jeudi, 18 août 2022

Établir la norme en matière de sécurité des actifs numériques

Les ressources numériques sont dans une nouvelle phase d’engagement. Cible Biden = »_blank » href= »https://www.cnbc.com/2022/03/09/heres-whats-in-bidens-executive-order-on-crypto.html »>ordre exécutif sur la crypto-monnaie a inauguré une nouvelle ère pour la technologie, avec un signal clair que les actifs numériques sont là pour rester et joueront un rôle clé dans le développement d’une nouvelle infrastructure financière.

Les États-Unis ne sont pas non plus seuls dans cette approche. D’autres centres financiers et économiques de premier plan accélèrent leurs propres cadres réglementaires sur cette question. En , les législateurs européens ont abandonné un amendement lourd sur la preuve de travail –actifs basés sur le projet de loi sur les marchés des actifs cryptographiques (MiCA), signe d’une volonté de créer un système équitable qui concilie innovation financière réelle et maîtrise du risque.

L’importance d’une telle réglementation tournée vers l’avenir ne peut être sous-estimée. Bon nombre des plus grandes institutions financières du monde sont à des stades avancés de développement de leurs cas d’utilisation des actifs numériques. Ce règlement leur offre une voie claire pour lancer des produits et services réglementés sur les principaux marchés mondiaux.

À ce jour, une grande partie des discussions sur l’engagement avec les actifs numériques s’articulent autour d’une dichotomie fondamentale : les entreprises doivent-elles adopter une infrastructure d’actifs numériques ? Existe-t-il une analyse de rentabilisation pour nous dans les actifs numériques ? Alors que nous entrons dans cette nouvelle phase, ces questions ont reçu une réponse catégoriquement affirmative. Les entreprises se demandent maintenant : comment devrions-nous construire notre cas d’utilisation des actifs numériques ? Quelles sont les principales considérations auxquelles nous devons répondre ?

Le cas de la sécurité des actifs numériques

La sécurité devrait figurer en tête de liste pour chaque entreprise, quel que soit son cas d’utilisation. Le vol de crypto a atteint un niveau record en 2021, avec 14 milliards de dollars de crypto-monnaie volés, soit une augmentation de 79 % par rapport à l’année précédente. Ce chiffre devrait augmenter de manière significative à mesure que l’adoption s’accélère. Malgré ces risques, de nombreuses entreprises n’ont pas mis en place de normes de sécurité claires pour les cas d’utilisation, avec une prolifération de produits et services dans l’ensemble du secteur prétendant offrir la « norme de référence ».

Bien que la nature rapide de l’innovation dans le secteur des actifs numériques puisse rendre difficile le suivi des derniers développements en matière de sécurité des actifs numériques, le moment est venu pour le secteur de se rassembler et de définir la taxonomie d’une sécurité commune. normes.

Établir les normes

La sécurité est fondamentale pour chaque cas d’utilisation d’actifs numériques. À la base, cela tourne autour de la sécurisation des clés privées nécessaires pour accéder et gérer les actifs dans les portefeuilles numériques. Pour les institutions, la sécurité du portefeuille est composée de deux solutions principales : le module de sécurité matériel (HSM) et le calcul multipartite (MPC).

Un HSM est un dispositif informatique physique spécialement conçu et inviolable pour sécuriser les clés et traiter les transactions cryptographiques. Les HSM sont certifiés conformes aux normes internationales, avec la Federal Information Processing Standards (FIPS) 140, la certification la plus reconnue. Le plus haut niveau de certification de sécurité FIPS 140 atteignable est le niveau de sécurité 4, offrant la sécurité physique et la robustesse les plus strictes contre les attaques environnementales.

En revanche, MPC fonctionne sur la base d’un modèle de confiance distribué, répartissant les clés entre plusieurs entités et utilisant l’informatique sans connaissance pour permettre aux entités de partager leurs données sans être tenues de les révéler. MPC et HSM peuvent être connectés à un réseau (stockage à chaud) ou utilisés dans une configuration hors ligne (stockage à froid), ce qui est plus sécurisé mais moins flexible.

Bien qu’il y ait eu un débat considérable sur la meilleure solution de sécurité pour les institutions, la réalité est que le meilleur choix dépend souvent des besoins institutionnels spécifiques. La réponse est qu’il n’y a pas de solution « taille unique » – à mesure que la traction augmente et que les cas d’utilisation se développent, il existe des arguments clairs pour utiliser à la fois MPC et HSM. En effet, l’objectif d’un dépositaire consiste à combiner les aspects HSM et MPC pour trouver efficacement un équilibre entre agilité et sécurité. De plus, la combinaison d’éléments des deux solutions (hot MPC, cold HSM, etc.) peut permettre la commutation des mécanismes de signature en fonction des exigences et des cas d’utilisation nécessaires, afin que les entreprises puissent s’assurer qu’elles maximisent à la fois la sécurité et l’agilité.

Éliminer les points de compromis uniques

Malgré la criticité bien comprise de la gestion des clés privées, nous voyons trop souvent des points de compromis uniques dans les soi-disant « solutions sécurisées ». Bien que chaque solution dispose d’un moteur de politique qui applique des approbations distribuées pour les transactions, cette capacité à distribuer la confiance s’arrête au niveau de la transaction. Il existe généralement un rôle avec des droits d’administration qui offre des «pouvoirs divins» sur tous les aspects de la solution, ce qui permet à un administrateur de remplacer toutes les politiques de la plate-forme. Évaluer une solution avec « a-t-elle un moteur de politique ? » n’est pas un exercice de case à cocher. Il est essentiel que tous les processus – des approbations de transaction à la configuration des utilisateurs, des autorisations et des listes blanches, et même la modification des politiques elles-mêmes – soient soumis à un processus d’approbation distribué appliqué pour garantir qu’il n’y a pas de point de compromis unique.

Afin de sécuriser des clés hautement confidentielles, les contrôles de sécurité appropriés doivent être en place pour se protéger des menaces internes et externes. La technologie Conservez votre propre clé (KYOK) doit être adoptée comme une norme de l’industrie permettant aux entreprises clientes de s’assurer qu’elles conservent l’exclusivité accès à leurs clés cryptographiques. L’utilisation d’une technologie informatique sans confiance signifie que seuls les utilisateurs autorisés des entreprises clientes ont accès aux clés de chiffrement, garantissant qu’aucun privilège d’accès spécial n’est accordé aux fournisseurs de technologie tiers.

Cette technologie garantit que seuls les clients ont accès aux clés. Combiné à un cadre de politique d’autorisation de bout en bout renforcé qui nécessite l’approbation des signatures de plusieurs utilisateurs internes pour tout cas d’utilisation, garantit qu’aucune donnée n’est jamais révélée à un ordinateur ou à un individu du réseau et garantit qu’il n’y a aucun point de compromis. .

Gestion rigoureuse des risques 

Personne n’aime penser au pire des cas, mais bien que rares, les catastrophes se produisent et doivent être incluses dans les procédures de gestion des risques. On estime que 3,9 milliards de dollars de Bitcoin à eux seuls ont été perdus par les investisseurs en raison aux clés mal gérées. Les entreprises doivent disposer de solutions de récupération complètes pour les sauvegardes critiques de récupération de clé privée en cas d’accident ou de catastrophe.

La génération de plusieurs cartes à puce FIPS 140.2 de niveau 3 contenant des fragments de clé chiffrés de graines de récupération doit être considérée comme fondamentale pour cette approche. Le stockage physique de ces cartes à puce dans des environnements sécurisés et distribués peut garantir qu’il n’y a pas de point de défaillance unique dans le processus de stockage de récupération.

L’assurance joue également un rôle important. La mise en place des protocoles de sécurité de référence garantit que les actifs sont facilement assurables, ce qui vous soulage en matière de protection.

Avancer en toute confiance

Le secteur des actifs numériques est une industrie d’innovation et d’itération extrêmement rapide. Pour les entreprises qui utilisent des actifs numériques, il y a eu des défis dans les cas d’utilisation à l’épreuve du temps pour les années à venir. Les choix disponibles ont été la sécurité et l’agilité en tant que compromis binaire en raison de l’absence d’alternative. Avec l’avènement des infrastructures matures, il existe une taxonomie claire des infrastructures de sécurité que les entreprises doivent mettre en place, quel que soit leur cas d’utilisation. Mais plus important encore, ils peuvent désormais être assurés qu’ils peuvent regarder au-delà des cas d’utilisation actuels des MVP et être confiants qu’ils seront en mesure d’évoluer et de répondre aux besoins de leur entreprise et de leurs clients avec agilité et flexibilité, quel que soit l’avenir. La source de l’avantage concurrentiel futur, car tous les actifs finiront par se déplacer sur la chaîne, ne sera aucun compromis – une sécurité maximale et une agilité maximale.

Faire évoluer l’industrie vers une norme de sécurité commune sans compromis, soulignée par une infrastructure flexible et agile, devrait être une priorité pour les fournisseurs. Ce faisant, nous pouvons nous assurer qu’à mesure que l’engagement avec les actifs numériques s’accélère, les entreprises disposent de la bonne infrastructure en place pour opérer avec rapidité, clarté et confiance dans l’espace.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici