Finst

La sécurité de la crypto exige bien plus que des audits pour éviter les pertes

Les audits réduisent les erreurs de code, mais les plus grandes pertes en crypto proviennent désormais souvent des clés, de la gouvernance et des erreurs opérationnelles. Pourquoi une approche de sécurité plus large est nécessaire, c’est ce que vous découvrirez ici.

Par Mike Hesp
• Lecture : 2 min
La sécurité de la crypto exige bien plus que des audits pour éviter les pertes

À retenir

  • Le nombre d’audits de code dans la crypto a triplé depuis 2022, mais les pertes liées aux hacks et aux exploits restent élevées.
  • Selon Oak Security, les audits traditionnels se concentrent surtout sur le code, tandis que les attaquants exploitent de plus en plus les clés privées, la gouvernance et les faiblesses opérationnelles.
  • Le secteur a besoin, en plus des audits, d’une approche de sécurité plus large, avec une gestion des clés renforcée, une surveillance en temps réel et la formation du personnel.

Le marché des cryptomonnaies est confronté depuis des années à de graves problèmes de sécurité. Bien que le nombre d’audits de code ait triplé depuis 2022, les pertes liées aux hacks et aux exploits restent élevées. Une étude d’Oak Security montre que les audits traditionnels traitent surtout les vulnérabilités du code, tandis que les attaquants exploitent de plus en plus les faiblesses humaines et opérationnelles. Le nombre d’incidents et l’ampleur des pertes demeurent ainsi particulièrement élevés.

Les limites des audits de code traditionnels

La qualité des audits de code s’est nettement améliorée ces dernières années. Les sociétés de sécurité utilisent des outils avancés pour détecter rapidement les erreurs dans les smart contracts, ce qui a permis de réduire les attaques fondées sur des erreurs de code. Pourtant, les plus grandes pertes sont aujourd’hui souvent dues à des clés privées compromises, à la manipulation de la gouvernance, à des menaces internes, à des mises à jour malveillantes de dépendances et à des erreurs opérationnelles. Ces vulnérabilités échappent au champ des audits traditionnels, qui se concentrent principalement sur le code lui-même.

Il est évident que même le meilleur code ne sert pas à grand-chose si l’infrastructure opérationnelle sous-jacente est vulnérable. L’augmentation des attaques visant les facteurs humains, comme le phishing, en est un exemple, car les audits ne peuvent pas les empêcher. Il en résulte d’importants préjudices financiers que le secteur n’est, jusqu’à présent, pas parvenu à limiter suffisamment. En pratique, la sécurité repose donc de plus en plus sur une approche plus large, comme dans la réponse américaine au vol de cryptomonnaies, où prévention et enquête vont de pair.

L’illusion de sécurité créée par les audits

De nombreux projets crypto mettent en avant leur sécurité en soulignant le nombre et la réputation des audits réalisés. Cela crée toutefois un faux sentiment de sécurité. Un audit est une photographie à un instant donné d’une base de code précise, dans un périmètre défini, et ne garantit pas la sécurité future, surtout lorsque les protocoles sont modifiés, que la gouvernance évolue ou que les processus opérationnels sont révisés.

Cette idée reçue peut conduire à sous-estimer les risques extérieurs au code, alors que ce sont précisément là que se trouvent les menaces les plus graves. Les utilisateurs et les équipes peuvent ainsi penser que la sécurité est déjà réglée, alors que les véritables faiblesses se situent ailleurs.

Vers une approche de sécurité plus large

Le secteur peut difficilement espérer une adoption massive tant que la confiance reste fragilisée par des incidents de sécurité répétés. Au-delà des audits, il faut une stratégie de sécurité plus approfondie qui traite les risques humains et opérationnels. Cela suppose notamment des systèmes de gestion des clés plus robustes, une décentralisation des signataires, des limites dans la gouvernance, une surveillance en temps réel et des coupe-circuits.

Les plateformes d’échange crypto sont des organisations vivantes, avec des faiblesses humaines, et non de simples produits logiciels. Les attaquants ont adapté leurs tactiques et recherchent activement des vulnérabilités dans les systèmes humains. La prochaine étape de la sécurité de la crypto exige donc une approche globale qui va au-delà du code et qui s’intéresse à l’ensemble de l’écosystème, des personnes, des processus et de la technologie.

Pertinence pour les utilisateurs européens de crypto

Pour les utilisateurs et les projets européens, il est important de comprendre que la sécurité ne s’arrête pas à un audit positif. Les risques opérationnels et les facteurs humains peuvent eux aussi avoir un impact majeur, compte tenu notamment de la complexité de la réglementation et de la gouvernance en Europe. Cela souligne la nécessité, pour les entreprises européennes de crypto, d’investir non seulement dans des audits techniques, mais aussi dans une sécurité opérationnelle robuste et dans la formation du personnel, afin de renforcer la confiance des utilisateurs.

Avertissement: Ce contenu est fourni uniquement à des fins informatives et ne constitue pas un conseil financier, en investissement, juridique ou fiscal. Les informations fournies peuvent être incomplètes, inexactes ou obsolètes et ne doivent pas être considérées comme telles. Aucune information sur ce site web ne doit etre considerée comme une recommandation d'acheter, de vendre ou de conserver une cryptomonnaie. Investir en crypto-actifs comporte un risque de perte.