ISACA Journal
Volume 4, 2,018 

Translated Articles 

Les promesses et les dangers de la technologie Blockchain 

Phil Zongo 

L'idée du registre partagé qui a fait irruption sur la scène publique en 2008 avec la publication du fascinant livre blanc, Bitcoin : Un système de paiement électronique partagé,1 est passé du battage médiatique à la réalité beaucoup plus rapidement que ne le prévoyaient de nombreux experts. L'auteur du papier a disparu peu après l'introduction du concept ingénieux de cryptographie, racontant à un autre développeur de Bitcoin en 2011 qu'il s'était « lancé dans d'autres choses. »2

La technologie naissante qui a été introduite avec 31 000 lignes de code3 a maintenant nettement dépassé son objectif initial. Au moment d'écrire ces lignes, CoinMarketCap, un site Internet de suivi de la capitalisation boursière de crypto-monnaie, répertoriait 731 pièces de monnaie et 562 jetons dont Marijuanacoin, Cabbage, SatoshiMadness, PonziCoin, Monster Byte et plusieurs autres noms absurdes.4

Confirmant la manie de la crypto-monnaie, une start-up appelée Brave a récemment généré 35 millions de dollars américains en environ 30 secondes lors d'une offre initiale de pièces de monnaie pour financer le développement d'un nouveau navigateur Web.5 Inspirées des offres publiques initiales traditionnelles (IPO), les offres initiales de pièces de monnaie sont une nouvelle méthode de générer des capitaux par laquelle les start-up accordent aux investisseurs des jetons numériques en échange de crypto-monnaie tels qu’Ether ou Bitcoin. Ether est la crypto-monnaie qui alimente le réseau Ethereum, une plate-forme décentralisée qui exécute des contrats intelligents sur une blockchain, appelée Ethereum Blockchain.6 Toutefois, contrairement aux offres publiques initiales, la majorité des offres initiales de pièces de monnaie est soigneusement conçue de manière à ne pas être classée dans la catégorie des actifs financiers car elles invoqueraient automatiquement plusieurs clauses de réglementation financière.

Cette technologie sous-jacente à Bitcoin et aux autres monnaies virtuelles, appelée blockchain, est un registre ouvert et distribué qui permet à deux parties indépendantes d'échanger n'importe quelle valeur (comme la propriété intellectuelle, les titres de propriété ou la monnaie virtuelle) sans avoir besoin d'une autorité centrale telle qu'une banque.7 Les transactions Blockchain sont périodiquement validées et ajoutées chronologiquement au bloc précédent en utilisant une paire de clés cryptographiques asymétriques. Contrairement aux bases de données traditionnelles, les blockchains sont distribuées à de nombreux participants du réseau. Ils n'existent pas dans un référentiel centralisé.8 Les blockchains peuvent être utilisées dans des environnements publics et privés.

Cependant, les cas d'utilisation de blockchain s'étendent bien au-delà du domaine de la crypto-monnaie. Cette technologie est indéniablement destinée à redéfinir plusieurs industries. Le secteur des soins de la santé, par exemple, convient parfaitement. Grâce à sa vertu fondamentale d'architecture décentralisée, blockchain devrait supplanter les systèmes des soins de la santé qui sont archaïques, fragmentés et hétérogènes, renforçant ainsi l'interopérabilité des données des soins de la santé.9 De plus, en créant « une base de données commune sur les informations médicales auxquelles les médecins et infirmières peuvent accéder quel que soit le système médical électronique utilisé »,10 blockchain fournira aux médecins une vue complète des dossiers séquentiels des patients, améliorant ainsi la qualité des soins tout en réduisant les coûts.

Le monde complexe des produits dérivés, des swaps et des contrats à terme est un autre secteur d'activité privilégié pour la perturbation de blockchain. Au sein de ce secteur, l'existence de « versions multiples de la vérité » entraîne des inefficacités et des coûts considérables par le biais d’ajustements, de traitement des exceptions et d'interventions manuelles.11 Par exemple, la Depository Trust & Clearing Corporation (DTCC), un géant des services financiers traitant les transactions différées, basée à New York (États-Unis), traite au quotidien 100 millions de transactions de compensation et de règlement représentant des milliers de milliards de dollars américains. La DTCC exécute une preuve blockchain de concept pour permettre à ses clients et à elle-même « de rationaliser, d'automatiser et de réduire les coûts du traitement des produits dérivés en éliminant le besoin de capacités de traitements redondants et disjoints et les coûts associés aux ajustements. »12

Compte tenu de la pénétration, de l'ampleur et de la crédibilité de cette technologie florissante, il n'est pas étonnant qu'un penseur de premier plan ait assimilé l'importance stratégique de la blockchain à celle du World Wide Web en disant que blockchain « pourrait permettre à l'Internet de revenir à ses racines, un système plus décentralisé, plus ouvert, plus privé, plus équitable et plus accessible ».13

Le potentiel et les avantages de cette technologie émergente sont convaincants. Cependant, le registre partagé comporte également des risques complexes et cachés. Les gouvernements, les entreprises et les individus peuvent faire des erreurs stratégiques en ignorant ou en sous-estimant les inconvénients de la blockchain. Les sections suivantes explorent en profondeur les trois défis fondamentaux auxquels les entreprises sont confrontées lorsqu'elles adoptent blockchain : l'absence de réglementations claires, des vulnérabilités de sécurité et l'interopérabilité avec les systèmes de base existants.

L'absence d'un cadre réglementaire

Pour apprécier l'importance de cette question, il convient de réfléchir brièvement à quelques moments historiques qui ont donné naissance et influencé la réglementation des valeurs boursières, en particulier aux États-Unis (figure 1). À la suite de l'effondrement de la bourse en 1929 et de la Grande Dépression qui a suivi, le Congrès américain a adopté la Loi de 1933 sur les titres et la Loi de 1934 sur la bourse. Ces règlements visaient à restaurer la confiance du public dans les marchés financiers. Parmi une foule d'exigences, les deux lois exigeaient que les organisations fassent d'importantes divulgations financières lorsqu'elles offraient des titres à la vente au public. Elles interdisaient également toute une gamme de pratiques trompeuses.


View Large Graphic

Dans les années qui ont suivi, le gouvernement américain a promulgué plusieurs lois supplémentaires pour renforcer la gouvernance des marchés des valeurs boursières et pour protéger les investisseurs. Celles-ci comprenaient, entre autres, la Loi de 1939 sur les fiducies (réglementation des titres de créance), la Loi de 1940 sur les sociétés de placement (réglementant les fonds communs de placement) et la Loi de 1940 sur les conseillers en placement (réglementant les conseillers en placement).14 Environ 70 ans plus tard, en réponse aux rapports financiers mensongés d’Enron, de WorldCom et de Tyco qui ont ruiné plusieurs investisseurs, George W. Bush, alors président des États-Unis, a signé la loi Sarbanes-Oxley de 2002 (SOX). Nommé d'après les deux sénateurs américains qui l'ont parrainée, SOX a exigé des réformes strictes pour améliorer les divulgations financières des entreprises et contrecarrer la fraude comptable.15

Certes, les réglementations financières ont leurs imperfections. Les opposants affirment qu'elles engendrent des inefficacités et entraînent des coûts inutiles qui sont souvent assumés par les investisseurs. Mais, malgré des déceptions occasionnelles, la réglementation des valeurs boursières continue d'isoler les entreprises trompeuses des investisseurs, renforçant ainsi la confiance du public dans les marchés financiers et favorisant la prospérité à long terme. Les informations pertinentes prescrites par ces lois, telles que les comptes financiers audités, les stratégies, les risques et la gouvernance, permettent aux investisseurs d'aligner leurs stratégies d'investissement sur leur goût pour le risque et leurs circonstances personnelles.

Mais, jusqu'à récemment, il y avait très peu de lois globales régissant les monnaies numériques et les offres initiales de pièces de monnaie. Les autorités sont toutefois conscientes de ce problème et commencent à agir. Les réponses sont disjointes et sporadiques. Des pays comme la Chine et Hong Kong ont interdit les offres initiales de pièces de monnaie. Dans le même temps, des pays comme l'Australie, la Suisse et les États-Unis ont publié des directives définissant les circonstances dans lesquelles une offre initiale de pièces de monnaie est considérée comme un titre.16 La Securities and Exchange Commission des États-Unis (SEC) a également réprimandé publiquement des célébrités qui ont fait la promotion inconsidérée d’offres initiales de pièces de monnaie via leurs comptes Twitter. La Banque centrale du Nigéria, l'une des plus grandes économies d'Afrique, s'est distancée de la réglementation Bitcoin en déclarant : « la banque centrale ne peut pas contrôler ou réglementer le bitcoin. La banque centrale ne peut pas contrôler ou réglementer la blockchain. De la même manière que personne ne va contrôler ou réglementer l'Internet. Nous ne le possédons pas. »17 Plusieurs autres pays se démènent encore pour trouver une solution à ce nouveau défi. Les quelques exemples cités mettent également en évidence la nature divergente des réponses réglementaires. En conséquence, en raison de la nature virtuelle et de la portée mondiale des offres initiales de pièces de monnaie, les investisseurs du monde entier peuvent participer à une offre initiale de pièces de monnaie. Ceci peut entraîner des conflits de lois entre les juridictions.18 Cela signifie que si les investisseurs souscrivent à une offre initiale non enregistrée de pièces de monnaie dans leur pays et que les choses tournent mal, les lois locales ne feront pas grand-chose pour les protéger.

Les réglementations globales et inégales ont créé un risque important pour les consommateurs et des échappatoires flagrantes à exploiter pour les gens malintentionnés. Ce vide est assez troublant mais pas surprenant. Le mépris pour la gouvernance centralisée est intentionnel. Ce n'est pas une omission de la part des créateurs de la crypto-monnaie. Inventé peu après la crise financière mondiale de 2007, l'intention initiale du Bitcoin était d'agir en tant que contre-pouvoir auprès des gouvernements centraux, des grandes banques et d'autres systèmes politiques, un concept appelé crypto-anarchie. Cependant, ce que les crypto-anarchistes n'ont pas prévu, c'est que le code et la cryptographie ne peuvent pas à eux seuls protéger les investisseurs contre les inévitables transactions personnelles, la cupidité et les autres transgressions du monde commercial. Comme on pouvait s'y attendre, trois défis tenaces ont émergé.

L'explosion des escroqueries Ponzi
Premièrement, les vides réglementaires et la confusion sur le marché connexe ont inévitablement attiré les faux-monnayeurs et les escrocs Ponzi. Grâce à des promesses de rendements extraordinaires, les entreprises prédatrices et frauduleuses s'en prennent aux investisseurs naïfs. Elles disparaissent ensuite après la fermeture de l'offre initiale prétendue de pièces de monnaie. Les investisseurs sans méfiance sont souvent laissés avec très peu ou pas de possibilité de récupérer leurs fonds durement gagnés. Comme Reuters l'a souligné :

...la récente vague d'offres initiales de pièces de monnaie qui a généré des millions de dollars a attiré des propositions d'affaires douteuses et carrément des escroqueries ainsi que des spéculateurs cherchant à échanger des pièces contre des gains rapides.19

Un exemple inquiétant provient de OneCoin, une société frauduleuse basée en Inde dont la blockchain prétendue « consistait en une feuille de calcul Excel glorifiée et un portail fugazi qui présentait des fausses transactions. »20 En avril 2018, des agents financiers indiens ont perquisitionné OneCoin. Ils ont saisi 2 millions de dollars américains et ont arrêté dans la foulée 18 représentants d’OneCoin. Au moment du raid, OneCoin qui se présentait comme « le prochain Bitcoin » aurait siphonné au moins 350 millions de dollars de fonds frauduleux via un processeur de paiement en Allemagne.21

Des données insuffisantes pour évaluer la performance de l'offre initiale de pièces de monnaie
Il est juste de dire qu'un grand nombre de start-up ne cherche pas à créer des offres initiales frauduleuses de pièces de monnaie. Cependant, dans la plupart des cas, les offres initiales de pièces de monnaie sont établies pour financer des futurs envisagés ou des idées imaginaires. La plupart des crypto-jetons vendus au public n'ont aucun antécédent, aucun produit éprouvé et aucun actif dans leur bilan. Cette lacune a également été soulignée par l'Autorité fédérale de surveillance financière allemande (BaFin) qui a mis en garde les consommateurs : « typiquement, les projets financés par des offres initiales de pièces de monnaie sont encore dans la plupart des cas à des stades précoces et expérimentaux et leurs performances et leurs modèles commerciaux n'ont jamais été testés. »22

Sans données historiques de performance ou de projections crédibles de flux de trésorerie, il est difficile pour les investisseurs de comparer les valorisations des offres initiales de pièces de monnaie. Une fois que les idées s'avèrent irréalisables, le projet d'offres initiales de pièces de monnaie peut avoir perdu une part importante du capital, laissant les investisseurs sans recours. Ces problèmes flagrants ont attiré l'attention de Vitalik Buterin, le cofondateur d'Ethereum et de Bitcoin Magazine, qui a déclaré lors de l’Ethereum Hackathon en 2017 à Waterloo, au Canada, que 90 % des offres initiales de pièces de monnaie allaient partir en faillite.23 Cette déclaration était particulièrement sombre car Buterin lui-même a un intérêt important dans le jeu.

La complexité accrue des accords basés sur des contrats intelligents
La majorité des offres initiales de pièces de monnaie fournissent des livres blancs ainsi que des termes et conditions articulant la philosophie sous-jacente et l'accord formel entre les investisseurs et l'émetteur de l'offre initiale de pièces de monnaie. Les accords stipulés dans les termes et conditions de l'offre initiale de pièces de monnaie sont régis par des contrats intelligents, des programmes auto-exécutables, qui automatisent le transfert d'actifs numériques une fois que les conditions sous-jacentes sont remplies sans passer par une autorité centrale. Mais, comme avec n'importe quel autre logiciel, il y a un risque accru que le contrat intelligent « s'exécute prématurément parce qu'il interprète mal les circonstances »24 ou parce que le code ne reflète pas fidèlement les attentes des investisseurs. La façon dont les contrats intelligents sont codés dépasse la compréhension de plusieurs investisseurs. En outre, les développeurs de code peuvent infuser leurs biais dans le code ou introduire involontairement des codes défectueux. Ces deux facteurs peuvent conduire à des résultats indésirables ou imprévus, souvent au détriment de l'investisseur.25

Cette complexité est encore aggravée par l'utilisation répandue de crypto-jargons dont certains sont insondables, même par des experts en informatique, tels que segwit, altcoins, halving, multsig, proof of stake et un assortiment d'autres jargons complexes. Par conséquent, la plupart des investisseurs ne peuvent pas interpréter les règles codées et ne comprennent pas entièrement les implications de ce qu'ils signent et de ce pourquoi ils sont d'accord. Compte tenu de ces incertitudes, il n'est pas surprenant que Warren Buffet, le chef respecté de la direction et président de Berkshire Hathaway, se distance publiquement des crypto-monnaies, en disant : « j'ai suffisamment de peine à comprendre les choses dont je sais quelque chose. Pourquoi donc devrais-je prendre une position longue ou courte dans quelque chose dont je ne sais rien ? »26

La fermeture des échappatoires réglementaires

Si une leçon importante peut être tirée de l'histoire, c'est ceci : L'irrationalité et les excès actuels du marché de la crypto-monnaie réglementée de façon incohérente rappellent un peu les malversations qui ont précédé la crise financière de 2007. Comme l'admettait le rapport d'enquête sur la crise financière du gouvernement américain, « la crise était le résultat de l'action et de l'inaction de l'homme et ne provenait pas de causes naturelles ou de modèles informatiques détraqués. »27

La liste croissante de malversations financières de haut niveau continue de véhiculer un message clair et net : Les investisseurs vont subir de lourdes pertes de leurs expositions sur les marchés de l'offre initiale de pièces de monnaie à moins que les gouvernements n'interviennent. Le bref exposé précédent sur l'évolution de la réglementation des valeurs boursières aux États-Unis indique que les organismes de réglementation ont historiquement adopté ou resserré les lois après que les consommateurs ont subi de lourdes pertes. Cela ne devrait pas être le cas avec les crypto-monnaies. Comme discuté précédemment, tergiverser ou supposer que l'industrie de la crypto-monnaie va s’auto-réglementer serait naïf et consisterait à fermer les yeux sur les intentions originales des inventeurs de la crypto-monnaie, comme discuté précédement.

Une interdiction pure et simple des offres initiales de pièces de monnaie pourrait cependant être imprudente. Si elles sont bien exploitées, les offres initiales de pièces de monnaie offrent une alternative viable aux start-up pour générer des capitaux pour financer des projets stratégiques. Comme l'affirmait un expert, « ...il serait dommage que les offres initiales de pièces de monnaie disparaissent aussi vite qu'elles sont apparues à cause de réglementations excessives car elles pourraient être très utiles ».28 D'autre part, émettre des reproches voilés à des célébrités ne représente qu'une démarche sans aucune substance. Les organismes de réglementation pourraient, par exemple, s'inspirer de l'Autorité des marchés financiers du Canada (AMF), l'organisme de réglementation financière de la région du Québec. Dans une action sans précédent en 2017, l'AMF a étendu ses réglementations aux offres initiales de pièces de monnaie en exemptant certaines des exigences strictes d'enregistrement de titres, comme l'émission d'un prospectus aux investisseurs ou l'inscription en tant que courtiers de titres.29

Permettre aux offres initiales de pièces de monnaie de fonctionner dans un cadre réglementaire comporte deux avantages distincts :

  1. Premièrement, cela offre au marché de l'offre initiale de pièces de monnaie une ouverture cruciale pour mûrir sans en étouffer son potentiel.
  2. Cela offre aux organismes de réglementation l'opportunité de se familiariser avec les possibilités et les risques associés à ce concept naissant. En retour, cela leur permet d'élaborer des réglementations pragmatiques.

Il est également important que les organismes de réglementation adoptent des lois qui interdisent aux fonds de retraite et aux autres fonds communs d'actifs publics d'investir dans des crypto-monnaies volatiles et incertaines ou dans des offres initiales de pièces de monnaie. Si les fonds publics prennent d'importantes expositions à la crypto-monnaie et que les choses tournent mal, les risques qui en découlent pourraient gravement nuire aux économies. De même, les conseils d'administration devraient définir explicitement les conditions dans lesquelles leurs entreprises peuvent investir dans des crypto-monnaies ou des offres initiales de pièces de monnaie.

Cybersécurité et vulnérabilités

Alors que les avantages de la transformation numérique pour les entreprises, les pays et les individus sont incontestables, chaque technologie naissante introduit également de nouvelles vulnérabilités de sécurité dont certaines ont des implications qui ne sont pas encore totalement comprises. Cette constante dichotomie continue à souligner l'épée à double tranchant que constitue l'innovation. Blockchain complique encore plus les risques sur l'Internet, au moins de deux manières significatives.

L'étude du cas DAO : un aperçu du mythe de l'immutabilité de Blockchain
Un principe fondamental qui différencie supposément la blockchain des applications traditionnelles est son immutabilité : une hypothèse selon laquelle, une fois les transactions ajoutées au registre public et horodatées numériquement, elles deviennent persistantes et irréfutables. La suppression ou la modification de transactions confirmées devient infaisable. D'un autre côté, les applications traditionnelles fonctionnent différemment. Leurs transactions peuvent être modifiées, supprimées ou oubliées à volonté et ceci ne nécessite que peu d'efforts.

Les revendications d'immutabilité par les fidèles de la blockchain ont un mérite considérable. En plus de gros efforts nécessaires pour inverser les transactions, blockchain utilise des clés asymétriques pour chiffrer et déchiffrer le contenu, assurant ainsi des niveaux élevés d'authentification et de non-répudiation. En outre, Bitcoin, la première et la plus réussie des implémentations de blockchain, a été conçu pour repousser les attaques potentielles. Si bien qu'en 2013, Dan Kaminsky, un chercheur hautement accrédité en matière de sécurité qui avait découvert auparavant une vulnérabilité DNS (Internet Domain Naming System) omniprésente, a avoué qu'il avait vainement tenté de pirater Bitcoin à plusieurs reprises.30

Cette croyance largement répandue (à savoir que les enregistrements attachés aux blockchains ne peuvent pas être inversés) est cependant un conte de fées compte tenu du sort de l'Organisation autonome décentralisée (DAO). La DAO, une application basée sur Ethereum, a été fondée en 2016 en tant qu'entité à but lucratif qui vendrait des jetons à des investisseurs en échange de crypto-monnaie. En retour, les investisseurs partageraient les bénéfices potentiels générés par de futurs projets DAO.31 La DAO a été un succès immédiat en recueillant plus de 150 millions de dollars américains provenant de plus de 11 000 enthousiastes, environ 15 % de tous les Ether en circulation à cette époque.

Mais, en mai 2016, avant que la DAO ne commence ses opérations, les rêves et les espoirs de ses investisseurs ont été brisés. Un pirate a exploité une faille dans le codage de la DAO et a volé environ 50 millions de dollars américains d'Ether sous forme d’une réplique de la monnaie DAO originale. La valeur de l'Ether a plongé. Les adeptes d’Ethereum avaient trois options pour résoudre le vol : maintenir le principe de base de l'immuabilité et laisser l'attaquant s'en aller avec les fonds volés ; détruire l’Ether volé sous forme de réplique DAO en s'assurant que le pirate n'en a pas profité ; ou, le plus controversé, réécrire le protocole Ethereum et effacer le vol, un principe référé en tant qu’une fourchette dure.

La majorité des adeptes d’Ethereum ont voté pour une fourchette dure. Cependant, l'idée de dénouer, d'effacer ou de se désintéresser délibérément des transactions blockchain signées numériquement n’a pas bien passé avec les puristes d'Ethereum. Pour eux, le code chiffré était une loi et les principes sous-jacents de la blockchain étaient sacrés. Comme l'a écrit un expert, « dans l'arène agitée du débat blockchain, l'immutabilité est devenue une doctrine quasi religieuse : une croyance fondamentale qui ne doit pas être ébranlée ni remise en question. »32

Comparée à plusieurs autres effractions notoires, la valeur financière du piratage de la DAO a pâli en comparaison. Cependant, les conséquences du piratage de la DAO et de la fourchette dure qui en résultait se sont étendues bien au-delà des adeptes de la crypto-monnaie. Cela a incité la SEC à enquêter et à publier un rapport public. Cela a entamé un débat passionné parmi les experts de la blockchain. Cela a également provoqué une révolte parmi les fondamentalistes d'Ethereum qui ont choisi de s'en tenir à la version pure d'Ethereum, maintenant appelée Ethereum Classic. L'étude du cas DAO fournit deux leçons essentielles.

Premièrement, la théorie largement saluée selon laquelle le code chiffré peut protéger les blockchains de l'ingérence humaine n'est rien de plus qu'une hyperbole. Comme l'illustre la saga de la DAO, les transactions signées numériquement sur une blockchain publique peuvent être manipulées par des êtres humains. Pour les idéalistes, la fourchette dure de la DAO (dans laquelle les deux principes fondamentaux d'immutabilité et de consensus décentralisé ont été sacrifiés) ressemblait aux sauvetages financiers qui ont suivi la crise financière de 2007 dans laquelle certaines banques étaient jugées « trop grandes pour faire faillite ».

Deuxièmement, les blockchains ont toujours été largement considérées comme étant « bien protégées, fiables et immuables ». Cependant, ces vertus supposées deviennent rapidement le talon d'Achille de la blockchain. Elles donnent un faux sentiment d'invulnérabilité aux entreprises en perpétuant des attitudes indifférentes à l'égard de la sécurité. En se concentrant sur tous les grands piratages de crypto-monnaie, on peut facilement conclure que la majorité des problèmes sous-jacents de sécurité ne sont pas spécifiques à la blockchain. Ce sont les mêmes défauts fondamentaux qui ont contrarié le monde numérique pendant des décennies.

Par exemple, au début de 2018, des pirates en ligne ont volé 534 millions de dollars américains à Coincheck, une bourse de crypto-monnaie basée au Japon. Apparemment, les pièces de monnaie de Coincheck étaient accessibles à partir d'Internet, un concept appelé « portefeuilles chauds ». Coincheck manquait également de multisig, l'équivalent de l'authentification multifactorielle.33 Un autre exemple provient de Mt. Gox, une autre bourse Bitcoin basée au Japon, qui a fait faillite en 2014 lorsque des voleurs se sont emparés de plus de 400 millions de dollars américains. Selon plusieurs rapports, Mt. Gox avait de mauvaises procédures de contrôle de version et a été victime d'initiés malveillants.34 En utilisant les arnaques classiques d'hameçonnage (comme les sites Web usurpés), les escrocs ont également trompé plusieurs individus sans méfiance qui ont divulgué des clés privées à leurs portefeuilles numériques en entraînant ainsi de lourdes pertes.35 Il s'avère que les problèmes de sécurité de la Blockchain sont plus humains que techniques.

Augmentation des attaques avec les Blockchains qui se connectent à des sources de données vitales
Plusieurs cas d'utilisation requièrent que les blockchains s'intègrent avec succès aux référentiels existants de données. Les contrats intelligents, qui sont des accords numériques auto-exécutables, en sont un bon exemple. Cependant, les contrats intelligents « vivent dans un jardin clos sur la blockchain et ne peuvent pas extraire eux-mêmes les données externes ».36 Pour pallier à cette limitation, plusieurs entreprises déploient des oracles intelligents, des applications logicielles spécialisées qui permettent aux blockchains d'interagir avec des sources de données externes. En raison de la nouveauté des oracles intelligents, qui sont eux-mêmes une sorte de contrats intelligents, il n'y a pas de développeurs suffisamment qualifiés pour gérer les subtilités de cette technologie. Selon une étude, il y avait seulement environ 5 000 développeurs dédiés à l'écriture de logiciels pour la crypto-monnaie en mi-2016. La même étude affirme que ce nombre pâlit en comparaison aux 9 millions de développeurs Java au cours de la même période.37 La pénurie de développeurs expérimentés et qualifiés en blockchain soulève la possibilité d'introduire des bogues exploitables ou des applications blockchain défaillantes.

De plus, l'exposition des systèmes de base à des blockchains nouvellement construites augmente également les possibilités de cyberattaque. Cela introduit également plusieurs problèmes de sécurité : des interfaces de programmation d'applications (API) non sécurisées, des sessions non chiffrées, des erreurs de logique, des points de terminaison non sécurisés, une faible authentification, des clés de cryptage non protégées, etc. Les implémentations blockchain exigent donc un équilibre prudent entre l'interopérabilité et la sécurité.

Aborder les questions de cybersécurité

Aucun cadre ou technologie ne peut fournir des défenses imperméables contre les cyber-menaces. Le bon ensemble de contrôles devrait être dicté par la valeur et l'exposition des actifs sous-jacents. En tenant compte de cette mise en garde, voici cinq questions clés que les entreprises devraient prendre en compte lorsqu'elles adoptent les blockchains :

  • Élaborer une base de contrôles de sécurité non négociables et des procédures de gouvernance afin de s'assurer qu'aucun projet blockchain ne soit exclu de tout contrôle obligatoire sans de strictes approbations.
  • Mettre en oeuvre des technologies et des processus robustes pour s'assurer que les clés cryptographiques soient protégées de tout vol ou de toutes pertes par inadvertance. Songez à stocker des clés privées dans des portefeuilles numériques hors ligne, par exemple, sur des lecteurs USB amovibles, des coffres forts, des portefeuilles matériels hors ligne ou des portefeuilles en papier. Il est cependant important de souligner qu'aucune de ces mesures n'assurera l'immunité contre les pertes financières. Par exemple, si les portefeuilles en papier sont isolés des attaques en ligne, ils sont toutefois vulnérables à d'autres risques tels que les incendies ou le vol. Le risque spécifique à chaque option d'entreposage devrait être soigneusement évalué et des mesures d'atténuation appropriées devraient être mises en oeuvre.
  • Utilisez des portefeuilles numériques multi-signature (multisig) grâce auxquels deux clés privées ou plus, stockées séparément, sont nécessaires pour transférer des fonds à partir d'une adresse spécifique.
  • Développez des scénarios détaillés de test de sécurité et assurez-vous que l'efficacité de chaque contrôle obligatoire soit indépendamment validée dans un environnement bac à sable avant la mise en oeuvre.

Obstacles aux changements

Comme pour toute autre tendance perturbatrice, l'émergence de la blockchain relance l'interaction dynamique entre la continuité et le changement. Manoeuvrer au-delà de ces dualités constantes exige un équilibre prudent entre l'innovation et la stabilité des entreprises. Aucune d'entre elles ne peut être gérée isolément. Les entreprises qui luttent aveuglément contre le changement, qui ne parviennent pas à s'adapter et qui conservent des routines établies peuvent perdre de la pertinence envers leurs clients. Ce risque est plus important pour les entreprises établies dont leur domination sur les marchés repose toujours sur des systèmes et des processus anciens. Selon les études, les entreprises bien établies qui négligent les innovations numériques peuvent subir une réduction de 50 % de leurs chiffres d'affaires et de 30 % de leurs bénéfices.38

Inévitablement, blockchain rend obsolète un large éventail d'applications décentralisées existantes, en particulier celles qui prennent en charge les processus administratifs. Pour compliquer les choses, la plupart de ces systèmes ont fonctionné régulièrement pendant de nombreuses années et soutiennent toujours les lignes stratégiques des revenus. Tel est le cas de l'Australian Securities Exchange (ASX) qui a annoncé en 2017 son projet de remplacer son Système de compensation électronique de sous-registre (CHESS) - mis en place dans les années 1990 - par une solution de registre distribué.39 La documentation sur l'architecture de la plupart de ces applications archaïques n'a pas été mise à jour de façon cohérente à mesure que les entreprises ont été transformées et que les experts en la matière ont soit déménagé ou sont maintenant décédés.

En outre, la culture d'une entreprise (« les éléments de comportements sociaux et d’idées qui sont stables et qui résistent vigoureusement au changement »40) peut également présenter une inertie importante aux implémentations de blockchain lorsque les employés résistent aux changements et s'en tiennent à leurs anciennes méthodes de travail. Les routines de travail, les mentalités et les normes sont façonnées et renforcées au fil des ans, ce qui les rend plus difficiles à déloger avec le temps.

Réponse

Pour surmonter ces obstacles technologiques et culturels à l'adoption de la blockchain, les entreprises les plus performantes fixent des attentes réalistes dès le début de l'adoption de la blockchain. Elles résistent activement à l'envie de passer au mode de l'exécution. Au contraire, elles prennent des mesures modérées et commencent leur parcours blockchain en posant des questions difficiles telles que :

  • L'entreprise a-t-elle procédé à un diagnostic approfondi pour identifier les routines, les bureaucraties et les intérêts profondément enracinés ? Si oui, l'entreprise a-t-elle conçu des stratégies efficaces de gestion du changement pour dissiper ces obstacles culturels ?
  • Quels avantages stratégiques ou domaines de différenciation fondamentale peuvent être amplifiés en adoptant les technologies blockchain ?
  • Quelles plates-formes stratégiques, si elles sont remplacées par blockchain, entraînent une réduction des problèmes de coûts d'exploitation à long terme, une résilience commerciale accrue et un environnement numérique plus évolutif ?
  • Quelle expertise est nécessaire pour développer les plateformes blockchain requises, pour déloger et migrer les applications héritées et pour interfacer les blockchains avec les applications de base ?

Blockchain, qui en est encore dans ses débuts, promet de s'attaquer à plusieurs défis pressants à l'échelle mondiale. Par exemple, les contrats intelligents basés sur la blockchain devraient faciliter le transfert direct, transparent et irréversible de fonds des donateurs vers ceux qui en ont le plus besoin en éliminant les coûts intermédiaires inutiles et en réduisant la pauvreté mondiale.41 Cependant, si les défis importants explorés dans cet article sont ignorés, ils pourraient saper la foi dans cette technologie importante. Un penseur et auteur de premier plan est d'accord : « Si nous nous trompons, la technologie Blockchain, qui tient tant de promesses, sera contrainte ou même écrasée. »42

Bibliographie

1 Nakamoto, S. ; « Bitcoin: A Peer-to-Peer Electronic Cash System », 2008, https://bitcoin.org/bitcoin.pdf
2 Davis, J. ; « The Crypto-Currency », The New Yorker, 10 octobre 2011, https://www.newyorker.com/magazine/2011/10/10/the-crypto-currency
3 Ibid.
4 Coinmarketcap.com, « Cryptocurrency Market Capitalizations », https://coinmarketcap.com/all/views/all/
5 Russell, J. ; « Former Mozilla CEO Raises $35M in Under 30 Seconds for His Browser Startup Brave », Techcrunch, 1 juin 2017, https://techcrunch.com/2017/06/01/brave-ico-35-million-30-seconds-brendan-eich/
6 US Securities and Exchange Commission, « Report of Investigation Pursuant to Section 21(a) of the Securities Exchange Act of 1934: The DAO », États-Unis, 25 juillet 2017,https://www.sec.gov/litigation/investreport/34-81207.pdf
7 Tapscott, D.; A. Tapscott; Blockchain Revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World, Penguin Books, Royaume-Uni, mai 2016
8 Church, Z. ; « Blockchain Explained », MIT Sloan Management School, Cambridge, États-Unis, 25 mai 2017, http://mitsloan.mit.edu/newsroom/articles/blockchain-explained/
9 Deloitte, « Blockchain: Opportunities for Health Care », août 2016, https://www.healthit.gov/sites/default/files/4-37-hhs_blockchain_challenge_deloitte_consulting_llp.pdf
10 Marr, B. ; « This Is Why Blockchains Will Transform Healthcare », Forbes, 29 novembre 2017, https://www.forbes.com/sites/bernardmarr/2017/11/29/this-is-why-blockchains-will-transform-healthcare/#4288b721ebe3
11 Dunjic, M. ; « Post-Trade Clearing & Settlement Processing Optimization: An Opportunity for Blockchain? », Medici, 3 mai 2016, https://gomedici.com/post-trade-clearing-settlement-processing-optimization-an-opportunity-for-blockchain/
12 Depository Trust & Clearing Corporation, « DTCC Selects IBM, AXONI and R3 to Develop DTCC’s Distributed Ledger Solution for Derivatives Processing », 9 janvier 2017, http://www.dtcc.com/news/2017/january/09/dtcc-selects-ibm-axoni-and-r3-to-develop-dtccs-distributed-ledger-solution
13 Mougayar, W.; The Business Blockchain: Promise, Practice, and Application of the Next Internet Technology, Wiley, États-Unis, mai 2016
14 US Securities and Exchange Commission, « The Laws That Govern the Securities Industry », États-Unis, https://www.sec.gov/answers/about-lawsshtml.html
15 Investopedia, « Sarbanes-Oxley Act Of 2002—SOX », https://www.investopedia.com/terms/s/sarbanesoxleyact.asp
16 Clayton, J. ; « Statement on Cryptocurrencies and Initial Coin Offerings », US Securities and Exchange Commission, 11 décembre 2017, https://www.sec.gov/news/public-statement/statement-clayton-2017-12-11
17 Helms, K. ; « Central Bank of Nigeria Says ‘We Can’t Stop Bitcoin’ », Bitcoin.com, 5 mai 2017, https://news.bitcoin.com/central-bank-of-nigeria-says-we-cant-stop-bitcoin/
18 Barsan, I. ; « Legal Challenges of Initial Coin Offerings (ICO) », Revue Trimestrielle de Droit Financier (RTDF), no. 3, 2017, p. 54-65
19 Irrera, A. ; S. Stecklow ; B. Hughes Neghaiwi ; « Special Report: Backroom Battle Imperils $230 Million Cryptocurrency Venture », Reuters.com, 19 octobre 2017, https://www.reuters.com/article/us-bitcoin-funding-tezos-specialreport/special-report-backroom-battle-imperils-230-million-cryptocurrency-venture-idUSKBN1CN35K
20 Morris, D. Z. ; « The Rise of Cryptocurrency Ponzi Schemes », The Atlantic, 31 mai 2017, https://www.theatlantic.com/technology/archive/2017/05/cryptocurrency-ponzi-schemes/528624/
21 Morris, D. Z. ; « The Rise of Cryptocurrency Ponzi Schemes », The Atlantic, 31 mai 2017, https://www.theatlantic.com/technology/archive/2017/05/cryptocurrency-ponzi-schemes/528624/
22 German Federal Financial Supervisory Authority (BaFin), « Consumer Warning: The Risks of Initial Coin Offerings », 9 novembre 2017, https://www.bafin.de/SharedDocs/Veroeffentlichungen/EN/Meldung/2017/meldung_171109_ICOs_en.html
23 Daniell, J. ; « Ethereum’s Vitalik Buterin On ‘Tokens 1.0’ », ETHnews, 23 octobre 2017, https://www.ethnews.com/ethereums-vitalik-buterin-on-tokens-10
24 Hansen, J.D. ; L. Rosini ; C. L. Reyes ; « More Legal Aspects of Smart Contract Applications », Perkins Coie LLP, mars 2018, https://www.virtualcurrencyreport.com/wp-content/uploads/sites/13/2018/03/Perkins-Coie-LLP-More-Legal-Aspects-of-Smart-Contract-Applications-White-Paper.pdf
25 Ibid.
26 Shen. L. ; « Here’s Why Warren Buffett Swears He’ll Never Invest in Bitcoin », Fortune, 10 janvier 2018, http://fortune.com/2018/01/10/bitcoin-warren-buffett-cryptocurrency/
27 Financial Crisis Inquiry Commission, The Financial Crisis Inquiry Report, États-Unis, 25 février 2011, https://www.gpo.gov/fdsys/pkg/GPO-FCIC/pdf/GPO-FCIC.pdf
28 Op cit Barsan
29 Trustnodes, « Canada Extends Sandbox to ICOs, Impak Becomes World’s First Regulated Token Sale », 20 septembre 2017, https://www.trustnodes.com/2017/09/20/canada-extends-sandbox-icos-impak-becomes-worlds-first-regulated-token-sale
30 Bradbury, D. ; « Security Guru Confesses, ‘I Couldn’t Hack Bitcoin’ », Coindesk, 23 avril 2013, https://www.coindesk.com/security-guru-confesses-i-couldnt-hack-bitcoin/
31 Op cit US Securities and Exchange Commission, « Report of Investigation Pursuant to Section 21(a) of the Securities Exchange Act of 1934: The DAO »
32 Greenspan, G. ; « The Blockchain Immutability Myth », Coindesk, 9 mai 2017, https://www.coindesk.com/blockchain-immutability-myth/
33 Buck, J. ; « Coincheck: Stolen $534 Mln NEM Were Stored on Low Security Hot Wallet », Coin Telegraph, 26 anvier 2018, https://cointelegraph.com/news/coincheck-stolen-534-mln-nem-were-stored-on-low-security-hot-wallet
34 McMillan, R. ; « The Inside Story of Mt. Gox, Bitcoin’s $460 Million Disaster », Wired, 3 mars 2014, https://www.wired.com/2014/03/bitcoin-exchange/
35 Wieczner, J., « Hackers Stole $50 Million in Cryptocurrency Using ‘Poison’ Google Ads », Fortune, 14 février 2018, http://fortune.com/2018/02/14/bitcoin-cryptocurrency-blockchain-wallet-hack/
36 Bjoroy, V. T. ; « Zen Blockchain Hopes to Strengthen, Broaden Bitcoin », Venturebeat, 30 septembre 2017, https://venturebeat.com/2017/09/30/zen-blockchain-hopes-to-strengthen-broaden-bitcoin/
37 Mougayar, W.; The Business Blockchain: Promise, Practice, and Application of the Next Internet Technology, Wiley, États-Unis, 9 mai 2016
38 Bughin, J. ; T. Catlin ; « What Successful Digital Transformations Have in Common », Harvard Business Review, 19 décembre 2017, https://hbr.org/2017/12/what-successful-digital-transformations-have-in-common
39 McLean, A. ; « ASX Chooses Blockchain for CHESS Replacement System », ZDNet, 7 décembre 2017, www.zdnet.com/article/asx-chooses-blockchain-for-chess-replacement-system/
40 Rumelt, P.R.; Good Strategy/Bad Strategy: The Difference and Why It Matters, Profile Books, Royaume-Uni, 2011
41 Castilla-Rubio, J.C. ; N. Robins ; S. Zadek ; « Fintech and Sustainable Development: Assessing the Implications », United Nations Environment Programme (UNEP), décembre 2016, http://unepinquiry.org/wp-content/uploads/2016/12/Fintech_and_Sustainable_Development_Assessing_the_Implications.pdf
42 Op cit Tapscott and Tapscott

Phil Zongo
Est un responsable expérimenté de la cybersécurité, un conseiller stratégique, un auteur et conférencier résidant à Sydney, Nouvelle-Galles du Sud, Australie. Il est l'auteur de The Five Anchors of Cyber Resilience, un livre contemporain de stratégie qui aborde l'ambiguïté et la complexité associée à la cybersécurité et transmet des conseils pratiques aux directeurs, aux dirigeants d'entreprise, aux chefs de l’informatique et aux autres professionnels de la gestion des risques. Zongo a été le lauréat 2016-2017 du prix Michael Cangemi du meilleur livre / article de l'ISACA, un prix mondial qui récompense les personnes pour leurs contributions majeures à des publications dans le domaine de l'audit, du contrôle et de la sécurité des systèmes informatiques. Il est également membre du conseil d'administration de la section ISACA de Sydney (Nouvelle-Galles du Sud, Australie). En 2016, Zongo a remporté le tout premier prix de la meilleure gouvernance de l'année décerné par la section ISACA de Sydney, une reconnaissance pour le leadership éclairé qu'il apporte à la profession de la cybersécurité. Au cours des 14 dernières années, Zongo a conseillé plusieurs chefs d'entreprise sur la manière de gérer de manière rentable les risques commerciaux dans des programmes de transformation complexes. Zongo intervient régulièrement lors de conférences sur les tendances perturbatrices telles que la cyber-résilience, la blockchain, l'intelligence artificielle et l’ informatique en nuages.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.