Spécification de Sécurité de la Blockchain d’Entreprise – Un cadre pour la sécurité organisationnelle du registre distribué
Le Dr. Stefan Bayer annonce la création du Conseil de Sécurité de la Blockchain d’Entreprise (EBSec) et la publication de la Spécification de Sécurité de la Blockchain d’Entreprise (EBSS)
EBSec est une alliance d’entreprises ayant un intérêt commun dans l’adoption sécurisée de la technologie des registres distribués dans les applications d’entreprise. L’EBSS, premier résultat de cette collaboration, est un cadre qui guide les entreprises dans la conception, le déploiement et la gestion sécurisés d’applications blockchain.
Sécurité du Registre Distribué
Les blockchains sont protégées par une cryptographie avancée que l’on pense inviolable avec la technologie actuelle. Cela signifie qu’en théorie, les biens numériques stockés sur des registres distribués devraient être extrêmement sûrs. Or, les incidents de cybersécurité entraînent constamment des vols de biens. Il ne se passe pas un seule semaine sans qu’un incident majeur ou qu’une nouvelle vulnérabilité ne soit révélée. L’insécurité apparente de l’espace public des blockchains a commencé à nuire à la réputation de la technologie des registres distribués et entrave sérieusement l’adoption de celui-ci par les entreprises. Des entreprises et des industries entières ne savent pas comment utiliser cette technologie prometteuse dans leur entreprise.
Le problème de sécurité que nous observons est dû à un certain nombre de raisons :
- Changement de paradigme : Changement de paradigme : Les systèmes décentralisés sont différents des systèmes informatiques traditionnels car ils introduisent de nouveaux concepts. La sécurité des biens n’est plus un concept centralisé dans lequel les données et autres ressources sont enfermées dans un serveur de boîte noire dans un scénario de type chambre forte. Au lieu de cela, les biens sont sécurisés de manière transparente par des protocoles cryptographiques, des clés cryptographiques gérées par l’utilisateur, et même par des règles complexes dans des contrats intelligents. Cela signifie que les entreprises doivent faire face à de nouveaux paradigmes de sécurité auxquels elles ne sont peut-être pas habituées, et qu’elles ne disposent pas de lignes directrices en matière de meilleures pratiques.
- Mauvaises pratiques : Les mauvaises pratiques en matière de sécurité de l’information sont très répandues dans tous les systèmes. Dans les systèmes transparents et décentralisés qui dépendent de la sécurisation des clés privées et de contrats intelligents garantissant une valeur importante, les conséquences sont souvent pire. Les systèmes s’en sortent souvent avec un code mal écrit ou des clés non sécurisées dans un backend centralisé, simplement parce que la mauvaise pratique n’est pas visible pour les utilisateurs externes. Cependant, les contrats intelligents non sécurisés sur un registre public sont visibles par tous.
- Sécurité des systèmes d’information classiques : Les registres distribués et les contrats intelligents ne sont qu’une petite partie des applications de blockchain typiques. Il existe généralement un certain nombre de couches logicielles classiques, notamment les interfaces web, les API, les node software et les bases de données. Dans de nombreux cas, le système est en fait attaqué par des vulnérabilités logicielles traditionnelles qui n’ont rien à voir avec la technologie de blockchain.
La Spécification de Sécurité de la Blockchain d’Entreprise (EBSS)
L’EBSS est né d’un besoin constaté en matière de sécurité, les entreprises peuvent l’utiliser pour appliquer un niveau minimum de sécurité à leurs modes de fonctionnement. La spécification n’est pas destinée à remplacer les normes de sécurité existantes, telles que la norme ISO/IEC 27001:2013. Elle ne prévoit pas non plus de mesures de sécurité de bas niveau pour fournir un code sécurisé. Il existe déjà d’autres recommandations qui couvrent des technologies spécifiques. L’EBSS se concentre plutôt sur les directives générales et les politiques opérationnelles qui devraient être en place dans une entreprise qui souhaite adopter la technologie du registre distribué.
Le Conseil de Sécurité de la Blockchain d’Entreprise (EBSec)
EBSec est le nom que nous donnons à l’alliance (actuellement) informelle d’entreprises qui ont défini l’EBSS et qui contribuent chacune à leur manière à la sécurité de la blockchain.
Actuellement, les sociétés suivantes constituent EBSec :
Cryptonics est une société de conseil en cryptographie et en registre distribué qui se concentre sur l’audit des applications de blockchain et sur le développement d’architectures de blockchain sécurisées.
Solidified est une société d’audit de contrats intelligents et une plateforme de primes sur les bogues spécialisée dans les audits de contrats intelligents de première classe axés sur Ethereum.
S2 Grupo est un grand fournisseur de services de cybersécurité qui se concentre sur la cybersécurité gérée, les conseils et le développement sécurisé.
PARSIQ est une société leader dans l’analyse des blockchains, elle est spécialisée dans le suivi en temps réel des actifs numériques déployés en blockchain.
Contribution
Nous ne voulons pas que l’EBSS et les autres spécifications futures dépendent uniquement de notre propre expérience et de notre jugement. Les contributions aux spécifications sont les bienvenues par le biais des processus standard de GitHub, tels que les demandes et les questions de type “pull”.
Paroles du Dr. Stefan Beyer, PDG de Cryptonics. Il est impliqué dans la recherche sur les systèmes distribués depuis plus de 15 ans et se concentre sur la technologie blockchain, la cybersécurité et la cryptographie. Il a audité la sécurité de nombreuses applications de blockchain à grande échelle et de protocoles de contrats intelligents et conseille aussi bien les start-ups que les entreprises établies sur la sécurité des blockchains et la cryptographie. Il est le fondateur et l’initiateur du Conseil de Sécurité de la Blockchain d’Entreprise et de la Spécification de Sécurité de la Blockchain d’Entreprise.
À propos du remaniement du site Web SiGMA:
Le Groupe SiGMA est heureux d’annoncer le lancement de son site web remanié. Le site est actuellement disponible en 5 langues : anglais, russe, mandarin, portugais et espagnol. Il est prévu d’ajouter 5 autres langues au cours des prochains mois, à savoir le français, le thaï, le coréen, le japonais et l’hindi.
