Sécuriser la chaîne de blocs | KPMG | CA
close
Share with your friends

Sécuriser la chaîne de blocs

Sécuriser la chaîne de blocs

Deux attaques médiatisées contre la chaîne de blocs rappellent l’importance d’un cadre de gestion des risques pour une mise en œuvre sécuritaire.

Associé et leader national, Services-conseils en technologie

KPMG au Canada

Contacter

Contenu connexe

Sécuriser la chaîne de blocs

Jusqu'à présent, la chaîne de blocs suscite une frénésie qui s'explique surtout par son énorme potentiel transformateur. De nombreuses organisations se concentrent uniquement sur la façon dont elles peuvent s'en servir dans le cadre de leurs activités. Néanmoins, de plus en plus de démonstrations de faisabilité pointent vers une mise en œuvre pratique à l'heure où les cybermenaces pleuvent et gagnent rapidement en sophistication. La sécurité et la gestion des risques ne peuvent donc plus être reléguées au second plan. Il convient désormais de se demander si la chaîne de blocs est sécuritaire pour l'entreprise.

De manière générale, oui; mais ce n'est pas si simple. La sécurité dépend de divers facteurs, ce qui implique nécessairement un cadre de gestion des risques robuste. Il faut savoir que près de la moitié des attaques surviennent dans les 10 à 100 jours suivant la publication des vulnérabilités. Si on ajoute à cela le nombre de menaces déjà connues ainsi que la myriade de facteurs inconnus associés aux technologies émergentes, on constate rapidement pourquoi il importe d'avoir une vue d'ensemble des risques et des menaces auxquels on est exposé.

Dans l'article Securing the chain, nous nous penchons sur deux récentes attaques très médiatisées, perpétrées par des pirates qui ont exploité des vulnérabilités sur le plan de la sécurité, tandis que les réseaux de chaîne de blocs et leur infrastructure sous-jacente sont demeurés fonctionnels.

Attaques récentes : que s'est-il passé?

L'attaque de la Decentralized Autonomous Organization (DAO)
En juin 2016, des actifs d'environ 50 millions de dollars américains ont été dérobés à un nouveau fonds de capital de risque numérique, la DAO, en raison d'une faille dans le code. L'Ethereum, la technologie de chaîne de blocs sur laquelle reposait la DAO, n'a aucunement été compromise. Dans la publication de vulnérabilité, on indiquait que la fonction de fractionnement marchait correctement, mais qu'elle permettait aux participants de demander un autre fractionnement avant que le premier ne soit terminé. Le pirate, bien au fait de la fiabilité de la technologie de chaîne de blocs, a tout simplement profité de cette fonction.

L'intrusion dans Bitfinex

En août 2016, une plateforme d'échange de cryptomonnaie établie à Hong Kong, Bitfinex, a été victime d'une intrusion entraînant le vol de près de 120 000 bitcoins de ses comptes clients. Comme dans le cas de la DAO, les pirates ont exploité des vulnérabilités dans la sécurité d'organisations et de fournisseurs de services individuels, alors que le réseau de chaîne de blocs est demeuré entièrement fonctionnel.

La chaîne de blocs est-elle fondamentalement déficiente?

Non, le fondement et l'architecture de la chaîne de blocs ne sont pas déficients. Dans ces deux attaques, les pirates ont exploité des failles de sécurité au sein d'organisations individuelles, tout en tirant parti des forces fondamentales de la technologie de chaîne de blocs. L'infrastructure sous-jacente peut encore être considérée comme fiable; les entreprises doivent donc s'appliquer à implanter des technologies de chaîne de blocs sûres et efficaces, et à en tirer avantage.

Sécuriser la chaîne

Dans chacun de ces cas, on aurait pu remédier à la plupart des vulnérabilités durant la phase de conception ou de mise à l'essai. Nous croyons qu'il y a des leçons à tirer des attaques perpétrées, mais aussi des décennies d'expérience acquise en matière de sécurité et de gestion des risques avec d'autres technologies traditionnelles et émergentes.

Dans le rapport, nous proposons un cadre de sécurité et de gestion des risques qui s'appuie sur des pratiques exemplaires afin de susciter un questionnement essentiel à la mise en œuvre sûre et efficace des technologies de chaîne de blocs. Ces pratiques exemplaires peuvent être intégrées à vos capacités et cadres existants en matière de sécurité et de gestion des risques.

Lisez la publication pour en apprendre davantage sur le cadre de gestion des risques et communiquez avec vos conseillers de KPMG pour discuter de la façon dont vous pouvez atténuer les menaces à la sécurité et les risques technologiques en vue d'établir une chaîne de blocs sûre et efficace. Cliquez ici pour télécharger le rapport. (En anglais seulement.)

Communiquez avec nous

 

Appel d’offres

 

Soumettre