En affaires, il faut faire confiance à autrui – cela implique de se fier à quelqu’un pour qu’il fournisse la prestation promise. Plus la tâche confiée est complexe, les montants et la réputation en jeu importants, plus il faut que le niveau de confiance soit élevé. Les solutions de garde de cryptoactifs sont des services pour lesquels la transparence et la confiance envers le prestataire de services sur actifs virtuels (VASP) sont essentielles, puisque les actifs numériques peuvent facilement être perdus à jamais si les clés privées correspondantes ne sont pas suffisamment protégées.
Les prestataires de solutions de garde de cryptoactifs sont, en fait, des entreprises polyvalentes qui offrent des solutions de stockage sécurisé des actifs numériques. Ces services sont élaborés et exploités pour les investisseurs institutionnels et privés. Leur principal objectif consiste à assurer la disponibilité, la confidentialité et l’intégrité des clés privées utilisées par les clients pour accéder aux cryptoactifs, mais aussi à garantir la régularité des opérations (financières) pertinentes tout au long de leur cycle de vie.
Les prestataires de service de garde de cryptoactifs ont recours à une technologie sophistiquée, à des processus et à des contrôles conçus pour protéger les clés privées de leurs clients lors de leur génération et de leur utilisation. Leurs clients ne sont généralement pas en mesure d’évaluer de manière indépendante et transparente si leurs clés privées et, donc, leurs fonds, sont adéquatement protégées tout au long de leur cycle de vie. L’absence de transparence réduit la confiance accordée au prestaire.
Vous vous demandez peut-être comment remédier adéquatement à ce manque de transparence ? C’est là qu’un auditeur expérimenté et réputé peut intervenir, au moyen d’une attestation indépendante.
Le soutien que PwC nous a apporté, en tant qu’auditeur indépendant, dès les tout débuts du développement des produits de Bitcoin Suisse Vault, en 2017, a joué un rôle prépondérant pour Bitcoin Suisse, parce que nous avions besoin des experts qualifiés pour obtenir une évaluation indépendante afin d’éprouver nos équipes internes et notre architecture de solutions et renforcer encore la sécurité et la stabilité de la solution Bitcoin Suisse Vault pour nos clients et notre propre usage.
L’auditeur peut établir une attestation indépendante évaluant l’environnement informatique, les processus et les contrôles du prestataire de service de garde de cryptoactifs par rapport à un cadre de contrôle défini. L’auditeur évalue si les risques pertinents sont atténués par des contrôles clés suffisants et si ces contrôles sont adéquatement conçus et déployés à un moment particulier (premier périmètre de la mission d’assurance) ou s’ils sont efficacement exploités sur une période déterminée (second périmètre de la mission d’assurance). L’auditeur indépendant délivrera ensuite une attestation détaillant notamment le cadre de contrôle, les procédures d’évaluation réalisées, leurs résultats et les conclusions tirées. Dans le cas du Bitcoin Suisse Vault, cette attestation, reprise dans le rapport d’audit sur les états financiers, a résulté du travail novateur réalisé par Bitcoin Suisse, sa filiale Swiss Crypto Vault et PwC.
Le rapport d’assurance indépendant contient en outre une conclusion assortie d’une « assurance limitée » (formulée de manière négative, à savoir : « Sur la base des procédures réalisées, nous n’avons pas relevé d’élément indiquant que les affirmations de la direction concernant XYZ contiennent des inexactitudes matérielles ») ou « raisonnable » (formulée de manière positive, à savoir : « Sur la base des procédures réalisées, nous parvenons à la conclusion que les affirmations de la direction concernant XYZ sont raisonnables »).
En général, les rapports d’évaluation indépendants concernant les prestataires de service de garde de cryptoactifs et leurs services porteront sur les domaines suivants, en fonction des besoins et de la situation propres à chaque prestataire de services sur actifs virtuels :
- Gouvernance
- Génération de clés, y compris le runbook de remise des clés
- Gestion des clés
- Autorisation / signature des opérations
- Gestion des accès logiques
- Gestion du changement
- Sauvegarde et restauration, ainsi que reprise en cas de sinistre informatique
- Sécurité environnementale / matérielle
- Gestion de la vulnérabilité
Pour un prestataire de solutions de garde de cryptoactifs, recourir à un auditeur indépendant est une possibilité qui devient de plus en plus une nécessité, puisque cela apporte la transparence attendue par toutes les parties prenantes impliquées.
Markus Perdrizat dirige la division Crypto Storage de Bitcoin Suisse. Il est président-directeur général de Swiss Crypto Vault AG depuis 2020. Il possède une grande expertise de l’infrastructure des TI et de la sécurité de la blockchain et des cryptoactifs. Markus Perdrizat vient de PwC, où il a dirigé l’équipe des technologies émergentes de la division Risk Assurance pendant quatre ans. Auparavant, il a occupé diverses fonctions pendant plus de quinze ans à UBS, dont Auditeur Informatique, Product Manager, Systems Architect et responsable de l’équipe Global Oracle Engineering. Il est membre du groupe du travail sur la cybersécurité de la Crypto Valley Association, qu’il préside depuis 2020. Markus Perdrizat détient un Bachelor en systèmes d’information d'entreprise.
Jérôme Mingard dirige nos équipes de spécialistes en technologies au service de nos clients bancaires en Suisse romande. Grâce à son expertise du secteur financier dans les domaines des risques opérationnels, de la gestion des risques informatiques et des actifs numériques, il aide de nombreux clients dans la mise en place de leurs rapports de contrôles (ISAE 3000 et ISAE 3402). Il a notamment accompagné avec succès une maison de titres active dans le négoce d'actifs numériques dans son processus d'obtention d'une licence FINMA et supervisé un test sectoriel d'infrastructure décentralisée de marché utilisant la technologie des registres distribués pour l'émission et la négociation de titres tokenisés. Jérôme est au bénéfice d’un Master en Management, Technologie et Entrepreneuriat de HEC Lausanne.
#social#