Crypto Custody : la clé de votre réussite

Bien que séduisantes, les crypto-monnaies présentent des risques spécifiques devant faire l’objet d’une attention particulière. Ainsi, une gestion réfléchie des clés privées est nécessaire pour la sécurité de leur garde (« Crypto Custody »). En effet, les clés privées garantissent la propriété et l’accès aux actifs numériques. Que l’entreprise assure elle-même la garde de ses clés privées, ou qu’elle la délègue à un dépositaire tiers, il est important que les risques associés soient identifiés et traités avec diligence.

Les crypto-monnaies utilisent la technologie des registres distribués (« Distributed Ledger Technology » ou « DLT »), la Blockchain. À l’inverse des banques qui opèrent sur les marchés financiers traditionnels, la technologie Blockchain ne repose pas sur des instances centrales de contrôle. En conséquence, un utilisateur qui dispose des connaissances techniques adéquates est en mesure de gérer lui-même ses propres actifs numériques. Pour ce faire, il utilise des clés privées avec lesquelles il approuve ses transactions et contrôle ainsi ses actifs numériques. S’il perd une clé privée, aucune instance centrale ne lui permet de la réinitialiser ou de la récupérer, d’où l’importance de la conserver de manière adaptée au moyen d’un code de sauvegarde (« Seed ») permettant de restaurer la clé privée et/ou la sauvegarde de la clé privée elle-même. Cette complexité impose à toute personne qui investit dans des crypto-monnaies de comprendre les devoirs et responsabilités de l’ensemble des acteurs impliqués et de connaître et de limiter les risques liés à leur sécurisation.

Exploiter les avantages et gérer les risques

D’ici quelques années, la majeure partie des produits financiers pourraient être proposés sans instance centrale de contrôle. En rendant possible un règlement des transactions ultrarapide, les crypto-monnaies permettent la mise en œuvre de produits financiers numériques innovants tout en réduisant le capital immobilisé, elles offrent également des coûts de transactions drastiquement inférieurs.

Dans ce contexte, il est compréhensible que les investisseurs, institutionnels comme privés, souhaitent profiter de ces avantages. Tous ces acteurs doivent cependant être conscients des risques liés à la garde de leurs crypto-monnaies. En cas de perte ou d’altération d’une clé privée et de sa sauvegarde, l’investisseur court le risque de perdre l’accès à ses crypto-monnaies ou que des personnes non autorisées puissent déclencher des transactions non autorisées. Le risque de fraude est aussi présent, si la solution de garde n’est pas accompagnée d’une répartition claire des tâches ou présente des déficiences de sécurité. Dans le monde de la banque traditionnelle, une restitution des avoirs est généralement possible en cas d’erreur ou de fraude. Dans le monde des crypto-monnaies, ce postulat ne s’applique pas.

Optimiser la garde

Les investisseurs doivent conserver leurs clés privées et leurs sauvegardes de façon séparée et les protéger contre les attaques. C’est là que les offres de service de Crypto Custody entrent en jeu : ces offres garantissent la disponibilité, la fiabilité et l’intégrité des clés privées et permettent leur restauration. Selon leur expertise technique, les investisseurs peuvent exploiter leurs propres solutions de Crypto Custody ou faire appel à des opérateurs externes.

Intégrer les auditeurs

La mission de l’auditeur d’une entreprise qui exploite des crypto-monnaies est de veiller à ce que les clés privées et leurs sauvegardes soient conservées de façon appropriée et que les contrôles correspondants soient réalisés. Il doit pouvoir vérifier que l’entreprise a bien accès à ses actifs numériques et qu’aucune personne non autorisée n’ait pu consulter ou s’approprier des données relatives aux clés privées.

Il doit également vérifier que les contrôles couvrent toute la durée de vie des clés privées, dès leur création. Si ce n’est pas le cas, le risque est que les clés aient déjà été compromises et que les crypto-monnaies puissent être accessibles par un tiers à tout moment. C’est pourquoi nous recommandons d’impliquer l’auditeur dès la cérémonie des clés.

Par la suite, l’auditeur apporte de la transparence et de la confiance sur le processus de validation des transactions. Il vérifie si et comment l’entreprise garantit que seuls des collaborateurs autorisés ou signataires autorisés puissent approuver les transactions de crypto-monnaies en appliquant, au minimum, un double contrôle.

Enfin, il évalue soigneusement la probabilité de perte des actifs numériques de l’entreprise, ainsi que l’impact que cette perte pourrait avoir sur ses états financiers. Son rapport d’audit doit attester de la mise en place de contrôles appropriés pour prévenir les risques identifiés et garantir que des mesures sont en place pour garantir la poursuite de l’exploitation de l’entreprise.

Allier transparence et confiance

Les crypto-monnaies redéfinissent la relation entre entreprises, dépositaires et auditeurs (cf. illustration). Pour garantir une garde externe sécurisée, chacune des parties prenantes doit assumer ses responsabilités et collaborer en confiance avec les autres.

  • L’entreprise qui utilise des crypto-monnaies doit choisir une solution de garde adaptée et garantir l’existence d’un système de contrôle interne basé sur les risques. Si elle choisit une solution externe, c’est le dépositaire qui réalise la plupart des contrôles. Ces derniers restent cependant de la responsabilité ultime de l'entreprise.
  • Le dépositaire assume le risque de garde. Le plus souvent, il se rémunère sur la base d’un pourcentage des valeurs dont il assume la garde. En cas de perte de crypto-monnaies qui ne seraient pas totalement couvertes par une assurance, il devra en assumer les conséquences financières et pourrait se retrouver en situation de surendettement, ce qui impactera l’entreprise délégatrice. Le dépositaire exécute les contrôles et mandate un auditeur pour les évaluer et produire les attestations nécessaires.
  • L’auditeur prend en compte, lors de son évaluation du risque et l’exécution de ses procédures, le risque d’une perte des clés privées. Il exige notamment la preuve que des contrôles appropriés sont réalisés tout au long du cycle de vie des clés privées. Si l’entreprise a opté pour une solution de garde externe, il évalue de manière critique les attestations fournies par le dépositaire et s’assure notamment que des contrôles sont en place pour répondre aux risques identifiés et qu’aucune anomalie importante n’a été détectée.
Crypto custody assurance

Crypto Custody : la clé de votre réussite

Perçus comme une opportunité, les cryptoactifs ne sont pas sans risques. Ces risques, notamment lors de la génération puis dans la gestion des clés, doivent être traités par le propriétaire ou le tiers mandaté par ce dernier (dépositaire) avec la mise en place de contrôles ciblés et évalués de manière adéquate par l’auditeur.

En savoir plus

Adrian Keller

Adrian Keller dirige le service Blockchain & Crypto Audit de PwC Suisse depuis 2016. Adrian et son équipe auditent et conseillent les clients spécialisés dans la blockchain et les cryptoactifs, ainsi que les clients du secteur des services financiers basés sur la blockchain. Il travaille en étroite collaboration avec les acteurs du marché et s’engage dans diverses initiatives et associations. Adrian est expert-comptable diplômé suisse et conférencier pour l’audit de blockchain à l’organisation professionnelle des experts en audit, EXPERTsuisse.

Jérôme Mingard

Jérôme Mingard dirige nos équipes de spécialistes en technologies au service de nos clients bancaires en Suisse romande. Grâce à son expertise du secteur financier dans les domaines des risques opérationnels, de la gestion des risques informatiques et des actifs numériques, il aide de nombreux clients dans la mise en place de leurs rapports de contrôles (ISAE 3000 et ISAE 3402). Il a notamment accompagné avec succès une maison de titres active dans le négoce d'actifs numériques dans son processus d'obtention d'une licence FINMA et supervisé un test sectoriel d'infrastructure décentralisée de marché utilisant la technologie des registres distribués pour l'émission et la négociation de titres tokenisés. Jérôme est au bénéfice d’un Master en Management, Technologie et Entrepreneuriat de HEC Lausanne.

#social#

Nous contacter

Adrian Keller

Adrian Keller

Partner and Leader Audit for Blockchain, PwC Switzerland

Tel : +41 58 792 23 09

Jérôme Mingard

Jérôme Mingard

Director Blockchain Assurance, PwC Switzerland

Tel : +41 58 792 92 04

Ralf Hofstetter

Ralf Hofstetter

Partner, Sustainability Assurance, PwC Switzerland

Tel : +41 58 792 5625

Hide