Directeur de la technologie (CTO) chez NetSPI, un leader des tests d'intrusion et de la gestion des surfaces d'attaque.
Le marché de la blockchain devrait croître de 68,4 % au cours des quatre prochaines années, 86 % des cadres supérieurs estimant que la blockchain deviendra une technologie adoptée par le grand public. Alors que la majorité du monde a été obsédée par diverses crypto-monnaies, y compris le bitcoin, l'éthereum et le marché émergent des jetons non fongibles (NFT), les organisations ont adopté la technologie de blockchain dans les coulisses. Pour ce faire, les bonnes stratégies de formation et de mise en œuvre sont nécessaires, car sans stratégies de mise en œuvre appropriées prenant en compte les nuances architecturales, les organisations exposent leurs activités aux risques de sécurité.
Il existe une poignée de modèles de déploiement de blockchain : privé (ou interne), autorisé/consortium et public. Bien qu'ils possèdent tous des traits communs, chacun a ses propres nuances en ce qui concerne son utilisation et les risques de sécurité associés.
Déploiement privé (ou interne)
Les chaînes de blocs sur un réseau privé sont généralement isolées mais sont destinées à résoudre des problèmes d'efficacité opérationnelle interne. Ils offrent un plan de données alternatif aux architectures de bases de données traditionnelles, avec des contrats intelligents servant de procédures stockées.
Les réseaux privés sont plus rapides que les autres modèles de déploiement, en grande partie parce que toute l'infrastructure se trouve entre les quatre murs de l'organisation, mais surtout parce que le modèle de consensus n'exige pas de vérification sans confiance contrairement aux chaînes publiques. Lorsqu'ils sont déployés en interne, les processus deviennent plus efficaces, de sorte que les étapes de protection des actifs de l'entreprise sont mieux contrôlées. Nous le voyons spécifiquement avec la chaîne d'approvisionnement interne d'une organisation - la blockchain permet une prestation de services plus rapide et plus rentable.
PLUS DE CONSEILLER FORBESMeilleures compagnies d'assurance voyage
ParAmy DaniseEditorMeilleurs plans d'assurance voyage Covid-19
ParAmy DaniseEditorL'organisation qui contrôle les blockchains peut définir des exigences d'autorisation et mettre en œuvre sa propre sécurité précautions. En contrôlant quels utilisateurs peuvent afficher, ajouter ou modifier des données dans la blockchain, les informations privées sont protégées des tiers.
Alternativement, les blockchains privées sont potentiellement plus vulnérables à la fraude. Les organisations doivent donc comprendre l'interfonctionnement du réseau afin de corriger efficacement une vulnérabilité. Si un initié malveillant ou une cyberattaque se présente, les étapes à atténuer sont essentiellement les mêmes que pour toute autre cybermenace : effectuer des évaluations des risques, mettre en place des tests d'intrusion pour identifier les failles de sécurité et élaborer un plan de détection et de réponse aux menaces. Les organisations qui ont négligé de combler les lacunes de la blockchain dans leurs ressources informatiques et cybernétiques peuvent trouver que leurs manuels de réponse ne répondent pas complètement à leurs besoins.
Consortium, ou autorisation, déploiement
Les blockchains de consortium (ou blockchains autorisées/fédérées) sont contrôlées par plusieurs entités, ce qui présente ses avantages et ses inconvénients du point de vue de la sécurité. Comme pour les chaînes privées, les réseaux autorisés fonctionnent à une vitesse plus élevée grâce à la sélection d'un modèle de consensus qui prend en charge les relations de confiance.
Les blockchains de consortium sont relativement plus sécurisées, compte tenu de leur exposition limitée aux acteurs externes. Ainsi, les organisations doivent tenir compte des changements de données au sein du réseau et des implications sur les impacts opérationnels internes. Ils doivent également prêter attention à l'algorithme de consensus et s'assurer que les protections de la vie privée sont en place dès le début de l'adoption. Cela garantit que seuls ceux que vous voulez voir la chaîne peuvent y accéder. Lorsque la confidentialité des transactions est requise, une organisation doit s'assurer que la technologie sélectionnée prend en charge cette exigence. Ces types de précautions sont importants lorsqu'il y a des implications sur la vie privée des individus, par exemple lorsque les fournisseurs utilisent la technologie blockchain pour partager et stocker des informations personnellement identifiables (PII). Les équipes chargées de la confidentialité doivent être engagées pour comprendre et traiter les implications de la conservation permanente des données et de la législation mondiale sur la confidentialité.
Comprendre comment les données peuvent être modifiées de manière nuisible est important dans chaque blockchain, en particulier dans un réseau de consortium où plusieurs points d'accès existent. La modélisation des menaces est un moyen pour les responsables de la sécurité d'évaluer les problèmes de sécurité dans les déploiements de blockchain, car elle identifie les faiblesses potentielles de l'architecture et de la mise en œuvre, définissant les actions qui peuvent atténuer les menaces dans le système. Les tests de sécurité proactifs sont tout aussi importants que les tests d'infrastructure et d'application traditionnels. Les organisations doivent évaluer, identifier et atténuer les vulnérabilités des solutions qu'elles déploient.
Déploiement public
Les blockchains publiques sont exactement ce qu'elles sonnent : publiques. Toute personne disposant de l'algorithme (pensez-y comme une clé) peut rejoindre et accéder aux données de la blockchain. Ils sont généralement complètement décentralisés et plus transparents. Les chaînes de blocs publiques telles que Bitcoin et Ethereum sous-tendent un écosystème dynamique qui attire de plus en plus l'attention. Son indépendance vis-à-vis de tout État-nation ou organisation crée un mécanisme d'innovation économique et sociale. Ces registres distribués publics permettent aux gens de s'engager dans un écosystème mondial de manière fiable, en tirant parti d'une technologie qui est intrinsèquement sans confiance.
Cependant, le réseau public comporte des risques de sécurité importants auxquels les entreprises doivent faire attention. Nous avons déjà vu ces risques se concrétiser avec la récente brèche de Sky Mavis, où les pirates ont volé 173 600 en crypto-monnaie ethereum et 25,5 millions de dollars du jeu Axie Infinity du réseau Ronin. Nous allons continuer à voir ces violations se produire sous différentes formes, telles que la règle d'attaque de 51 %, les contrats intelligents vulnérables et la congestion du réseau.
En plus des risques traditionnels liés à l'infrastructure et aux applications, ce ne sont là que quelques-uns que les entreprises doivent prendre en compte lorsqu'elles interagissent avec des réseaux de blockchain publics et surveillent les failles. Comme pour les autres modèles de déploiement, les dirigeants doivent s'assurer que leurs équipes ont une formation et une perspicacité suffisantes dans la technologie blockchain pour évaluer leur risque grâce à des tactiques telles que la modélisation des menaces et les tests de sécurité.
Les blockchains font inévitablement partie du paysage technologique. C'est l'une des plus grandes avancées technologiques de la dernière décennie, même la Maison Blanche s'engageant à explorer ses avantages au niveau national. Les risques associés à la mise en œuvre des blockchains varient en fonction du cas d'utilisation et du modèle de déploiement associé, mais les avantages de la blockchain l'emportent sur ses risques de sécurité lorsqu'ils sont gérés correctement.
Bien que de nombreux aspects de la construction au-dessus de cette technologie reflètent le développement de solutions traditionnelles, les nuances de l'utilisation d'un plan de données sans confiance et distribué nécessitent une réflexion approfondie. Les équipes de technologie et de cybersécurité doivent comprendre ces nuances architecturales lorsqu'elles cherchent à les prendre en charge et à les défendre. En dehors du cadre de référence technologique, certains modèles ont également des implications en matière de confidentialité et de réglementation. Une fois que les dirigeants et leurs équipes auront assimilé et compris les risques qu'ils doivent résoudre, ils seront en mesure de faire progresser leurs stratégies au sein de l'écosystème et de libérer tout le potentiel des blockchains.
Forbes Technology Council est une communauté sur invitation uniquement pour les DSI, les CTO et les cadres technologiques de classe mondiale. Suis-je éligible ?