Les jumeaux numériques, des représentations virtuelles d'objets réels ou envisagés dans le monde réel, sont de plus en plus utilisés. Leurs utilisations sont multiples et peuvent être incroyablement utiles, en fournissant des modèles en temps réel de biens physiques, voire de personnes ou de systèmes biologiques, qui peuvent aider à identifier les problèmes au moment où ils se produisent ou même avant qu'ils ne se produisent. Selon le cabinet d'études de marché Grand View Research, le marché mondial des jumeaux numériques, évalué à 11,1 milliards de dollars en 2022, devrait connaître un taux de croissance annuel de 37,5 % entre 2023 et 2030. Ce marché est donc appelé à peser plus de 155 milliards de dollars à cet horizon, si on se fie à cette projection.
Mais à mesure que des entreprises étendent leur utilisation des jumeaux numériques et que d'autres en créent de nouveaux, les experts affirment que les organisations augmentent également leur exposition en termes de cybersécurité. Parce que les jumeaux numériques s'appuient sur des données pour créer une représentation précise de ce qu'ils modélisent, ils sont vulnérables. Que se passe-t-il si ces données sont corrompues ou, pire encore, volées et utilisées à des fins malveillantes plutôt qu'aux fins prévues ? « Nous disposons d'un nouvel outil, qui peut être bénéfique, mais qui doit être renforcé, auquel il faut appliquer des mesures de cybersécurité, dont la connexion à l'Internet doit être sécurisée, et dont les données doivent être protégées », résume Brian Bothwell, directeur de l'équipe science, évaluation des technologies et analyse (STAA) du Government Accountability Office (GOA), l'organe chargé du contrôle des comptes publics aux États-Unis, et également auteur d'un rapport du GOA sur les jumeaux numériques en février 2023.
Les jumeaux numériques, vulnérables aux menaces, doivent être protégés
Les experts en technologie et les responsables de la sécurité affirment que les jumeaux numériques peuvent être aussi vulnérables aux menaces existantes que les environnements IT et OT conventionnels. Certains affirment que les jumeaux numériques pourraient non seulement créer de nouveaux points d'entrée pour les attaques visant ces environnements, mais aussi offrir des opportunités pour de nouveaux types d'attaques - y compris ce qu'un expert en sécurité a décrit comme le « jumeau numérique malveillant ». « Ce type de technologie offre de nombreuses possibilités d'infiltration en matière de cybersécurité et de piratage informatique », explique M. Bothwell.
L'intérêt des jumeaux numériques ? Ils permettent de tester et d'analyser le comportement de systèmes réels à l'aide de données provenant du système lui-même. L'objet représenté par un jumeau numérique peut être un objet physique tel qu'un avion, un environnement tel qu'un bâtiment ou une usine de fabrication ou une réplique virtuelle d'un système technique. Il peut s'agir d'un environnement qui existe déjà, avec tous les processus du monde réel simulés par la technologie et dupliqués dans le jumeau numérique, ou d'une réplique des plans de tels objets. Pour certains spécialistes du domaine, un jumeau numérique peut également être un double d'une personne, employé ou persona - une représentation numérique d'une entité individuelle telle qu'un client ou une entreprise.
Des représentations qui changent en temps réel pour correspondre à l'original
Un jumeau numérique n'est pas statique : il reçoit les mêmes données - souvent fournies en temps réel - que son jumeau du monde réel et les modifie en conséquence. Ce type de modélisation s'est avéré très utile dans les secteurs de la fabrication, de l'aérospatiale, des transports, de l'énergie, des services publics, de la santé, des sciences de la vie, de la vente au détail et de l'immobilier.
Quel que soit le secteur, les entreprises utilisent les jumeaux numériques pour effectuer des simulations qui peuvent être réalisées plus rapidement, plus facilement, à moindre coût et avec moins de risques dans le jumeau numérique que dans l'environnement réel. Ces simulations aident les entreprises à comprendre les résultats de divers scénarios, ce qui facilite la planification, la maintenance prédictive, l'amélioration de la conception, etc. Les entreprises peuvent ensuite appliquer à l'objet réel les résultats des simulations effectuées dans leurs jumeaux numériques.
« Les jumeaux numériques présentent de grands avantages, comme la possibilité de surveiller les systèmes en temps réel ou de prévoir ce qui pourrait se produire dans certaines situations », explique M. Bothwell. Mais il y a aussi des risques, des préoccupations et des dangers, que Brian Bothwell met en évidence dans son rapport : « De nombreux secteurs les utilisent pour réduire les coûts, améliorer la conception technique et la production, et tester les chaînes d'approvisionnement. Mais certaines applications, comme la création d'un jumeau numérique d'une personne, soulèvent des problèmes techniques, de confidentialité, de sécurité et d'éthique. »
Extension de la surface d'attaque
Les jumeaux numériques impliquent le même ensemble complexe et la même configuration de technologies que leurs homologues du monde réel, explique Mahadeva Bisappa, architecte principal chez SPR, une entreprise spécialisée dans la modernisation technologique. En d'autres termes, ils sont constitués de la même constellation de systèmes, de puissance informatique (généralement dans le cloud), de réseaux et de flux de données. « Vous devez sécuriser tous les endpoints ; la plateforme cloud - quel que soit le produit que vous utilisez - doit être sécurisée. Et toutes les données qui sont introduites doivent également être sécurisées », explique M. Bisappa. Celui-ci et d'autres soutiennent que les jumeaux numériques élargissent encore la surface d'attaque que les pirates peuvent exploiter. « Un jumeau numérique est une autre application connectée à l'Internet, on y retrouve les mêmes problèmes de sécurité. »
Et l'utilisation croissante des jumeaux numériques pose encore d'autres difficultés, explique Kayne McGladrey, membre senior de l'Institute of Electrical and Electronics Engineers (IEEE), une association professionnelle à but non lucratif, et RSSI de terrain chez Hyperproof. Pour commencer, il explique que les RSSI peuvent ne pas avoir de visibilité sur l'utilisation des jumeaux numériques par leur propre organisation.
Les RSSI doivent savoir quand les jumeaux numériques sont utilisés
« Le RSSI est-il au courant de ce qui se passe ? » interroge ainsi Kayne McGladrey, expliquant qu'il a vu des entités métiers piloter la mise en oeuvre des jumeaux numériques sans consulter l'équipe de sécurité. Comme il le souligne : « Il est difficile d'appliquer des contrôles efficaces à quelque chose dont on ignore l'existence. »
Selon M. McGladrey, les jumeaux numériques soulèvent également des questions d'ordre juridique et réglementaire. Les principales préoccupations concernent la capacité des opérateurs de jumeaux numériques à garantir que les données utilisées dans ces derniers sont traitées de manière à respecter les exigences réglementaires en matière de confidentialité, de protection de la vie privée et même de localisation pour l'hébergement des données. La propriété des données peut également devenir un point problématique si elle n'est pas prise en compte, en particulier si une organisation s'associe à d'autres entités pour gérer ses jumeaux numériques, ajoute-t-il.
D'après McGladrey, certaines organisations ne prennent pas suffisamment en compte ces considérations de sécurité et de gestion des risques, car les équipes métiers et techniques qui utilisent les jumeaux numériques peuvent craindre que l'ajout de certains contrôles de sécurité ou d'un trop grand nombre de contrôles ne ralentisse les performances des jumeaux numériques.
Risques émergents et nouvelles menaces potentielles
Certains experts considèrent que la nature même du jumeau numérique entraîne encore plus de risques. Jason M. Pittman, professeur à la School of Cybersecurity & Information Technology du Campus global de l'Université du Maryland (UMGC), en fait partie. Celui-ci a mis en évidence les risques de sécurité liés à ce qu'il appelle le « jumeau numérique malveillant ». Dans un récent billet blog de l'UMGC, M. Pittman a prédit ce qui suit : « Au cours de l'année à venir, nous assisterons à une augmentation des jumeaux numériques malveillants. Ce modèle de logiciel virtuel malveillant sera utilisé pour renforcer les activités cybercriminelles telles que les ransomwares, le phishing et la cyberguerre hautement ciblée. Ces attaques seront nettement plus efficaces que les méthodes traditionnelles en raison de la spécificité offerte par les modèles de jumeaux numériques malveillants. »
Un pirate pourrait ainsi créer un jumeau numérique d'une personne existante, « l'insérer dans votre environnement, puis observer et participer à votre organisation et ensuite injecter des logiciels malveillants dans l'écosystème », explique M. Pittman. « Cela donne aux pirates un autre moyen d'entrer dans une organisation, et il est peu probable qu'une défense soit en place contre ce type d'attaque. »
Fausser les résultats des simulations
Jason M. Pittman a observé de nouveaux scénarios d'attaques apparaître avec l'usage des jumeaux numériques. Par exemple, si des pirates parviennent à s'introduire dans un tel environnement, ils peuvent soit voler les données, soit, selon leurs motivations, manipuler les données utilisées par le jumeau numérique pour fausser délibérément les résultats de la simulation. Compte tenu des possibilités de tels scénarios, M. Pittman ajoute : « Je pense qu'il s'agit là d'un autre cas où nous propageons la technologie sans nécessairement penser aux répercussions. Je ne dis pas que c'est bien ou mal ; nous sommes humains et nous sommes doués pour ce genre de choses. Et même si je ne pense pas que nous allons voir des catastrophes, nous allons probablement observer des impacts significatifs ».
M. Pittman n'est pas le seul à s'inquiéter des nouvelles menaces que les jumeaux numériques pourraient faire peser sur la sécurité. Lors de ses recherches sur les jumeaux numériques, M. Bothwell a entendu des inquiétudes portant sur la manipulation potentielle des données de ces jumeaux par des adversaires. « Nous ne nous sommes pas penchés spécifiquement sur cette question pour le rapport, mais c'est l'une des questions qui ont été soulevées », explique-t-il, ajoutant qu'il s'agit d'une préoccupation fréquemment mentionnée à propos des données d'entraînement utilisées dans les algorithmes d'apprentissage automatique - un type d'attaque connu sous le nom d'empoisonnement des données.
David Shaw, PDG de la société de cybersécurité Intuitus, met également en garde contre les risques inhérents aux jumeaux. M. Shaw, qui est également coprésident des groupes de travail « fintech », « sécurité et confiance » et « aérospatiale et défense » du Digital Twin Consortium, une organisation à but non lucratif, note que les jumeaux numériques sont utilisés dans certains secteurs depuis de nombreuses années, mais qu'à mesure qu'ils sont associés à un nombre croissant de technologies, les risques augmentent également.
La sécurité doit commencer dès la conception
Par exemple, les technologies de réalité augmentée et virtuelle font de plus en plus partie du paysage des jumeaux numériques, ajoutant une nouvelle couche de vulnérabilité possible et nécessitant des précautions supplémentaires en termes de sécurité. Cependant, M. Shaw explique que la sécurité ne fait pas toujours partie de l'élaboration des jumeaux numériques et qu'elle est plutôt introduite tardivement dans le processus. Selon lui, cela se traduit généralement par des contrôles de sécurité de qualité médiocre. « La sécurité doit être intégrée au coeur même du jumeau numérique que vous construisez. Elle doit être présente dès le départ », ajoute-t-il. « Mais les ingénieurs [qui construisent les jumeaux numériques] et la cybersécurité ont encore beaucoup de travail à faire pour apprendre à travailler ensemble. »
À l'instar de M. Pittman, M. Shaw reconnaît que de nouveaux scénarios d'attaque pourraient voir le jour, notant que les chercheurs ont par le passé identifié de nouvelles techniques d'intrusion dans des bancs d'essai, ce qui indique que de tels scénarios sont possibles. Selon David Shaw la question se pose également de savoir si les organisations pourraient détecter un nouveau type d'attaque développé par les pirates. Dans ce contexte, celui-ci insiste sur la nécessité de rester vigilant et de mettre en place une sécurité proactive. « Nous devons rester attentifs et trouver des moyens de mettre en place des garde-fous pour identifier les comportements anormaux », rappelle-t-il.