Évolution de la sécurité informatique des informations relatives aux actifs numériques et cryptographiques
Les instruments financiers numériques, comme le bitcoin, sont en train d'émerger comme des éléments progressifs des portefeuilles des investisseurs individuels et institutionnels. Bien qu'elle n'en soit qu'à ses débuts, l'annonce du JPM Coin de JP Morgan pour le transfert de fonds institutionnels montre que les titres numériques modelés sur une architecture blockchain sont susceptibles de devenir une partie croissante du paysage financier. Les institutions financières doivent prendre note que les actifs numériques comme les crypto-monnaies introduisent une nouvelle couche de complexité en matière de sécurité de l'information.
Traditionnellement, la sécurité de l'information dans les institutions financières se concentre sur la protection des informations des clients, la prévention des cyber-attaques et la lutte contre la fraude. Lorsqu'il s'agit d'actifs numériques, les entreprises doivent prendre en compte une nouvelle série de questions et de procédures de sécurité. En effet, la forme et la structure des actifs numériques, ainsi que la manière dont ils sont stockés et négociés, sont sensiblement différentes de celles des instruments financiers traditionnels.
Une nouvelle architecture avec de nouvelles exigences de sécurité
Bitcoin a introduit une nouvelle architecture de système pour le transfert de valeur sous une forme numérique native. Cela s'est fait par l'application innovante de systèmes distribués, de nouveaux modèles d'incitation économique et l'application de la cryptographie. L'application de la cryptographie a introduit une couche supplémentaire de complexité par rapport aux exigences de sécurité de l'information d'une entreprise. Les entreprises doivent comprendre la nouvelle architecture et développer de nouveaux processus et systèmes pour répondre à ces exigences.
En outre, les titres numériques ressemblent à bien des égards à l'argent liquide, un instrument au porteur. Cela signifie que la valeur est transférée de manière irréversible au moment de l'échange physique. Autrefois, les instruments financiers tels que les actions et les obligations étaient livrés et stockés au porteur. Ce n'est plus le cas aujourd'hui. L'innovation du bitcoin a été de créer, pour la première fois, un actif numérique au porteur. Cette nouvelle classe d'actifs s'accompagne d'un nouveau risque de transfert irréversible avec l'accès et la rapidité accrus de la sphère numérique.
Une sécurité forte et essentielle car les transactions sont irréversibles
Les transactions avec des instruments numériques sont gérées et effectuées au moyen de "portefeuilles" logiciels. Ces portefeuilles remplissent plusieurs fonctions, notamment la communication et la publication des transactions sur la blockchain du réseau et la gestion sécurisée de l'autorisation d'effectuer des transactions sur un compte désigné au moyen d'une clé privée cryptographiquement sécurisée. Les portefeuilles disposent également d'une clé publiquement visible pour compléter la clé privée. La clé privée est utilisée pour "hacher" ou générer la clé publique. Les clés publiques sont un peu comme un numéro d'acheminement et de compte bancaire. Elles fournissent une adresse pour les transactions, mais ne détiennent aucun droit d'autorisation en ce qui concerne les transactions sur les soldes des comptes. De telles transactions ne peuvent être effectuées qu'en utilisant la clé privée d'un compte.
Toute personne en possession de la clé privée peut effectuer des transactions sur un compte désigné. Étant donné qu'il s'agit d'actifs numériques au porteur, une fois qu'une transaction est exécutée, elle ne peut être annulée. Le contrôle de la clé privée est donc d'une importance capitale du point de vue de la sécurité. Il existe un dicton dans la communauté blockchain : "Si vous ne détenez pas les clés privées, vous ne possédez pas réellement les actifs." L'inverse est également vrai.
Options pour atténuer les risques
Les institutions financières voudront maintenir un support et des procédures de stockage hors ligne sophistiqués, y compris une approche connue sous le nom de "stockage à froid". Le stockage à froid consiste à stocker la clé privée d'une manière déconnectée d'Internet, par opposition au stockage à chaud d'une clé privée sur un ordinateur connecté à Internet. Un exemple de stockage à froid peut être aussi simple que l'écriture d'une clé privée sur un morceau de papier. Il est important de noter que la blockchain bitcoin ne reconnaît pas la différence entre un portefeuille chaud et un portefeuille froid.
Le stockage à froid permet également de mettre en place plusieurs couches de sécurité renforcée. Ces améliorations peuvent inclure un cryptage incrémentiel, une sécurité physique de haut niveau et une protection contre les dommages environnementaux. Les transactions peuvent également nécessiter des signatures multiples, ce qui peut fournir une autre couche de sécurité renforcée. Ces stratégies sont simplement des couches de contrôles auto-imposés que le propriétaire met entre lui et l'accès à ses clés privées.
En entrant dans le monde des titres numériques, les institutions financières doivent être conscientes que la forme et la structure de l'instrument financier sont matériellement différentes de celles des actifs existants et nécessitent une nouvelle approche de la sécurité. Si un attaquant, de l'intérieur ou de l'extérieur, accède à la clé privée et vole les fonds, il est fort probable que ces derniers soient perdus à jamais. Jamais auparavant une chaîne de lettres et de chiffres n'a été aussi attrayante pour un pirate informatique.
Le compromise entre sécurité et commodité
Plus les contrôles mis en place pour l'accès aux clés privées sont nombreux, plus la conduite des affaires quotidiennes est compliquée, mais si trop peu de contrôles sont mis en place, les actifs sont prêts à être cueillis par les pirates et les voleurs. Il n'existe donc pas de solution unique pour la gestion des clés privées et la protection des titres numériques. Une institution doit se poser les questions suivantes pour déterminer correctement ses besoins en matière de sécurité et de processus :
- Où obtenez-vous vos actifs numériques ?
- Quelle est la stratégie de stockage optimale ? Détenus directement ou chez un tiers ?
- Si vous détenez directement vos actifs, quelle est votre stratégie pour vous assurer qu'ils ne seront pas volés ?
- Si vous faites appel à un tiers, quelles garanties allez-vous recevoir pour vous assurer qu'il dispose des contrôles de sécurité appropriés ?
En répondant à ces questions et en travaillant avec un partenaire de sécurité qui comprend cette nouvelle catégorie d'actifs, vous pourrez déterminer la solution de gestion unique nécessaire pour protéger efficacement les actifs sans entraver le flux des activités.
Pour en savoir plus
Écrit par : Jay Schulman – Principal RSM US