Les crypto-monnaies comme Bitcoin et Ripple ont changé le monde de plus de façons qu'on ne l'imagine. Bien qu'ils apportent de nombreux avantages à l'économie de la finance, ils attirent beaucoup l'attention des cybercriminels. Après tout, ce sont des monnaies virtuelles, et ils peuvent être perdus ou volés comme n'importe quelle devise stockée numériquement.

Et comme ils sont beaucoup plus jeunes que leurs homologues traditionnels (des devises comme le dollar américain et l'euro), ils sont plus vulnérables à diverses attaques. Aussi, les organisations traitant des crypto-monnaies sont très jeunes, avec des entreprises aussi jeunes que deux ou trois ans comme Binance - l'un des meilleurs échanges de crypto-monnaie sur la planète - a été fondée en 2017.

Puis, il n'y a pratiquement pas de normes éprouvées et recommandées par l'industrie pour sécuriser les crypto-monnaies, contrairement aux monnaies traditionnelles. Par exemple, il y a PCI DSS (Payment Card Industry Data Security Standard) pour les organisations qui demandent, En traitement, ou stocker des informations de carte de crédit. On peut dire que PCI DSS est une norme de sécurité pour les organisations travaillant avec des devises traditionnelles.

Pourtant, tout a changé avec l'introduction de la norme de sécurité crypto-monnaie (CCSS). Alors, quelle est cette norme, et comment cela aide-t-il les organisations?

Qu'est-ce que la norme de sécurité des crypto-monnaies ?

Cryptocurrency Security Standard (CCSS) est « un ensemble d'exigences pour tous les systèmes d'information qui utilisent des crypto-monnaies, y compris les échanges, des applications Web, et des solutions de stockage de crypto-monnaie. En standardisant les techniques et les méthodologies utilisées par les systèmes du monde entier, les utilisateurs finaux pourront facilement prendre des décisions éclairées sur les produits et services à utiliser et avec quelles entreprises ils souhaitent s'aligner, " selon le CryptoCurrency Certification Consortium (C4) - l'organisation définissant ces normes.

Cryptocurrency Security Standard (CCSS) - comme d'autres réglementations fédérales et normes de l'industrie telles que le règlement général sur la protection des données (RGPD) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) - aide à sécuriser les systèmes d'information et à effectuer des évaluations des risques de cybersécurité, permettant aux organisations de confirmer que leurs propres données et celles des clients sont sécurisées. CCSS est une percée indispensable dans le monde de la blockchain et des crypto-monnaies.

La raison étant les crypto-monnaies, grâce à leur popularité et leurs prix croissants, sont devenus des cibles lucratives pour les cybercriminels. C'est-à-dire, les entreprises travaillant avec la technologie blockchain et/ou les crypto-monnaies courent un risque élevé d'être attaquées. C'est pourquoi le CCSS est essentiel pour ces organisations.

Par example, 2019 a été témoin du plus grand nombre de piratages de crypto-monnaie.

Comment CCSS aide-t-il à sécuriser les organisations de blockchain et de crypto-monnaie ?

Cryptocurrency Security Standard (CCSS) présente les méthodologies et les techniques utilisées pour la sécurité de l'information par les organisations de blockchain et de crypto-monnaie, comme la plupart des normes de données. Il est créé pour compléter les normes de sécurité de l'information existantes comme ISO 27001:2013 en introduisant les meilleures pratiques de sécurité pour les crypto-monnaies comme Bitcoin et Ethereum.

Cela signifie que les entreprises demandent, stockage, ou travailler avec des crypto-monnaies de quelque manière que ce soit doit respecter les normes éprouvées de l'industrie, puis suivez également le CCSS.

CCSS compile une liste de 10 aspects de la sécurisation des systèmes d'information fonctionnant avec des crypto-monnaies. Ces aspects de sécurité sont des techniques uniques pour réaliser une partie d'un système d'information. Parmi ces dix aspects, leur valeur minimale définit la valeur globale du système d'information selon cette norme. Le CCSS définit trois niveaux de sécurité — Niveau I, Niveau II, et Niveau III - avec le Niveau I ayant la sécurité la plus faible parmi les trois niveaux, et le niveau III ayant la protection la meilleure et la plus complète selon la norme de sécurité des crypto-monnaies.

Cryptocurrency Security Standard organise ces aspects en deux domaines :la gestion des actifs cryptographiques et les opérations de crypto-monnaie. Sous le deuxième domaine, il demande des audits de sécurité, ce qui signifie que les organisations doivent subir des évaluations des risques de cybersécurité et des examens par des tiers de leurs contrôles de sécurité, systèmes, Stratégies, et processus.

Ces évaluations des risques aident les équipes de sécurité à valider que les contrôles de sécurité installés fonctionnent correctement comme prévu, car ces évaluations incluent des tests de pénétration et de vulnérabilité pour découvrir les zones d'attaque potentielles. Par example, Crypto.com - l'un des échanges établis - a obtenu le niveau III du CCSS et a réalisé une évaluation détaillée des cyber-risques en décembre 2019 pour valider son infrastructure de sécurité.

Pourtant, Le CCSS indique clairement que son champ d'application reste dans les limites de la crypto-monnaie des systèmes d'information. C'est-à-dire, il ne couvre pas le commun, pratiques et normes de sécurité connues pour améliorer la cybersécurité. C'est pourquoi CCSS doit être mis en œuvre de manière complémentaire après avoir suivi les normes de l'industrie connues pour la cybersécurité comme ISO 27001, PCI DSS, HIPAA, FINRA, et RGPD.

CCSS niveau I

Un système d'information avec CCSS Niveau I a montré lors de l'audit qu'ils protègent leurs actifs informationnels avec des niveaux de sécurité élevés. C'est-à-dire, le système d'information a su faire face à la plupart des risques introduits sur son patrimoine informationnel, grâce à ses contrôles de sécurité répondant aux normes de l'industrie. Et bien qu'il s'agisse du niveau le plus bas de la norme de sécurité des crypto-monnaies, il affirme toujours que le système offre une sécurité renforcée pour les actifs de crypto-monnaie.

CCSS niveau II

Un système d'information qui a atteint le niveau II du CCSS a montré qu'il protège ses actifs informationnels avec des niveaux de sécurité élevés et des contrôles améliorés. Ils traitent la plupart des risques sur ses actifs informationnels, et en plus, il utilise des technologies de sécurité décentralisées telles que des signatures multiples, dépassant la plupart des normes de l'industrie. Aussi, ils fournissent une sécurité redondante si une clé ou une personne est compromise ou indisponible, offrant ainsi une sécurité renforcée.

CCSS niveau III

Un système d'information étiqueté CCSS Niveau III a prouvé avec succès lors d'un audit qu'il utilise les niveaux de sécurité les plus élevés pour protéger ses actifs informationnels. Ils dépassent les contrôles améliorés avec des politiques et des procédures standard appliquées à chaque étape de leurs processus commerciaux. Aussi, ils nécessitent plusieurs acteurs pour approuver toutes les actions critiques, mettre en œuvre des mesures d'authentification avancées pour vérifier l'authenticité des données, répartir leurs actifs géographiquement et organisationnellement pour atténuer le risque de compromettre une personne ou une organisation lors d'une attaque, offrant ainsi la plus haute sécurité.

Cet article a été publié pour la première fois le : 23 juillet 2020