

Et n’oublions pas notre forme d’art moderne, à savoir les jetons non fongibles (NFT). Ils seront vendus sur un marché à XVRS pour être ensuite expérimentés dans les mondes virtuel et physique.

Qatar

Qatar Airways, la compagnie aérienne nationale de l’État du Qatar, est l’une des compagnies du Golfe à avoir compris l’avantage marketing que le métavers offre aux premiers utilisateurs. La compagnie aérienne a construit QVerse, un monde virtuel que les visiteurs peuvent découvrir en allant simplement sur son site.

QVerse permet aux passagers potentiels de faire une visite virtuelle des différentes étapes d’un vol avec Qatar Airways. La visite commence dans la zone d’enregistrement Premium de l’aéroport international de Hamad, où le passager reçoit une carte d’embarquement de la part d’un membre métahumain du personnel de cabine. Ensuite, il monte à bord de l’avion, où il peut visiter la classe économique et la classe affaires.

Bien que les possibilités d’exploration dans QVerse soient limitées et que l’expérience soit encore loin de celle du monde réel, le monde virtuel de Qatar Airways offre néanmoins un aperçu des possibilités qu’offre le métavers.

Les défis de la sécurité

L’introduction d’un nouvel univers s’accompagne d’un nouveau paysage de menaces, pour la plupart inconnues, qui pose une de nombreux problèmes de sécurité, dont certains inédits.

Ceci est accentué par le fait que le métavers traitera d’énormes quantités de données à une vitesse inégalée pour des personnes parfois plus vulnérables, comme les enfants et les adolescents.

Menaces pour la sécurité physique

Lorsque nous dressons la liste des risques les plus importants à prendre en compte, il nous faut commencer par celui qui a le plus grand impact, à savoir la perte potentielle de vies humaines. En effet, certaines applications du métavers reposent sur des interactions entre l’univers virtuel et l’univers physique. Si les utilisateurs ne sont pas totalement conscients de leur environnement physique lorsqu’ils naviguent dans le métavers, ils peuvent se retrouver dans des situations dangereuses. Bien que la plupart des problèmes de sécurité puissent être résolus d’une manière ou d’une autre, il sera intéressant de savoir si la sécurité physique des utilisateurs du métavers sera prise en compte et si oui, de quelle manière.

Usurpation d’identité

Imaginez que votre avatar entre dans le siège d’un gouvernement virtuel pour effectuer une transaction ou dans l’agence virtuelle de votre banque pour demander un prêt… sauf que cet avatar est contrôlé par un imposteur qui effectue des transactions frauduleuses en votre nom.

L’ironie de l’usurpation d’identité (dans le métavers comme dans le monde réel, c’est que ce risque à fort impact peut facilement être réduit grâce à une sensibilisation adéquate des utilisateurs et à des contrôles d’identité et d’accès appropriés, mais que des millions d’utilisateurs dans le CCG et le monde entier ont échoué à maintes reprises. En outre, de nombreuses entreprises avec lesquelles j’ai travaillé étroitement dans le Golfe n’avaient toujours pas pris conscience de l’importance de la sensibilisation des utilisateurs, de la nécessité d’investir dans des contrôles d’authentification multifactorielle adéquats et de disposer d’une architecture de confiance zéro pour protéger les joyaux de l’organisation.

Violation de la vie privée

Alors que certaines organisations voient dans le métavers un moyen d’augmenter les ventes ou la productivité, d’autres acteurs (principalement les plus grands, comme Meta [anciennement Facebook]) sont plus intéressés par les informations privées que les utilisateurs du métavers fourniront volontairement. On peut soutenir que les réglementations sur la confidentialité des données s’étendront au métavers, ce qui donnera aux utilisateurs un certain niveau de confiance lorsqu’ils cliqueront sur « J’accepte » – ou, dans le cas du métavers, peut-être lorsqu’ils appuieront sur un bouton virtuel. Le problème avec cet argument est qu’il passe à côté de deux points majeurs.

Le premier point est que dans les coulisses, même les entreprises les plus réputées sont connues pour enfreindre la loi, et les données des 553 millions de personnes issues du scandale Cambridge Analytica de Facebook devraient servir de rappel pour les années à venir.

Le deuxième point est que l’adoption par le Golfe de réglementations relatives à la confidentialité des données reste lente, bien que certains pays (comme les Émirats arabes unis) aient déjà adopté des lois sur la protection de la confidentialité des données. Le problème ne se situe pas au niveau des gouvernements qui se sont empressés de rédiger les lois, mais plutôt au niveau du respect de ces lois par les organisations. En effet, j’ai personnellement constaté que de nombreuses entreprises du CCG n’étaient pas prêtes à faire face à des changements radicaux dans le traitement des informations concernant leurs clients, surtout dans l’une des régions qui progresse le plus vite et qui est technologiquement la plus avancée.

Infrastructure complexe

Ce qui apporte le « méta » au métavers est la quantité massive de métadonnées qui entrent en jeu. Vos informations, vos préférences, vos intérêts et vos données physiologiques et biométriques sont transmis en temps réel à travers le monde et entre différents services et applications.

Cela nécessite un réseau sous-jacent complexe de services interconnectés. Le niveau d’intégration sans précédent réduit les cohésions, augmente le couplage et accroît considérablement la surface d’attaque. Du point de vue de la cybersécurité, de nombreuses préoccupations apparaissent : l’augmentation de la surface d’attaque réduit la visibilité et complique la modélisation des menaces et l’évaluation des risques. En outre, les contrôles de sécurité entourant les intégrations de systèmes doivent être suffisamment robustes pour protéger les informations sensibles communiquées, mais ils doivent également éviter d’augmenter la latence et de réduire les vitesses de communication lors des interactions en temps réel avec l’univers virtuel.

Gestion de la chaîne d’approvisionnement et des tiers

Alors que la sécurité de la chaîne d’approvisionnement et des tiers est sous les feux de la rampe (avec des incidents comme SolarWinds et Log4j qui ont fait les gros titres ces dernières années), nous pouvons encore voir de grandes organisations mal gérer, voire ignorer complètement, la sécurité des tiers.

Le CCG a connu une évolution récente vers la télémédecine, avant même la Covid-19. Avec l’émergence du métavers, on peut s’attendre à ce que la télémédecine se déroule dans une clinique virtuelle, où les patients sont implicitement convaincus que leurs informations de santé seront protégées par le prestataire de services de santé. Il incombe donc à ce prestataire de s’assurer que les tiers, les membres de la chaîne d’approvisionnement ou les sous-traitants mettent en œuvre des contrôles de sécurité des données adéquats lorsqu’ils traitent les informations du patient.

Je n’ai pas vu cela se produire jusqu’à présent, sauf chez des entreprises qui ont été attaqués à travers un de leurs fournisseurs. Malheureusement, la sécurité des tiers a été abordée de manière réactive. Reste à voir si l’approche de la sécurité des fournisseurs deviendra proactive au sein du métavers.

Ce qui nous attend

Chaque nouvelle entreprise s’accompagne de nouveaux défis, et chaque nouveau défi offre à la communauté de la cybersécurité l’opportunité de se développer et de progresser. Cependant, le métavers et sa dépendance aux informations sensibles constitueront l’épreuve ultime.

Nous saurons bientôt si les organisations ont tiré les leçons des incidents précédents, si elles prendront davantage en considération la confidentialité des informations des personnes concernées et, compte tenu des milliards de dollars d’opportunités qu’offre le métavers, si elles sont prêtes à investir davantage d’argent au bon endroit.