De nombreux secteurs sont en train d'étudier les applications du Blockchain, qui font l'objet de projets pilotes. Consultez notre récent livre blanc « (R)évolution du Blockchain – La perspective suisse » (1) pour avoir un aperçu général des applications du Blockchain sur le marché suisse. La plupart de ces nouvelles applications doivent traiter et stocker des données sensibles. Dans le secteur de la santé, par exemple, ce sont les dossiers médicaux des patients, les métadonnées médicales, les informations sur les essais cliniques et les renseignements permettant d'identifier une personne. Par conséquent, nos clients sont de plus en plus préoccupés par la sécurité du Blockchain et par ses capacités et limites à protéger les données essentielles.
D'après notre expérience, trois aspects compliquent la gestion de la sécurité du Blockchain :
En raison des différents algorithmes de consensus disponibles (p. ex., preuve de travail ou preuve d'enjeu), types de Blockchain (p. ex. avec autorisation ou sans autorisation), et protocoles cryptographiques complexes sous-jacents, les professionnels de la sécurité ont du mal à bien comprendre les flux de données et les potentielles failles de sécurité. En outre, il existe plusieurs plateformes et mises en œuvre de Blockchain, ce qui nécessite d'évaluer l'aptitude d'une application à s'intégrer à un système de Blockchain donné.
À l'heure actuelle, la technologie du Blockchain n'est pas réglementée, ce qui entraîne des incertitudes juridiques et des zones grises. Un exemple intéressant de l'absence de contrôles et de lois régissant les réseaux de Blockchain est le piratage de la DAO (2), où une vulnérabilité liée aux contrats intelligents (3) a entraîné une perte de 60 millions de dollars américains pour le réseau (4).
La technologie du Blockchain repose sur la cryptographie à clé publique et des primitives telles que les signatures numériques et les fonctions de hachage, ce qui peut donner une fausse impression de sécurité. Le fait que tous les protocoles cryptographiques ont leurs limites et que la sécurité globale comprend non seulement la technologie, mais également les personnes et les processus, est souvent négligé par les analyses de sécurité du Blockchain.
Pour surmonter ces difficultés, nous conseillons à nos clients d'adopter une approche fondée sur les risques à l'égard de la sécurité du Blockchain, qui assure la sélection des contrôles de sécurité en fonction des besoins de l'entreprise et des cas d'utilisation commerciale. Cette approche peut se résumer comme suit:
Si vous souhaitez participer à une première discussion concernant la sécurité du Blockchain et l’approche de Deloitte à cet égard, nous vous invitons à prendre contact avec notre équipe.
1. Deloitte AG, The Blockchain (R)evolution The Swiss Perspective, February 2017.
2. P. Vessenes
3. IBM Research
4. Etherscan
5. ENSIA, Distributed Ledger Technology & Cybersecurity – Improving information security in the financial sector, December 2016