Écrit par Tonya Riley
Même si les marchés de la crypto-monnaie sont confrontés à des turbulences économiques, il existe un segment des industries basées sur la blockchain où les affaires sont en plein essor : la sécurité de la blockchain.
Une petite industrie de cabinets d’audit formée au cours des dernières années pour faire face à la technologie émergente peut désormais attendre jusqu’à un an avant même de commencer à travailler avec les clients et une liste croissante d’offres d’emploi qu’ils ne peuvent pas pourvoir assez rapidement.
Et les investisseurs affluent également pour obtenir une part de l’action, injectant des millions de dollars dans des entreprises qui promettent d’aider à protéger un écosystème de crypto-monnaie de plus en plus fragile.
De l’extérieur, la course à la sécurité semble être une correction de cap attendue depuis longtemps pour une industrie désormais en proie à des piratages de plusieurs millions de dollars quasi hebdomadaires. Cependant, les experts en sécurité de l’industrie ne voient pas tous nécessairement le boom des affaires comme une victoire absolue pour l’industrie, disent-ils à CyberScoop. Au lieu de cela, ils disent que cela pointe vers un défi beaucoup plus profond pour l’industrie : cultiver le type de talent en sécurité nécessaire pour maintenir en sécurité une industrie financière en pleine croissance sous la menace constante des piratages.
« Ce n’est pas une bonne chose qu’il y ait une dépendance vis-à-vis des consultants en terminaux pour les compétences de base requises pour créer un logiciel de blockchain », a déclaré Dan Guido, fondateur de la société de sécurité Trail of Bits.
Les sociétés de cryptographie engagent Trail of Bits pour auditer indépendamment leur code à la recherche de vulnérabilités, un processus qui, selon Guido, rassure l’entreprise mais ne constitue pas le même niveau de sécurité que les examens de sécurité complets ou en cours.
Alors que des experts comme Guido conseillent catégoriquement que les entreprises intègrent d’autres processus de sécurité dans leurs processus de développement et de révision, les audits externes sont devenus une béquille pour une industrie entravée par un manque d’experts en sécurité de la blockchain.
« Ce n’est pas une bonne chose qu’il y ait une dépendance à l’égard des consultants en terminaux pour les compétences de base requises pour créer un logiciel de blockchain. »
Dan Guido, fondateur de Trail of Bits.
« Vous avez une pénurie de talents dans la cybersécurité, en général », a déclaré David Schwed, directeur de l’exploitation de la société de sécurité blockchain Halborn. « Et puis une sous-section de cela est cette technologie nouvelle et émergente où elle nécessite un type de réflexion différent de celui des professionnels traditionnels de la cybersécurité. »
Les projets de blockchain présentent des défis distincts pour les professionnels de la sécurité. Avant tout, beaucoup sont écrits dans des langages de codage plus récents et moins courants tels que Solidity, ce qui réduit le nombre de personnes pouvant auditer le code. Contrairement à de nombreux autres systèmes, qui sont conçus pour être fermés dans le but de contrecarrer les attaques, la blockchain est publique, ce qui signifie que les pirates ont un livre ouvert pour les vulnérabilités.
Le plus grand obstacle pour trouver le bon talent n’est pas tant d’enseigner aux gens la blockchain que de trouver quelqu’un avec le bon état d’esprit, dit Schwed.
« Je ne veux pas dire que c’est un niveau de paranoïa différent, mais c’est vraiment ce qui est requis dans ce domaine », a déclaré Schwed. « Une transaction est immuable. C’est parti. C’est l’élément important qu’ils doivent comprendre. Compte tenu de la nature de certaines attaques, les experts en sécurité doivent également comprendre comment la technologie fonctionne du côté commercial, dit-il.
Les grandes entreprises de crypto-monnaie adoptent une approche similaire pour trouver des talents. Nick Percoco, le directeur de la sécurité de l’échange d’actifs numériques Kraken, dit qu’il recherche des candidats qui ont à la fois une solide expérience en matière de sécurité et un intérêt pratique pour la blockchain.
Percoco note que même si Kraken utilise des audits externes pour des raisons juridiques, le fait d’avoir une équipe de sécurité interne lui permet de tester en permanence les produits de Kraken pour détecter d’éventuelles vulnérabilités. Cela aide également à développer une culture de sécurité à l’échelle de l’entreprise, ce qui est particulièrement important alors que les pirates criminels et nationaux s’en prennent de plus en plus aux employés des entreprises de monnaie numérique.
« C’est plus que les systèmes, c’est plus que les politiques, c’est plus que le logiciel – c’est essentiellement un état d’esprit dans lequel tout le monde dans l’entreprise est mis », a déclaré Percoco.
Schwed et Percoco ont tous deux souligné les programmes de primes de bogues, dans lesquels des chercheurs indépendants en sécurité signalent des vulnérabilités pour une récompense, comme une autre avenue clé pour trouver de nouveaux talents. De grandes entreprises comme la plateforme NFT OpenSea et Solana organisent leurs propres hack-a-thons en complément des audits traditionnels.
Alors que l’industrie attend que les universités et les programmes de formation traditionnels répondent aux besoins de l’industrie de la blockchain, certains experts en sécurité ont adopté une approche pratique pour former de nouveaux talents.
« Il y a la tragédie des biens communs qui se produit avec l’éducation et le talent », explique Rajeev Gopalakrishna, un chercheur qui a fondé Secureum, une communauté d’apprentissage en ligne et un camp d’entraînement pour les experts en sécurité intéressés par la sécurité de la blockchain. « Tout le monde veut embaucher des talents. Mais qui va les former ou construire le contenu ?
Depuis 2021, des centaines de personnes ont utilisé le programme de formation en ligne de Secureum. Gopalakrishna dit qu’il connaît une vingtaine d’étudiants qui ont travaillé à temps plein dans des sociétés d’audit, bien que beaucoup aient acquis les compétences nécessaires pour faire plus de travail amateur comme des programmes de primes aux bogues. Trail of Bits propose également un programme d’apprentissage pour les experts en sécurité intéressés par la blockchain.
L’intervention humaine n’est pas la seule réponse. Les experts ont également souligné les progrès des outils automatisés qui peuvent aider les développeurs avec des fonctions de sécurité plus basiques. Mais de tels outils ne remplaceront jamais complètement l’expertise humaine, dit Guido. Son entreprise a découvert dans une étude que les outils automatisés n’ont détecté qu’environ 50% des vulnérabilités dans les projets de blockchain.
Bien sûr, résoudre le manque de compétences en matière de sécurité de la blockchain n’aidera la sécurité dans l’industrie que dans la mesure où le nombre croissant de startups crypto en profitera. Le cycle de développement rapide des projets de blockchain et la nature en plein essor de l’industrie signifient qu’il y aura toujours des développeurs qui ne donneront pas la priorité à la sécurité dès le départ.
« La posture de sécurité globale de l’espace augmentait, puis le marché haussier se produit, et il revient vraiment à ce qu’il était il y a quatre ans », a déclaré Mehdi Zerouali, co-fondateur de la société de sécurité Sigma Prime. « Et je pense que c’est juste une question d’avoir autant de personnes qui rejoignent cet espace, ayant potentiellement besoin de passer par les mêmes erreurs et de réaliser l’importance de la sécurité. »
Ces erreurs s’accumulent. Selon une estimation, les projets de blockchain ont perdu plus de 600 millions de dollars de crypto-monnaie à cause de piratages au cours du seul deuxième trimestre de 2022. Et certaines des pertes les plus importantes en 2022, y compris le piratage record de 600 millions de dollars d’Axie Infinity, étaient le résultat de cyberattaques traditionnelles, et non de l’exploitation de la technologie Web3. Plus récemment, les attaques persistantes des pirates nord-coréens contre les entreprises de crypto-monnaie ont secoué l’industrie et suscité les inquiétudes de la communauté de la sécurité nationale américaine.
« Cela a fait monter les enchères. Cela a rendu les conséquences de pannes même mineures beaucoup plus graves », a déclaré Guido. « Et je ne pense tout simplement pas que de nombreuses entreprises soient prêtes à opérer dans ce type d’environnement où elles ont un groupe de discussion dédié d’attaquants qui ne reculera devant rien jusqu’à ce qu’ils réussissent. »
Ces risques continueront de croître à mesure que la technologie blockchain se développera et deviendra plus complexe.
« Le DeFi moyen [decentralized finances] Le projet que nous examinerions il y a deux ans n’a rien à voir avec le projet DeFi moyen que nous aurions maintenant », a déclaré Zerouali. « Avec l’innovation vient la question ‘Comment le faire en toute sécurité ?’ Cela peut être extrêmement difficile. Donc, plus nous progressons, plus nous serons confrontés à la complexité et plus nous aurons à gérer de risques. »