La BitLicense de New York peut-elle empêcher une autre catastrophe du Mt. Gox ?

La publication par le Département des services financiers de l'État de New York (NYDFS) d'un projet de réglementation sur les monnaies numériques a soulevé de nombreuses questions, notamment sur la menace qu'elle représente pour l'innovation dans ce secteur et son impact sur son adoption à plus grande échelle. Pourtant, une question mérite d'être posée : cette réglementation permettra-t-elle d'éviter une nouvelle catastrophe de Mt. Gox ?

Bien qu'on ne puisse T dire qu'un système réglementaire soit efficace à 100 % pour éliminer les mauvais acteurs ou les entreprises mal gérées, les règles proposé par le NYDFSIl semble que l'application d'exigences strictes en matière de cybersécurité soit un pas dans la bonne direction. Celles-ci incluent des essais de pénétration annuels obligatoires pour les plateformes de monnaie numérique et la nomination obligatoire d'un responsable de la sécurité de l'information par une entreprise souhaitant obtenir une « BitLicense ».

Comme le souligne la proposition :

« Chaque titulaire de licence doit établir et maintenir un programme de cybersécurité efficace pour garantir la disponibilité et la fonctionnalité de ses systèmes électroniques et pour protéger ces systèmes et toutes les données sensibles stockées sur ces systèmes contre tout accès, utilisation ou falsification non autorisés. »

Prévenir les attaques contre les infrastructures critiques – et surtout les portefeuilles contenant les fonds des clients – est l'objectif principal de ces réglementations. De plus, le NYDFS exige la création de politiques d'urgence dans le cas où une entreprise de monnaie numérique subirait un incident catastrophique.

Large focus sur la cybersécurité

La réglementation vise à prendre toutes les mesures nécessaires face aux cybermenaces auxquelles une entreprise de monnaie numérique peut être confrontée. Les entreprises sont tenues d'évaluer activement les menaces et de maintenir des systèmes robustes capables de repousser les attaques ayant entraîné la faillite de Mt. Gox et la perte de millions de dollars de fonds clients.

Le NYDFS propose d'obliger chaque entreprise de monnaie numérique à mettre en place des politiques de cybersécurité complètes couvrant toutes les vulnérabilités potentielles. Plus précisément, la direction de chaque entreprise devra certifier, au moins une fois par an, le bon suivi de cette Juridique et y apporter les modifications nécessaires.

En matière de rapports, le NYDFS exigera que chaque entreprise fournisse la preuve que ses systèmes de sécurité internes sont suffisants pour la tâche. Chaque titulaire de licence doit soumettre des rapports annuels à l'organisme de réglementation de l'État qui décrivent avec précision la fonctionnalité et la capacité des systèmes de sécurité.

L'audit interne est également requis sur plusieurs fronts clés, notamment les tests d'intrusion pour identifier et corriger les faiblesses. Ces tests sont requis au moins une fois par an, ainsi que des évaluations trimestrielles certifiant la solidité continue de ces systèmes.

Les entreprises de monnaie numérique sont également tenues de conserver des pistes d’audit claires qui incluent les données de transaction, les feuilles de temps de connexion des utilisateurs et les journaux d’accès au matériel de l’entreprise.

Il reste à voir si ce niveau de contrôle aura ou non un impact négatif sur les entreprises de monnaie numérique dans l’État.

Comme certains dans l'industrie du BitcoinSelon certains, des exigences de reporting strictes imposent des coûts inutiles, plus préjudiciables aux startups qu'aux entreprises établies. D'autres, en revanche, affirment que, dans le cas de Mt. Gox, une surveillance plus stricte aurait pu éviter les erreurs qui ont conduit à son effondrement.

Le leadership en matière de sécurité est une exigence

Afin de maintenir et de mettre à jour les politiques de cybersécurité proposées que chaque titulaire de licence créera, le NYDFS est tenu de nommer un responsable de la sécurité de l'information (CISO).

Cet aspect de la réglementation répond à ONEune des critiques formulées à l'encontre de Mt. Gox : l'absence de définition claire des rôles de direction, ce qui a permis des défaillances ayant entraîné une vulnérabilité généralisée. On pourrait arguer qu'en agissant à la fois comme ingénieur en chef et responsable de la gestion quotidienne, le PDG Mark Karpeles n'a pas pu se concentrer suffisamment sur les cybermenaces qui ont finalement entraîné la faillite de la plateforme.

Comme le stipule le règlement :

« Chaque titulaire de licence doit désigner un employé qualifié pour occuper le poste de responsable de la sécurité de l'information (« RSSI ») du titulaire de licence, chargé de superviser et de mettre en œuvre le programme de cybersécurité du titulaire de licence et de faire respecter sa Juridique de cybersécurité. »

Ce poste vise à superviser les efforts de sécurité numérique et à faciliter la communication des informations à l'autorité de régulation de l'État, le cas échéant. Le/la RSSI rendra compte à la direction de l'entreprise de monnaie numérique, élaborant le cadre de sécurité et y apportant les modifications nécessaires.

Scénarios du pire

Mais qu'en est-il lorsqu'une société de monnaie numérique fait faillite ? Suite aux révélations selon lesquelles Mt. Gox avait perdu des fonds de ses clients, la plateforme s'est retrouvée paralysée et incapable de fonctionner. L'absence de Juridique claire de gestion des catastrophes au sein de l'entreprise a sans doute exacerbé les problèmes résultant du piratage et des mesures prises par la suite.

Les titulaires de licence doivent établir des procédures opérationnelles applicables en cas d'événement catastrophique empêchant l'entreprise de fonctionner. Cela comprend l'identification des fonctions, des infrastructures et du personnel critiques qui prendront le contrôle en cas de risque de défaillance de l'entreprise. Les bénéficiaires de la licence BitLicense doivent également dispenser une formation complète à l'ensemble du personnel concerné qui serait impliqué dans la gestion de la catastrophe.

De plus, les entreprises sont tenues de signaler tout incident susceptible de compromettre l'intégrité opérationnelle. La proposition stipule :

« Chaque titulaire de licence doit informer rapidement le surintendant de toute urgence ou autre perturbation de ses opérations qui pourrait affecter sa capacité à remplir ses obligations réglementaires ou qui pourrait avoir un effet négatif important sur le titulaire de licence, ses contreparties ou le marché. »

L'ensemble de ces exigences vise à KEEP la continuité des activités d'une entreprise de monnaie numérique en cas de problèmes soudains. Bien que non testée pour l'instant, la proposition vise à contourner les perturbations critiques qui, dans ce cas, exposeraient davantage les clients aux pertes.

Le temps nous le dira.

Pour l'instant, il est impossible de juger si la proposition BitLicense contribuera à contrer les cybermenaces et à protéger les consommateurs des situations d'urgence comme celles rencontrées par Mt. Gox. À l'instar des lois régissant la gestion des faillites bancaires, les réglementations T peuvent être véritablement testées qu'en cas de situation réelle.

Pourtant, selon le surintendant du NYDFSBenjamin M Lawsky, qui s'est assis pour une interview avecCNBCConcernant la proposition, les types de réglementations qu'il propose devraient être instaurés dans l'ensemble du système financier. Il a réitéré son soutien à la réglementation et a déclaré que les banques et autres sociétés financières doivent intensifier leurs propres efforts pour empêcher les piratages déstabilisateurs.

Lors de l'interview, on a demandé à Lawsky si le NYDFS aurait pu prévenir, ou du moins contenir, une situation de type Mt. Gox, ou toute situation où une attaque prolongée aurait mis en péril les fonds des clients. Il a répondu que les propositions en matière de cybersécurité auraient été utiles, mais a laissé entendre que le système financier dans son ensemble souffrait des mêmes faiblesses.

Il a dit :

Nous allons tester la cybersécurité de ces entreprises à New York afin de nous assurer qu'elles mettent tout en œuvre pour prévenir ce type d'attaque. On pourrait en dire autant de l'ensemble du secteur bancaire. Nous devrions faire pareil pour tout le monde.

Statue de la libertéimage viaShutterstock