• 1000

KPMG France, leader de l’Audit et du Conseil, révèle les résultats de son étude Cybersecurity for Blockchain and Cryptos 2022 qui dresse un état des lieux des vulnérabilités dans l’écosystème blockchain et cryptos, à l’heure du développement exponentiel de la finance décentralisée, dont le montant total de fonds investis représente 10,6% de l'ensemble du marché des cryptomonnaies.

Entre autres résultats, l’étude souligne que :
— Le piratage d’infrastructures et d’applications de finance décentralisée a causé une perte de près d’1,2 milliards de dollars pendant le premier semestre 2022
— Ce montant correspond à une hausse de 692% des montants dérobés via des piratages par rapport au premier semestre 2021
— Face à cette menace croissante, KPMG ne recense qu’entre 1 000 et 1500 spécialistes capables de réaliser des audits de sécurité crypto dans le monde aujourd’hui.

Le Web3 à la merci des cyberattaques

Malgré les fortes garanties de sécurité inhérentes aux technologies liées à la blockchain, l’étude de KPMG montre que les infrastructures et les applications crypto, comme la finance décentralisée, ne sont pas à l’abri d’attaques.

Ce phénomène s’explique par le développement d'architectures Web3 complexes dont les fonctionnalités engendrent de nouvelles vulnérabilités, ainsi que des surfaces d’attaque étendues. Les smart contracts notamment peuvent contenir des failles qui permettent les piratages et vols de cryptoactifs. Les attaques concernent également les portefeuilles des utilisateurs ou les infrastructures elles-mêmes. Les attaquants exploitent en outre des fonctionnalités du monde de la finance décentralisée, comme les « flash loans ».

Les attaquants parviennent à tirer parti de la moindre erreur, notamment dans le code des smart contracts, ou dans la protection des portefeuilles. De tels piratages demandent des compétences très pointues, mais le nombre d’incidents montre qu’une telle expertise ne manque pas chez les acteurs malveillants.

Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France

Selon l’étude de KPMG, les piratages ont causé une perte de près d’1,2 milliards de dollars au cours du premier semestre 2022, avec notamment l’attaque emblématique sur le projet Ronin qui a entraîné le vol de près de 624 millions de dollars. Il s’agit d’autant de signaux qui attestent d’un manque de préparation de certains acteurs vis-à-vis des problématiques de cybersécurité, qui s’est traduit par une hausse de 692% de montants dérobés dans la finance décentralisée entre le T1 2021 et le T2 2022.

Un manque d’experts sur le marché

L’étude de KPMG montre par ailleurs que les vulnérabilités dans les projets crypto s’expliquent par un manque de spécialistes sur le marché, capables d’auditer des projets cryptos en matière de cybersécurité.

Si le premier cabinet d'audit spécialisé en sécurité crypto a été créé en 2012 et que ses pairs se sont multipliés depuis, il n'existe à ce jour qu’entre 1 000 et 1500 experts sur le sujet qui se répartissent entre 54 entreprises dans le monde. Ce chiffre signifie ainsi qu’il n’y aurait pour le Web3 que 5 à 8 auditeurs pour 100 développeurs aujourd’hui, ce qui est une proportion largement en-deçà des enjeux.

Développer le rôle du CISO

Pour répondre à la hausse des attaques et aux vulnérabilités du Web3, selon l’étude de KPMG, l’un des principaux leviers à la disposition des acteurs pour se protéger se situe au niveau du développement des compétences. En effet, alors que le Web3 semble paver la voie à des outils de plus en plus numériques et technologiques, l’analyse humaine est plus que jamais indispensable pour évaluer les risques et mettre en place des dispositifs adaptés pour s’en prémunir.

En cybersécurité, le périmètre des cryptos diffère du périmètre habituel du Web2 : le Web3 reposant sur la blockchain, il s’agit d’un écosystème ouvert dans lequel de nombreux tiers peuvent intervenir. Ainsi, il est nécessaire pour les entreprises de mobiliser les profils de responsable ou directeur cybersécurité, et de développer leur rôle au sein de l’organisation. Ces acteurs doivent pouvoir piloter des programmes de sensibilisation auprès des parties prenantes, d’analyse des risques, de mise à jour des procédures et des outils, etc., dans l’objectif de répondre à la fois aux impératifs de sécurisation des écosystèmes et aux risques inhérents à leur fonctionnement.

Alors que l’écosystème blockchain et cryptos entre dans une nouvelle phase de structuration et de développement, avec un intérêt croissant de la part des banques centrales et des acteurs de la finance traditionnelle, il est plus que jamais crucial d’investir dans la cybersécurité. Nous sommes encore seulement à l’aube du Web3 et nous devons investir dans les talents et les compétences pour travailler collectivement à la sécurisation de cet écosystème dont les immenses potentialités sont avérées, mais dont les garanties restent encore à consolider.