La matrice des risques décompose les domaines problématiques de la technologie blockchain | Article

Une nouvelle matrice des risques, «Blockchain Risk: Considerations for Professionals», vise à décrire et contextualiser plusieurs risques spécifiques associés à la mise en œuvre et au fonctionnement de la blockchain. Il a été développé conjointement par un groupe de travail composé de l’ISACA, de l’American Institute of Certified Public Accountants (AICPA) et du Chartered Institute of Management Accountants (CIMA).

La matrice est organisée en cinq domaines de risque – gouvernance, infrastructure, données, gestion des clés et contrats intelligents – et leurs sous-domaines pertinents.

«De nombreuses entreprises sont impatientes d’exploiter la puissance de la blockchain pour transformer leurs activités ou opérations», a déclaré Dustin Brewer, directeur principal de l’ISACA, technologies émergentes et innovation, dans un communiqué de presse. «Bien que l’utilisation de la blockchain présente de grands avantages, les praticiens doivent s’assurer de bien comprendre tous les types de risques pour éviter d’exposer potentiellement leur entreprise à des vulnérabilités, des vecteurs d’attaque ou d’autres problèmes avant la mise en œuvre, voire rétroactivement, si nécessaire. »

Vous trouverez ci-dessous une brève description de chaque domaine de risque, tel que décrit plus en détail dans la matrice des risques:

• Gouvernance «Englobe la conception de la blockchain, y compris des paramètres, des protocoles ou des algorithmes spécifiques, ainsi que des directives ou des exigences en matière de surveillance réglementaire et de gestion», selon la matrice des risques. Un exemple serait les politiques et procédures qui «incluent des directives de surveillance réglementaire et de gestion ou des exigences de la blockchain».
• Infrastructure est « toute fonctionnalité ou capacité de blockchain indépendante d’une transaction de données sur la blockchain. » Les vulnérabilités logicielles en sont un exemple.
• Données est définie comme «des informations hors chaîne qui sont stockées ou transmises dans un format lisible par ordinateur et utilisées pour effectuer des transactions ou interagir sur un réseau blockchain, ou des données en chaîne qui proviennent d’un réseau blockchain et sont traitées comme une source de vérité pour un objectif commercial. » La matrice des risques décrit sept sous-catégories de ce domaine, y compris l’intégrité des données, les droits d’accès, le gonflement de la blockchain, les transactions non standard, la sortie de données, les données hors limites et les adresses orphelines.
• Gestion des clés décrit la «gestion des clés publiques et privées» et contient 19 exemples différents de risques posés par les clés.
• Contrats intelligents sont «des réseaux de chaînes de blocs et d’autres technologies de grand livre distribué qui exécutent des machines virtuelles et du code décentralisé, et permettent le transfert de valeur programmatique et l’enregistrement de l’état et d’autres données de transaction.» La matrice des risques décrit quatre sous-domaines de cette catégorie: le risque de gouvernance, le risque de conception, le risque d’interaction externe et le risque de manipulation / déni de service.

«Les décisions de mise en œuvre de la technologie blockchain ne devraient être prises qu’après une évaluation minutieuse du risque», a déclaré le groupe de travail conjoint. «Si la blockchain a déjà été mise en œuvre, les entreprises doivent effectuer des examens rétrospectifs pour identifier les risques liés à la gouvernance, à l’infrastructure, aux données, à la gestion des clés et aux contrats intelligents, le cas échéant, et déceler toute lacune de contrôle susceptible de compromettre les objectifs de l’entreprise.»