Quelles solutions pour conserver ses actifs numériques ?

Mais sans les services du système bancaire traditionnel pour en assurer la gestion, les risques de perte des fonds sont nombreux. Il est donc essentiel pour les professionnels d’adopter les bons processus de sécurisation et de gouvernance pour la conservation et la bonne utilisation de ces crypto-actifs.

La clé privée, pièce centrale de la sécurisation des actifs numériques

Lorsqu’une organisation possède des actifs numériques, ces derniers sont stockés sur une blockchain et accessibles à partir d’une clé privée unique, seulement connue du détenteur du compte. Une personne malveillante ayant connaissance de cette clé peut autoriser des transactions depuis cette adresse et donc détourner la totalité des fonds sans recours possible par l’entreprise.

La génération d’un compte se fait généralement depuis un portefeuille crypto, ou wallet, dans lequel la clé privée est stockée. Il peut prendre une multitude de formes physiques et digitales, tel qu'un périphérique externe de stockage (ex : clé USB), une application mobile ou un compte sur une plateforme d’échange de crypto-monnaies. De nombreuses solutions, gratuites ou non, existent aujourd’hui sur le marché.

En plus de faire le choix entre un “hardware” ou un “software” wallet, l’entreprise devra définir si elle souhaite que son portefeuille soit connecté à internet ou coupé de tout réseau informatique (hot vs cold wallet), et hébergé par l’entreprise ou chez un tiers de confiance (custodial vs non-custodial wallet).

La meilleure solution peut varier selon les usages et les contraintes de chaque organisation, mais aucune ne garantit un risque zéro. Il est donc essentiel de rajouter des briques sécuritaires individuelles et collectives.

Les solutions complémentaires pour sécuriser son portefeuille crypto

La gestion d'actifs numériques est un compromis constant entre sûreté et agilité. Pour autant, il existe de bonnes pratiques de cybersécurité que chaque collaborateur peut appliquer afin de réduire le nombre de compromissions de données. Par exemple, si la clé privée doit être notée quelque part, il est recommandé de le faire sur un support adapté comme une plaque de métal. Différentes options de sécurisation peuvent ensuite être adoptées selon le portefeuille choisi afin de limiter les risques systémiques, de vol ou de perte.

Pour protéger un wallet physique, l’entreprise peut faire l’acquisition d’une capsule de protection, résistante aux chocs ou aux températures extrêmes, ce que propose par exemple Byzantin Vault. 

Contre les risques d’agression sur un individu, la société Ledger propose sur ses produits Nano/Stax la génération d’un compte secondaire et caché, dont l’accès se fait via un code (ou passphrase) différent du compte principal.

Et si elle ne souhaite pas assurer la conservation de son portefeuille, l’entreprise peut faire appel à un prestataire spécialisé dans le stockage sécurisé. Cette option ne doit s’envisager que si l’accès aux actifs numériques est peu fréquent.

Pour les portefeuilles logiciels, le système 2FA, ou Authentification à deux facteurs, est une pratique répandue et recommandée pour en sécuriser l’accès. C’est notamment le cas sur la plateforme Binance. Une autre solution proposée par les sociétés fiduciaires et les plateformes d’échange de cryptomonnaies centralisées est d’assurer l’hébergement unique ou partagé de la clé privée, et donc des fonds. Bien que pratique pour l’entreprise, ce choix nécessite une confiance totale envers l’entité tierce.

Enfin, il est recommandé de choisir un wallet physique ou digital permettant l’autorisation d’une transaction par plusieurs collaborateurs, ceci afin de prévenir tout risque d’erreur ou d’action isolée au sein de l’organisation. Les systèmes à majorité, avec par exemple 2 votants sur 3, sont les plus utilisés car ils permettent de déclencher une transaction uniquement si un nombre minimum et défini d’individus l’approuvent.

Plusieurs solutions existent pour ce type de gouvernance, avec toutefois des différences opérationnelles à prendre en compte afin de choisir la solution la plus adaptée.

Les technologies au service d’une gouvernance des actifs numériques

Pour permettre à plusieurs collaborateurs de valider une transaction, une des possibilités est de passer par un portefeuille utilisant la fonctionnalité multi-signature (multisig). Elle repose sur la validation d’une transaction par plusieurs clés privées, mais sa mise en application diffère selon chaque blockchain.

Sur le réseau Bitcoin, un maximum de 15 clés peuvent être nativement générées à la création de l’adresse, sans possibilité toutefois d’en modifier le nombre total ou le seuil minimum de validateurs. 

Sur la blockchain Ethereum, les clés peuvent être générées depuis n’importe quel wallet. Elles doivent ensuite être encodées dans un contrat intelligent (ou smart contract) qui, une fois les signatures reçues, déclenchera l’envoi des fonds. 

Un smart contract a l’avantage de pouvoir être personnalisé afin d’inclure des plafonds de retrait, des délais de paiement, des virements multiples et des adaptations du nombre total ou minimum de validateurs. Il nécessite néanmoins des compétences de programmation avancées et des acteurs comme Gnosis Safe ou BitGo proposent des solutions clés en main. En cas de faille dans le code du smart contract, qu’il ait été délégué ou non, les fonds détenus dessus peuvent être compromis.

La seconde possibilité est d’utiliser un protocole cryptographique appelé Calcul Multipartite Sécurisé (MPC) où chaque collaborateur détient une partie de la clé privée.

Plutôt que de rassembler plusieurs signatures comme dans le multisig – augmentant par ailleurs les frais de transaction –, les participants utilisent conjointement une fonction permettant d’obtenir une unique signature inscrite sur la blockchain. Cela rend le dispositif plus facile à déployer sur différentes blockchains et plus discret quant au processus de gouvernance adopté.

Le protocole permet également de moduler le nombre de validateurs, même s’il reste moins programmable qu’un smart contract et difficile à implémenter pour l’entreprise. C’est pourquoi des sociétés comme Fireblocks ou ZenGo déploient et adaptent le protocole MPC à leurs applications, toujours avec des risques d’utilisation à apprécier.

Pour résumer, la démocratisation de la blockchain a fortement contribué au développement de la cryptographie appliquée ainsi qu’à celui des offres de gestion d’actifs numériques. Bien que l’industrie poursuive ses efforts pour en faciliter l’usage, trouver les solutions sécurisées et adaptées à son organisation reste difficile. C’est pourquoi nous préconisons de faire appel à des conseillers/experts dans le domaine lorsque l’enjeu financier est important ou en cas de besoins spécifiques.