Kaspersky introduit une cyberpolitique pour les appareils bioniques

Le fournisseur de cybertechn technologies Kaspersky est devenu l’une des premières organisations au monde à tenter de relever les défis de sécurité de ce que l’on appelle l’augmentation humaine, en développant et en mettant en œuvre une politique complète conçue pour protéger les utilisateurs d’appareils bioniques sur le lieu de travail.

Les dispositifs bioniques sont définis dans la pratique comme quelque chose qui remplace ou augmente une partie du corps humain avec un dispositif artificiel ou un implant. Cela inclut les technologies médicales telles que les stimulateurs cardiaques, les organes sensoriels artificiels – prothèses visuelles ou auditives – ou les prothèses de membres bioniques, mais aussi les dispositifs tels que les implants à puce et les dispositifs de communication en champ proche (NFC), que certaines organisations ont introduits pour la gestion des identités et des accès (IAM).

Kaspersky a pris des mesures sur la base de craintes légitimes au sein de la communauté de la cybersécurité selon lesquelles, à mesure que de plus en plus d’appareils sont améliorés électroniquement ou connectés à Internet, trop peu d’attention est accordée à leur sécurité, ce qui entraîne de l’incertitude et des risques à la fois pour les utilisateurs et leurs employeurs, et pour le développement futur de cette technologie. Il a largement consulté les groupes d’utilisateurs et d’autres parties concernées dans la conception de la politique et a effectué des tests en conditions réelles avec des employés qui ont fait implanter des puces bioniques.

« L’augmentation humaine est un domaine technologique en plein essor qui reste en fait sous-étudié. C’est pourquoi faire un premier pas vers la clarification des questions liées à son utilisation, ainsi que le renforcement de la sécurité, nous aidera à nous assurer que son potentiel est utilisé de manière positive », a déclaré Marco Preuss, directeur de l’équipe européenne de recherche et d’analyse mondiale (GReAT) de Kaspersky.

« Nous croyons que pour construire un monde numérique plus sûr pour demain, nous devons sécuriser numériquement l’avenir de l’augmentation humaine aujourd’hui. »

Le document proposé, dont une copie a été partagée avec Computer Weekly, sera appliqué à l’ensemble de l’infrastructure d’entreprise de Kaspersky et à diverses unités, y compris tous les membres du personnel et les employés de tiers fournissant des services contractuels. Il couvre les aspects de la sécurité de l’organisation, y compris le contrôle d’accès, les processus d’administration et de maintenance, et l’utilisation de systèmes automatisés.

Voici quelques-unes des politiques suivantes :

• L’introduction de zones de sécurité à code couleur sur les sites Kaspersky, et comment les puces NFC peuvent être utilisées pour accéder à chaque niveau, du stationnement des visiteurs aux halls et aux espaces communs, en passant par les zones sensibles telles que les salles de serveurs.
• Spécifications de sécurité à appliquer aux puces NFC, y compris l’ID de l’appareil, et si l’appareil prend en charge ou non des normes de cryptage cryptographiques strictes.
• Procédures de gestion des correctifs pour les dispositifs bioniques, avec une échelle mobile de hiérarchisation basée sur les scores CVSS des vulnérabilités divulguées.
• Conseils pour les employés avec des prothèses bioniques, des organes internes ou des organes sensoriels, couvrant des situations telles que le passage à travers des détecteurs de métaux lorsqu’ils sont utilisés.
• Conseils pour les employés qui peuvent avoir un appareil bionique, comme une aide auditive, qui est capable de recueillir des informations, en enregistrant des fichiers audio ou vidéo, ou en utilisant des interfaces intégrées telles que GPS ou Wi-Fi.
• Conseils pour les employés ayant des implants bioniques qui peuvent avoir besoin d’accéder à des endroits où le rayonnement électromagnétique est élevé.

Kaspersky espère que ses nouvelles politiques amélioreront à la fois sa posture de cybersécurité et amélioreront l’inclusion au sein de l’entreprise, car de nombreux utilisateurs d’appareils bioniques s’identifieront comme handicapés.

Il espère également qu’il pourra être utilisé comme point de départ pour engager davantage la communauté informatique et de l’augmentation humaine autour des questions de sécurité liées à la technologie bionique, en ennçant des conversations sur la confidentialité numérique et les droits d’accès, et en atténuant les menaces liées à la santé.