Services de garde de cryptoactifs : risques et contrôles dans une perspective d’audit

Perçus comme une opportunité, les cryptoactifs ne sont pas sans risques. Ces risques, notamment lors de la génération puis dans la gestion des clés, doivent être traités par le propriétaire ou le tiers mandaté par ce dernier (dépositaire) avec la mise en place de contrôles ciblés et évalués de manière adéquate par l’auditeur.

1. Introduction

La technologie décentralisée de la blockchain a permis la mise en place de registres distribués dépourvus de toute instance de contrôle centralisée. Dans ce contexte, chaque utilisateur doit comprendre son rôle, y compris les tâches et les responsabilités correspondantes, ainsi que les risques qui y sont liés. La clé privée est ici l’élément central qui permet à l’utilisateur de déclencher des transactions et, par ce biais, de contrôler ses cryptoactifs. La gestion des clés est donc primordiale. En cas de perte des clés privées, il est impossible de demander leur réinitialisation ou une nouvelle clé privée auprès d’une instance centralisée. Seule une solution de sauvegarde adéquate permet de restaurer une clé privée.

Les fournisseurs de solutions de garde de cryptoactifs sont des prestataires de services qui offrent des solutions de stockage sécurisé des actifs numériques. Ces services sont élaborés et exploités pour les investisseurs institutionnels et privés. Leurs principaux objectifs consistent à assurer la disponibilité, la confidentialité et l’intégrité (« objectifs de protection ») des clés privées et de sécuriser les informations nécessaires à la récupération (désignées « sauvegardes » ci-après) afin que les clients puissent accéder aux cryptoactifs concernés.

2. Les risques liés aux services de garde de cryptoactifs

Les clés privées permettent à un utilisateur d’accéder à ses actifs numériques et assurent une protection contre les accès ou les transactions non autorisés. Si une clé privée a été compromise – en cas de fraude ou de vol, par exemple – des tiers peuvent alors contrôler les actifs numériques. C’est pourquoi il est absolument indispensable de sécuriser la génération et la conservation des clés privées ainsi que de leurs sauvegardes.

Toute atteinte à la confidentialité, à la disponibilité ou à l’intégrité des clés privées et de leurs sauvegardes engendre des risques considérables :

  • Confidentialité : le risque que des personnes non autorisées puissent accéder ou accèdent aux clés privées ou aux sauvegardes. Un accès non autorisé peut ouvrir la possibilité d’effectuer des transactions et d’accéder aux actifs numériques.
  • Disponibilité : le risque que les clés privées et leurs sauvegardes ne soient plus (ou pas immédiatement) disponibles. La perte de la disponibilité des clés privées et de leurs sauvegardes peut empêcher définitivement l’accès aux actifs numériques.
  • Intégrité : le risque que les clés privées ou leurs sauvegardes soient modifiées, volontairement ou non, et ne soient plus lisibles. Si l’intégrité des clés privées et de leurs sauvegardes est compromise, cela peut également bloquer l’accès aux actifs numériques.

Des principaux risques précédemment évoqués, il en résulte les risques concrets suivants dans les phases essentielles du cycle de vie des clés privées :

  • Cérémonie des clés : lors de la cérémonie des clés (génération des clés privées), il existe notamment le risque que les clés privées soient consultées et par exemple copiées au moment de leur création ou lors de leur acheminement vers le lieu où elles seront stockées avec leurs sauvegardes. Il peut s’agir de personnes impliquées ou non dans la cérémonie, qui réussissent par exemple à accéder à certains composants techniques comme la mémoire d’une imprimante.
  • Administration des clés : l’administration des clés privées et de leurs sauvegardes comporte un risque inhérent de perte, de vol ou de perte de lisibilité. Il existe également un risque de fraude si la conservation des clés privées et des sauvegardes n’est pas précédée d’une répartition claire des tâches ou si les responsables des contrôles et de la sécurité négligent les normes de sécurité prévues. De plus, les clés privées et leurs sauvegardes conservées en des lieux différents doivent également être protégées contre les accès non-autorisé et les dommages physiques.
  • Transactions : lors de l’initiation et de l’approbation de transactions portant sur des actifs numériques, un système de contrôle insuffisant ou une séparation insuffisante des fonctions peuvent engendrer des risques financiers. Dans l’univers des banques traditionnelles, le remboursement des actifs financiers est généralement possible en cas d’erreur ou de fraude – mais ce n’est pas le cas dans le monde des cryptoactifs.

La perte du contrôle de cryptoactifs présente aussi des risques considérables du point de vue de l’établissement des comptes.

  • Dépositaire (« custodian ») : les cryptoactifs sur lesquels le dépositaire n’exerce plus de contrôle doivent être éliminés des actifs avec l’enregistrement d’une perte correspondante dans le compte de résultat. Comme le dépositaire assume généralement le risque de garde, il subsiste un engagement vis-à-vis du client dans ces cas-là. Le custodian perçoit le plus souvent un petit pourcentage des cryptoactifs conservés. Il faut donc s’attendre à ce que les fonds propres soient plutôt limités par rapport aux cryptoactifs gardés. En effet, en cas de perte partielle des cryptoactifs et sans couverture suffisante du risque de perte, un dépositaire peut rapidement se retrouver dans une situation de surendettement. Si l’assainissement du dépositaire est impossible, cela signifierait aussi que les clients devraient effectuer des amortissements sur une partie ou la totalité de leurs cryptoactifs.
  • Entreprises avec cryptoactifs au bilan : les cryptoactifs sur lesquels l’entreprise n’exerce plus de contrôle doivent être éliminés des actifs avec l’enregistrement d’une perte correspondante dans le compte de résultat.
  • Banques et gestionnaires de fortune avec cryptoactifs hors bilan : lorsqu’une banque ou un gestionnaire de fortune affiche des cryptoactifs hors bilan, une perte du contrôle des cryptoactifs concernés peut conduire à une inscription de l’engagement client correspondant au bilan – sous réserve que le risque de garde soit assumé par la banque elle-même ou le gestionnaire de fortune lui-même. Pour cette raison, et en raison du risque accru qui pèse sur les cryptoactifs hors bilan, un auditeur doit effectuer les mêmes procédures d’audit que pour les cryptoactifs au bilan.

La garde de cryptoactifs peut avoir un impact considérable sur l’entreprise et l’audit. En cas de perte du contrôle des actifs numériques, les actifs doivent aussi être amortis et/ou de nouveaux engagements portés au bilan. Il peut rapidement en résulter un surendettement et un assainissement selon l’étendue des pertes et l’état des fonds propres.

3. Types de solutions de garde de cryptoactifs

La protection des clés privées et de leurs sauvegardes revêt une importance cruciale. En particulier, les clés privées et leurs sauvegardes doivent être conservées séparément et protégées contre les attaques internes et externes. Il existe à cet effet des solutions professionnelles de garde de cryptoactifs visant à réduire les risques évoqués en lien avec la confidentialité, la disponibilité et l’intégrité des clés privées et de leurs sauvegardes tout au long de leur cycle de vie.

Les entreprises doivent s’interroger sur la solution de garde de cryptoactifs adaptée à leurs besoins. À cet égard, elles doivent prendre deux aspects en considération :

1. La solution de garde des cryptoactifs doit-elle être internalisée ou externalisée ?

Cette réflexion est importante du point de vue stratégique et commercial. Si la solution est mise en place en interne, l’entreprise doit en particulier acquérir l’expérience nécessaire et les connaissances requises. En revanche, si elle fait appel à la solution de garde de cryptoactifs d’un prestataire externe, la tâche en elle-même peut être déléguée à ce prestataire, mais la responsabilité – en particulier du système de contrôle interne – relève toujours de l’entreprise. Les prestataires professionnels de solutions de garde de cryptoactifs proposent des rapports de contrôle en adéquation avec les normes ISAE 3000 ou ISAE 3402 et le cas échéant, SOC 1 ou 2 sur lesquels leurs clients peuvent s’appuyer afin d’évaluer et surveiller les processus, risques et contrôles externalisés.

2. Faut-il opter pour une solution en « cold », « warm » ou « hot storage » ?

Dans la pratique, on opère une distinction entre cold, warm et hot storage :

  • Les solutions cold storage, également appelées portefeuilles hors ligne, sont physiquement isolées des autres systèmes. Généralement considérés comme une solution plus sécurisée de garde de cryptoactifs, ils ont toutefois pour corollaire un délai important dans l’approbation et l’exécution des transactions. C’est la raison pour laquelle ils sont principalement utilisés pour le stockage à long terme des actifs numériques.
  • Dans le cas des solutions hot storage, les portefeuilles sont en ligne en permanence. Cela signifie qu’ils sont toujours reliés à la blockchain et que les transactions peuvent être approuvées et donc exécutées dans un délai court.
  • Les solutions warm storage sont prévues pour tirer avantage des deux types précédents.

4. Risques et mesures du point de vue de l’auditeur

Pour évaluer les risques exposés précédemment, l’auditeur tenir compte de nombreux facteurs. Il vérifie la mise en place de contrôles adaptés pour l’administration sécurisée des clés privées et de leurs sauvegardes tout au long de leur durée de vie. Si les justificatifs des contrôles adaptés ne couvrent pas l’ensemble du cycle de vie, il existe un risque que les clés privées aient déjà été compromises dans le passé et que les actifs numériques puissent disparaître à tout moment.

Peu importe que la solution soit exploitée par l’entreprise elle-même ou par un prestataire de services. Si la solution mise en place en interne, l’auditeur est également responsable de l’évaluation indépendante des risques et de la vérification des contrôles. Si la solution est externalisée et que le prestataire de services fournit un rapport de contrôle, il est possible de s’appuyer sur ce document. L’auditeur doit examiner ce rapport de contrôle en détail et, le cas échéant, réaliser des « Complementary User Entity Controls » (contrôles incombant aux destinataires du rapport).

Pour que les clés privées soient couvertes sur l’ensemble de leur cycle de vie avec suffisamment de preuves, il est recommandé de faire appel à l’auditeur dès le début. Dans la pratique, il est courant que l’auditeur (ou autre tiers indépendant) participe à la cérémonie des clés afin de réduire les risques potentiels dès cette étape. Dans tous les cas, la cérémonie des clés doit être suffisamment documentée pour garantir la possibilité d’un audit.

Lorsqu’il se penche sur la garde des clés privées, l’auditeur doit prendre en considération les clés privées ainsi que l’ensemble des sauvegardes. Il doit s’assurer des mesures mises en place pour la gestion de la garde sécurisée des clés privées, mais également vérifier que leurs sauvegardes sont soumises aux mêmes exigences de sécurité.

L’auditeur doit également avoir l’assurance que la signature des transactions se déroule dans un environnement sécurisé. Pour ce faire, il doit vérifier si et de quelle manière l’entreprise a mis en œuvre un processus permettant de garantir que seuls des collaborateurs autorisés puissent déclencher la sortie (virement, vente, etc.) de cryptoactifs – au minimum selon le principe de la double vérification. Le point de départ est un règlement des compétences pour l’exécution de transactions sur la blockchain.

Du point de vue de l’auditeur, il importe aussi que l’entreprise dispose effectivement d’un accès à ses actifs numériques. Il s’en assure par des procédures d’audit correspondantes. Les procédures de signature d’un message (envoyé via la blockchain) sont particulièrement adaptées à cet effet. Si la solution de garde de cryptoactifs n’offre pas cette possibilité, des microtransactions (simulation d’une transaction pour démontrer le contrôle des clés privées) peuvent être exécutées.

Comme nous l’avons évoqué, il importe que l’auditeur effectue en général les mêmes procédures d’audit concernant les cryptoactifs hors bilan d’une société financière qui assume elle-même le risque de garde, que pour les cryptoactifs au bilan.

L’auditeur doit évaluer soigneusement les probabilités de perte des actifs numériques pour établir une conséquence éventuelle sur les comptes annuels, surtout en ce qui concerne les hypothèses quant à la capacité de l’entreprise à continuer son activité. Lors de la remise de l’opinion d’audit, il doit par exemple veiller à ce que le système de contrôle interne audité empêche effectivement toute possibilité de perte des actifs numériques dans les douze mois suivants, si une perte de ces actifs menace la capacité de continuité de la société.

5. Conclusion

Les clés privées et leurs sauvegardes jouent un rôle central pour l’accès et le contrôle des actifs numériques sur la blockchain. Un système de contrôle fonctionnel permet de réduire les risques liés à la disponibilité, la confidentialité, l’intégrité (« objectifs de protection ») des clés privées et de leurs sauvegardes. Cela doit être une priorité absolue, car la perte éventuelle du contrôle des cryptoactifs peut engendrer des risques majeurs pour l’entreprise. L’auditeur doit tenir compte de ces risques par des procédures d’audit correspondantes. Il doit notamment demander un justificatif démontrant la mise en œuvre de contrôles adaptés au stockage sécurisé des clés privées et de leurs sauvegardes tout au long du cycle de vie. En complément, l’auditeur doit idéalement participer à la cérémonie des clés, lors de laquelle les clés privées sont générées. En outre, il doit comprendre que seuls les collaborateurs autorisés peuvent déclencher la sortie des cryptoactifs et que l’entreprise peut effectivement accéder à ses actifs numériques. Enfin, l’auditeur doit évaluer soigneusement les probabilités de perte des actifs numériques après la remise de son rapport et s’assurer que le système de contrôle audité empêche toute perte de nature à menacer l’existence de l’entreprise durant l’exercice à venir.

Crypto custody assurance

La transparence et la confiance envers les solutions de garde de cryptoactifs

En affaires, il faut faire confiance à autrui – cela implique de se fier à quelqu’un pour qu’il fournisse la prestation promise. Les solutions de garde de cryptoactifs sont des services pour lesquels la transparence et la confiance envers le prestataire de services sur actifs virtuels (VASP) sont essentielles, puisque les actifs numériques peuvent facilement être perdus à jamais si les clés privées correspondantes ne sont pas suffisamment protégées.

En savoir plus

Adrian Keller

Adrian Keller dirige le service Blockchain & Crypto Audit de PwC Suisse depuis 2016. Adrian et son équipe auditent et conseillent les clients spécialisés dans la blockchain et les cryptoactifs, ainsi que les clients du secteur des services financiers basés sur la blockchain. Il travaille en étroite collaboration avec les acteurs du marché et s’engage dans diverses initiatives et associations. Adrian est expert-comptable diplômé suisse et conférencier pour l’audit de blockchain à l’organisation professionnelle des experts en audit, EXPERTsuisse.

Jérôme Mingard

Jérôme Mingard dirige nos équipes de spécialistes en technologies au service de nos clients bancaires en Suisse romande. Grâce à son expertise du secteur financier dans les domaines des risques opérationnels, de la gestion des risques informatiques et des actifs numériques, il aide de nombreux clients dans la mise en place de leurs rapports de contrôles (ISAE 3000 et ISAE 3402). Il a notamment accompagné avec succès une maison de titres active dans le négoce d'actifs numériques dans son processus d'obtention d'une licence FINMA et supervisé un test sectoriel d'infrastructure décentralisée de marché utilisant la technologie des registres distribués pour l'émission et la négociation de titres tokenisés. Jérôme est au bénéfice d’un Master en Management, Technologie et Entrepreneuriat de HEC Lausanne.

#social#

Nous contacter

Adrian Keller

Adrian Keller

Partner and Leader Audit for Blockchain, PwC Switzerland

Tel : +41 58 792 23 09

Jérôme Mingard

Jérôme Mingard

Director Blockchain Assurance, PwC Switzerland

Tel : +41 58 792 92 04

Ralf Hofstetter

Ralf Hofstetter

Partner, Sustainability Assurance, PwC Switzerland

Tel : +41 58 792 5625