Innovation & Cybersécurité : paradoxales mais pas antinomiques

Quand la Direction des Services de l’Information accompagne l’innovation à l’ère du métavers.

À l’aube d’une nouvelle révolution et alors que tous les secteurs se lancent dans une course effrénée à l’innovation technologique (pour développer de nouveaux produits et services, gagner en efficacité ou améliorer leurs processus)… les DSI se retrouvent face à un dilemme : ouvrir, ou non, leurs portes à une hétérogénéité d’outils et de systèmes, risquant par ce biais, la sécurité de leurs entreprises.

Alors quand nombre d’organisations peinent à innover malgré leurs efforts, la cybersécurité se retrouve au premier rang des coupables, accusée d’être un frein sinon un point bloquant au processus d’innovation. Il n’est donc pas rare de voir des entreprises promouvoir cette innovation technologique en dehors du cadre défini des infrastructures informatiques en place, créant des failles dans la sécurité et s’exposant au risque de cyberattaques. 

Olivier, Responsable Informatique de Komodal répond à nos questions sur le sujet, nous parle de ce paradoxe entre innovation et cybersécurité et expose les bonnes pratiques à mettre en place  quand on veut faire ses premiers pas dans les mondes virtuels !

• Peux-tu nous rappeler la différence entre sécurité et cybersécurité ?

La sécurité, c’est un terme très global : on parle de sécurité des collaborateurs, des investissements, des biens, etc. La cybersécurité, quant à elle, se focalise sur l’outil informatique et tout autre outil, matériel ou système qui a vocation à être exploité par les collaborateurs. Elle consiste en la mise en œuvre d’un ensemble de méthodes, processus, politiques, outils et actions dans le but de garantir un maximum de sécurité contre les potentielles attaques numériques. Concrètement, on peut dire qu’une solution informatique est sécurisée lorsque les méthodes pratiquées par le cybercriminel pour obtenir les données représentent un coût supérieur à ce que l’octroi de ces mêmes données rapporterait.

• Selon toi, quels seront les enjeux cyber pour les années à venir ?

La cybersécurité prend une place de plus en plus importante dans le quotidien professionnel. Une grande majorité des entreprises – pour ne pas dire toutes – sont aujourd’hui connectées et le stockage de données augmente de façon exponentielle. Toutes nos informations sont passées au numérique et les risques ont évolué. Il n’y a pas si longtemps… pour voler les datas d’une organisation, il aurait fallu s’introduire dans le bâtiment, ouvrir les portes, passer les alarmes, trouver la salle d’archives et récupérer le document papier contenant les informations en question ! Aujourd’hui, sans la mise en place d’une sécurité adaptée, on peut accéder à l’ensemble des données en quelques clics, sans sortir de chez soi ! Donc, pour moi, l’enjeu majeur de la cybersécurité est et demeure la protection des données. La data, c’est le graal : c’est ce qui fait la richesse d’une entreprise ; et cette data, sans protection appropriée, peut être volée, vendue, ou même cryptée.

• Avec l’avènement du métavers, la cybersécurité va-t-elle drastiquement changer ou simplement être reproduite dans un nouvel environnement ?

A mon sens il y aura au minimum une réplication des mesures existantes : le métavers, ou du moins ce qu’on en connaît, n’est pas une technologie disruptive de plus, c’est un ensemble de technologies innovantes qui arrivent concomitamment à maturité : donc des technologies que nous connaissons ! Les méthodes de protection actuelles, dans la mesure où elles sont adaptées et régulièrement mises à jour, resteront donc sensiblement similaires. Il est quand même important de noter que l’innovation technologique s’accompagne de cyberattaques croissantes, de plus en plus sophistiquées et créatives ; les systèmes de sécurité traditionnels devenus obsolètes doivent donc être revus pour un monde tourné vers le Cloud et le Métavers.

Les entreprises ont, pour une grande majorité, pris conscience de l’enjeu critique que représente la cybersécurité et beaucoup ont mis en place des pratiques de protection des données poussées, quitte à verrouiller totalement l’accès à nombre d’outils… Certains mondes virtuels, partie émergée de l’iceberg, sont notamment concernés par ce verrouillage. Le métavers tel qu’on le définit aujourd’hui sera un réseau de mondes virtuels interopérables et en temps réel ; l’une des difficultés posées par cette instantanéité est qu’en réduisant le délai nécessaire entre toute interaction, on réduit de la même manière, le temps de faire des vérifications ! Il n’existe et n’existera certainement jamais rien de sécurisé à 100% mais il est essentiel de savoir où mettre son curseur entre solutions innovantes et risques de sécurité.

• Aujourd’hui, quelles solutions de sécurité sont proposées par les éditeurs pour faciliter l’entrée des entreprises dans le métavers ?

Les éditeurs de plateformes, eux aussi conscients de ces enjeux, travaillent sur cette sécurisation du traitement de données, leurs protocoles de sécurité et l’obtention de certifications (eg. ISO 27001 et SOC 2). Les pentests mis en place lors du développement d’une application ou en amont de son déploiement chez un client sont un très bon moyen d’identifier les failles de sécurité pour y pallier et améliorer la solution. 

Ces différents critères, parmi de nombreux autres – le respect du RGPD, le chiffrage ou non des transactions de données, la localisation des serveurs, etc. –  sont d’ailleurs des critères que nous identifions dans notre benchmark de solutions immersives.

• Et inversement, comment les entreprises accueillent-elles cette innovation  ?

Dans une globalité, les entreprises et organisations tendent à aller vers des solutions éprouvées et généralisées dont les risques ont été démontrés très faibles (eg. la suite Microsoft) ou des outils métiers internes hors-ligne, des applications hermétiques qui ne sont disponibles que depuis le réseau interne de l’entreprise ou via un VPN. 

Quand on parle de mondes virtuels, on parle de solutions innovantes parfois peu ou pas matures, récemment développées et peu déployées dans les entreprises : face à ces solutions, les DSI sont encore très frileuses et freinent naturellement lorsqu’il faut les installer sur le matériel interne ou ouvrir des ports pour les faire fonctionner. 

En parallèle, nous percevons un réel besoin exprimé et une volonté des entreprises de prendre en main les technologies du métavers. Les départements innovation, marketing, communication ou même des ressources humaines y voient de nombreux potentiels d’usages. 

Les questions de cybersécurité sont néanmoins rarement abordées, encore moins traitées, dès le lancement des projets, pouvant créer de réelles frictions au moment du déploiement de la solution. 

C’est donc un véritable paradoxe : on veut innover, mais trop souvent on embarque les services informatiques trop tard dans la gestion de projet, qui se retrouve alors bloqué. 

La cybersécurité est indispensable au bon fonctionnement de tout projet innovant, mais elle ne peut pas être un frein.  Il faut donc savoir innover en assumant un risque cyber mesuré et acceptable. Freiner l’innovation ou innover sans intégrer la DSI ne sont pas envisageables pour garantir la pérennité de solutions innovantes, il convient alors de trouver un juste équilibre : les équipes en charge du projet doivent intégrer les enjeux de cybersécurité dès la conception et inversement, la DSI doit être ouverte aux enjeux métiers et s’adapter aux besoins. Une culture d’innovation doit être insufflée de toutes parts dans l’organisation.

• Et toi, étant intermédiaire entre les éditeurs et les utilisateurs, quel est ton rôle dans tout ça ?

Depuis bientôt 3 ans, komodal référence et expérimente les mondes virtuels. Notre benchmark comprend un certain nombre de critères liés à la sécurité et nous permet d’alimenter en informations les entreprises souhaitant se lancer dans le métavers afin de leur donner toutes les clés en main pour prendre des décisions éclairées. Dans le même temps, nous travaillons étroitement avec nos éditeurs partenaires en leur remontant les besoins réels et contraintes des organisations que nous avons accompagnées pour leur permettre une amélioration continue de leur solution. Par exemple, dans un souci de confidentialité et de respect du RGPD, l’un de nos partenaires américains a migré ses serveurs en Europe. Nous avons donc un rôle double à jouer tant vers les éditeurs qui ont besoin des retours utilisateurs que vers nos entreprises clientes, qui souhaitent des garanties en termes de sécurité, avec une finalité commune : poser les pierres d’un métavers éthique et positif.

• Et si on résume, quels conseils pour garantir un maximum de sécurité ?

Comme je l’expliquais plus tôt, il est impossible de garantir une sécurité totale mais il est possible de s’en approcher au maximum en commençant par quelques bonnes pratiques :

1. Maîtriser sa flotte

Le premier axe à travailler est la maîtrise de son parc informatique : chaque hardware doit être protégé des attaques : du smartphone au PC, en passant par le casque VR car tout matériel est susceptible d’être volé ou  piraté si connecté  à internet.

2. Obtenir des certifications

Le second travail à réaliser est aussi technique : il convient de réaliser des pentests pour identifier les failles et mettre en œuvre des normes et protocoles de sécurité permettant d’obtenir des certifications  (eg.  ISO 27001 et SOC 2 déjà évoquées). Ces certifications vérifient la conformité aux bonnes pratiques conseillées en termes de management des systèmes d’information.
L’une de ces bonnes pratiques peut, par exemple, être le système de double authentification, qui renforce la sécurité, est fortement conseillée aujourd’hui et tend à se généraliser.

3. Éduquer les collaborateurs

Le maillon faible, c’est l’humain. Peu importe son poste, chaque personne est susceptible de devenir, involontairement, une faille dans le système en place : que ce soit en communiquant ses identifiants, en acceptant une transaction, en naviguant sur un réseau public, en utilisant les mêmes mots de passe… 

Sensibiliser aux risques et éduquer aux bonnes pratiques permet de faire prendre conscience des dangers : un utilisateur formé, qui a les bons réflexes sur les plateformes classiques, sera un utilisateur aguerri aux pratiques dans les mondes virtuels ! La cyber sensibilisation de tous les collaborateurs est une condition essentielle qui doit être au cœur de toute politique de sécurité.

• Exploration du sujet et pistes de réflexions…

La cybersécurité, c’est une course de fond faite de cycles. Les “black hats” trouvent des failles que les “white hats” doivent pallier en trouvant des solutions. Dès lors que les niveaux de protection sont suffisants, ces techniques de hack deviennent obsolètes. Mais plus les systèmes de protection sont efficaces, plus les moyens mis en place pour les contourner ou les faire céder se perfectionnent. Dans cette course, il faut donc savoir gérer les priorités, garder le rythme et ne pas s’essouffler !

Je me suis ici limité aux composantes techniques de la cybersécurité et des cyberattaques, mais on pourrait explorer le sujet plus loin, en parlant notamment des risques de cyberviolence et de cyberharcèlement dont les ressentis seront sans doute décuplés en immersion dans les mondes virtuels… anticipant ces risques, des solutions ont été développées sur certaines plateformes pour les limiter, comme des zones de sécurité ou le ban d’utilisateurs ; mais est-ce suffisant ?

De la même façon, l’immersion jouera certainement sur notre sensibilité au risque de nous leurrer… on le remarque déjà, à l’ère des réseaux sociaux et des algorithmes, tout est prévu pour impacter nos biais cognitifs. Alors imaginons un peu ce qu’un monde immersif avec des avatars, des stimulis supplémentaires et plus forts, pourrait nous faire croire ?

Avec l’avènement du métavers, nous sommes entrés dans une nouvelle ère de construction au cours de laquelle il va être essentiel de sensibiliser de façon itérative aux risques liés à ces nouvelles technologies, qu’ils soient techniques ou sociaux ; de poser un nouveau cadre légal et éthique à l’utilisation de ces nouveaux outils et de suivre de près, les avancées technologiques qui vont certainement nous apporter de nouvelles réponses. Il me paraît certain que la blockchain deviendra un nouveau maillon indispensable à la cybersécurité de demain. 

On l’a bien vu : la cybersécurité est un enjeu pour tous, aucune organisation ou individu ne peut s’y soustraire. Mais elle n’est pas une finalité en soi : elle n’a de sens que si elle est au service d’une stratégie globale et donc de l’innovation : paradoxales mais pas antinomiques !