KPMG France, leader de l’Audit et du Conseil, révèle les résultats de son étude Cybersecurity for Blockchain and Cryptos 2022 qui dresse un état des lieux des vulnérabilités dans l’écosystème blockchain et cryptos, à l’heure du développement exponentiel de la finance décentralisée, dont le montant total de fonds investis représente 10,6% de l'ensemble du marché des cryptomonnaies.
Entre autres résultats, l’étude souligne que :
— Le piratage d’infrastructures et d’applications de finance décentralisée a causé une perte de près d’1,2 milliards de dollars pendant le premier semestre 2022
— Ce montant correspond à une hausse de 692% des montants dérobés via des piratages par rapport au premier semestre 2021
— Face à cette menace croissante, KPMG ne recense qu’entre 1 000 et 1500 spécialistes capables de réaliser des audits de sécurité crypto dans le monde aujourd’hui.
Le Web3 à la merci des cyberattaques
Malgré les fortes garanties de sécurité inhérentes aux technologies liées à la blockchain, l’étude de KPMG montre que les infrastructures et les applications crypto, comme la finance décentralisée, ne sont pas à l’abri d’attaques.
Ce phénomène s’explique par le développement d'architectures Web3 complexes dont les fonctionnalités engendrent de nouvelles vulnérabilités, ainsi que des surfaces d’attaque étendues. Les smart contracts notamment peuvent contenir des failles qui permettent les piratages et vols de cryptoactifs. Les attaques concernent également les portefeuilles des utilisateurs ou les infrastructures elles-mêmes. Les attaquants exploitent en outre des fonctionnalités du monde de la finance décentralisée, comme les « flash loans ».
Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France
Selon l’étude de KPMG, les piratages ont causé une perte de près d’1,2 milliards de dollars au cours du premier semestre 2022, avec notamment l’attaque emblématique sur le projet Ronin qui a entraîné le vol de près de 624 millions de dollars. Il s’agit d’autant de signaux qui attestent d’un manque de préparation de certains acteurs vis-à-vis des problématiques de cybersécurité, qui s’est traduit par une hausse de 692% de montants dérobés dans la finance décentralisée entre le T1 2021 et le T2 2022.
Un manque d’experts sur le marché
L’étude de KPMG montre par ailleurs que les vulnérabilités dans les projets crypto s’expliquent par un manque de spécialistes sur le marché, capables d’auditer des projets cryptos en matière de cybersécurité.
Si le premier cabinet d'audit spécialisé en sécurité crypto a été créé en 2012 et que ses pairs se sont multipliés depuis, il n'existe à ce jour qu’entre 1 000 et 1500 experts sur le sujet qui se répartissent entre 54 entreprises dans le monde. Ce chiffre signifie ainsi qu’il n’y aurait pour le Web3 que 5 à 8 auditeurs pour 100 développeurs aujourd’hui, ce qui est une proportion largement en-deçà des enjeux.
Développer le rôle du CISO
Pour répondre à la hausse des attaques et aux vulnérabilités du Web3, selon l’étude de KPMG, l’un des principaux leviers à la disposition des acteurs pour se protéger se situe au niveau du développement des compétences. En effet, alors que le Web3 semble paver la voie à des outils de plus en plus numériques et technologiques, l’analyse humaine est plus que jamais indispensable pour évaluer les risques et mettre en place des dispositifs adaptés pour s’en prémunir.
En cybersécurité, le périmètre des cryptos diffère du périmètre habituel du Web2 : le Web3 reposant sur la blockchain, il s’agit d’un écosystème ouvert dans lequel de nombreux tiers peuvent intervenir. Ainsi, il est nécessaire pour les entreprises de mobiliser les profils de responsable ou directeur cybersécurité, et de développer leur rôle au sein de l’organisation. Ces acteurs doivent pouvoir piloter des programmes de sensibilisation auprès des parties prenantes, d’analyse des risques, de mise à jour des procédures et des outils, etc., dans l’objectif de répondre à la fois aux impératifs de sécurisation des écosystèmes et aux risques inhérents à leur fonctionnement.