La cybersécurité est aujourd’hui le risque numéro un pour toutes les organisations. Aucun secteur n’est à l’abri ! Certains sont même en première ligne : hôpitaux, réseaux de transport, administrations publiques, sans oublier le secteur financier et les plateformes de crypto-monnaies.
L’affaire Mt. Gox
Est-ce que vous vous souvenez de Mt. Gox ? En 2014 Mt. Gox était la plus grande plateforme d’échange de Bitcoin au monde. Elle traitait près de 70 % des transactions globales en Bitcoin. Mais un jour de février 2014, tout a basculé… la plateforme a suspendu brutalement tous les retraits. Peu de temps après, elle annonçait avoir « perdu » 850 000 bitcoins, soit environ 450 millions de dollars à l’époque, + de 100 milliards aujourd’hui.
L’enquête révélera que le piratage avait en réalité commencé dès 2011, via une faille de sécurité non détectée dans le système de traitement des retraits. Les pirates ont exploité cette vulnérabilité pour siphonner des BTC. Ce piratage a eu pour conséquence la faillite de la plateforme, des pertes colossales pour des milliers d’utilisateurs et une chute brutale du cours du Bitcoin. Mais ce piratage a aussi fait prendre conscience au monde des crypto-monnaies que la cybersécurité était vitale pour leur secteur, qu’il fallait y mettre les moyens.
Des lois, des règlements, des normes
Le paysage réglementaire a considérablement évolué. En Europe, DORA (Digital Operational Resilience Act) et MiCA (Markets in Crypto-Assets) ont été instaurés, ils imposent aux acteurs du secteur crypto des protocoles de sécurité rigoureux et structurés. Une des conséquences directes est l’augmentation des budgets cyber pouvant aller jusqu’à plusieurs millions d’euros. Autre conséquence : l’élan créatif des plateformes en matière d’innovation et de sécurisation. Leur créativité progresse au rythme de la sophistication des menaces et de l’ingéniosité des hackers. Pourtant ce n’est pas quelque chose qu’on entend beaucoup dans les médias.
Des actions et de la communication
Mettre en place des dispositifs innovants et efficaces pour prévenir et contrer les attaques est vital. Mais communiquer clairement sur ces dispositifs est tout aussi fondamental. La communication est un aspect du « risk management » qui est encore trop souvent négligé, pourtant nécessaire pour éviter une perte de confiance des utilisateurs.
Aujourd’hui les médias mettent fréquemment en lumière les faillites ou les scandales. Même si ces faits sont avérés, ils ne représentent qu’une (petite) partie de la réalité. Les CISO (Chief Information Security Officer) doivent aujourd’hui sortir de l’ombre, être plus présents dans l’espace médiatique pour expliquer, rassurer, en racontant aussi les histoires d’innovations et d’engagements. Car il y en a !
Quand créativité rime avec sécurité
Ledger, une plateforme française, s’est imposée comme une référence mondiale en proposant un stockage à froid des crypto-actifs (cold wallets). Une méthode qui permet de conserver ses cryptomonnaies hors ligne, c’est-à-dire totalement déconnectées d’Internet. Les crypto-actifs sont alors protégés contre les cyberattaques, et les malwares. Contrairement aux hot wallets qui eux sont connectés à Internet et donc plus exposés aux risques, les cold wallets sont quasiment inviolables à distance. Ce type de solution est considéré comme l’un des plus sûrs pour protéger ses actifs numériques.
Kraken autre acteur majeur du secteur, a recours au Bug Bounty. C’est une initiative mise en place pour encourager les chercheurs en cybersécurité à identifier et signaler les vulnérabilités de ces systèmes. En échange, ces hackers « éthiques » reçoivent des récompenses financières proportionnelles à la gravité des failles découvertes. Concrètement, l’entreprise publie un programme qui détaille les règles de participation, les systèmes concernés, les failles recherchées, et bien sûr, les montants des primes attribuées. Les failles identifiées sont ensuite signalées confidentiellement via des plateformes spécialisées comme HackerOne, Bugcrowd ou Immunefi. Si la vulnérabilité est jugée critique, les primes attribuées peuvent aller jusqu’à plusieurs centaines de milliers d’euros.
Les acteurs cryptos doivent prendre la parole pour raconter aussi ces histoires d’innovations et de sécurisation. CISO, invitez-vous sur les plateaux, prenez la parole, car comme le disait Talleyrand : « Si cela va sans dire, alors ça ira mieux en disant ».
Marie Dosiere, Account Director
