L’ouverture du droit allemand aux titres numériques ainsi que la proposition de règlement européen MiCA rendent probable une demande croissante de solutions de conservation pour les crypto-actifs. Cela offre aux prestataires de services financiers de nouveaux champs d’activité et un potentiel de gains.

Actuellement, le secteur national des crypto-monnaies en est à la première vague d’obtention d’une autorisation pour la garde de crypto-monnaies. Dans ce contexte, la gestion des risques informatiques est l’une des principales exigences communiquées par l’autorité de surveillance (BaFin). Dans ce qui suit, ces risques sont illustrés à l’aide d’exemples.

Sommaire

Importance de la conservation des clés

Le stockage de crypto-monnaies est extrêmement intéressant, surtout d’un point de vue technique. Fondamentalement, l’utilisation de la cryptographie asymétrique entraîne la nécessité de gérer les clés (notamment pour la génération, la distribution, les procédures de signature, la garde et la sauvegarde). Il convient de noter que sans clé privée, aucun accès à l’entrée de la base de données et donc aucune disposition de la valeur cryptographique n’est possible. Le service professionnel de conservation des crypto-monnaies permet de faire face au risque que les droits ne puissent plus être exercés en raison d’une manipulation inadéquate de la clé privée.

Actuellement, on observe sur le marché que les fournisseurs de services s’appuient initialement sur des solutions logicielles développées par eux-mêmes (HSM/Multi Sig). Les solutions SaaS ou même les procédures basées sur une plateforme agnostique en matière de crypto-monnaies (notamment MPC) ne sont envisagées que comme une option secondaire. Les raisons en sont, d’une part, des considérations de coût et, d’autre part, la mise en balance de la sécurité, de la flexibilité et de la convivialité.

Illustration des risques liés à la conservation des crypto-monnaies

Les risques dans le secteur de la conservation des crypto-monnaies peuvent se produire au niveau de l’infrastructure, des applications et des processus opérationnels. L’étendue potentielle des dommages lorsque les risques se produisent va des dommages financiers aux dommages immatériels. Des mesures de contrôle appropriées doivent être prises pour prévenir ou atténuer ces dommages. L’objectif de toutes les activités de contrôle est toujours de protéger les crypto-actifs en dépôt.

Pour assurer un niveau de contrôle élevé, il faut une procédure normalisée (conformité) qui s’oriente vers des directives, des cadres et des meilleures pratiques éprouvés. Ce mécanisme d’action est illustré et approfondi dans ce qui suit à l’aide de trois exemples :

  1. les risques liés à l’infrastructure informatique,
  2. Risques liés à l’application et
  3. Risques liés aux processus d’affaires.

Nous utilisons systématiquement les quatre éléments fondamentaux que sont le risque, la sécurité, les contrôles et la conformité comme cadre (approche d’audit RiSi2Ko).

1. risques liés à l’infrastructure informatique

Le premier exemple relève de la catégorie des risques liés à l’infrastructure informatique. Le stockage des crypto-monnaies s’effectue généralement à l’aide de modules de sécurité matériels (HSM), qui permettent de gérer les clés privées et donc de disposer des crypto-monnaies. Si des HSM défectueux sont utilisés, il existe, entre autres, un risque physique de perte irréversible des valeurs cryptographiques stockées. Un contrôle approprié consisterait à tester en permanence le HSM pour en assurer le bon fonctionnement. La norme Federal Information Processing Standard 140-2 (FIPS 140-2) est une norme internationalement reconnue du National Institute of Standards and Technology (NIST) pour tester et certifier la sécurité des modules cryptographiques. Il est donc conseillé de n’utiliser que des HSM qui ont été certifiés avec succès selon la norme FIPS 140-2 dans le contexte du stockage cryptographique. À titre d’exemple, on peut citer les niveaux d’assurance d’évaluation (EAL) des Critères communs (ISO 15408), qui renvoient à des exigences précises pour un audit de sécurité informatique.

2. les risques liés aux applications informatiques

Le deuxième exemple relève de la catégorie des risques liés aux applications informatiques. Lors de l’utilisation d’applications informatiques, il existe toujours un risque inhérent que des fonctions défectueuses de l’application puissent entraîner une perte de données. Les déficiences de l’application peuvent, par exemple, conduire à une exécution incorrecte de l’ordre de décaissement d’un client. Dans le domaine d’application technologique de la crypto-monnaie, une telle erreur serait pratiquement irréversible et aurait certainement des conséquences commerciales considérables. Les mesures de protection logiques comprennent ici une assurance qualité permanente lors de la création, de l’extension et de la maintenance des applications. Pour garantir en permanence un niveau de qualité élevé des applications utilisées, il est conseillé de s’orienter vers des normes de qualité éprouvées en matière de développement de logiciels. La famille de normes ISO 250xx de l’Organisation internationale de normalisation en est un exemple.

3 Risques liés aux processus d’affaires informatiques

Le troisième exemple relève de la catégorie des risques liés aux processus d’affaires informatiques. L’un des principaux risques est qu’une personne non autorisée accède aux clés privées du dépositaire de crypto-monnaie. Pour contrer cela, il est essentiel de comprendre la conservation des crypto-monnaies comme un processus global et pas seulement comme une somme de sous-processus. Les concepts et mesures de sécurité organisationnelle, au sens d’un système de gestion de la sécurité de l’information (SGSI), servent à renforcer le niveau de sécurité du flux de travail du processus de conservation des crypto-monnaies. Un élément central des concepts de sécurité organisationnelle sera un concept d’autorisation approprié conçu pour contrôler l’accès aux ressources du système. Des exemples de questions directrices dans la conception d’un concept d’autorisation sont :

  1. Une matrice rôle-utilisateur est-elle documentée ?
  2. Des combinaisons critiques de droits sont-elles exclues pour des utilisateurs individuels ?
  3. Toutes les activités des utilisateurs dans le cadre de la garde des cryptomonnaies sont-elles enregistrées et restent-elles donc traçables ?
  4. Des notifications automatiques aux propriétaires de processus/audit interne/à la direction ont-elles été programmées pour les activités qui doivent être classées comme critiques ?

La certification du système de gestion de la sécurité de l’information (SGSI) selon la norme internationale ISO/IEC 27001 est une preuve généralement reconnue de la sécurité des processus d’affaires informatiques sous-jacents. Elle est donc difficilement dispensable dans une activité hautement sensible, telle que la conservation des crypto-monnaies.

Entrée sur le marché de la garde des crypto-monnaies

La crytoconservation représente un nouveau domaine d’activité innovant en raison du projet d’ouverture du droit allemand aux titres numériques ainsi que des règles uniformes à l’échelle du secteur au niveau de l’UE.

La multitude de risques technologiques dans le domaine de la conservation des crypto-monnaies doit d’abord être contrée par une analyse appropriée de l’environnement de risque. Pour atténuer les risques identifiés, des mesures de contrôle doivent être prises pour établir un haut niveau de contrôle tout au long du processus de conservation des crypto-monnaies. Pour garantir un niveau de contrôle élevé, il faut une procédure normalisée (conformité) qui repose sur des lignes directrices, des cadres et des meilleures pratiques éprouvés.


M.Sc. Kilian Trautmann est co-auteur de l’article et assistant d’audit informatique chez Flick Gocke Schaumburg GmbH Wirtschaftsprüfungsgesellschaft. Il conseille et audite les prestataires de services de crypto, notamment aussi en ce qui concerne la demande d’autorisation BaFin pour la garde de crypto.