Alors que nous attendons avec impatience l’approbation du premier ETF Bitcoin, une préoccupation importante plane : la concentration des risques autour du choix du dépositaire. Bien qu'il existe des exceptions notables comme Fidelity et VanEck, la majorité des candidats envisagent d'utiliser Coinbase comme dépositaire. En tant que professionnel de la cybersécurité dans l’espace blockchain, la concentration des risques, associée aux vulnérabilités inhérentes à la conservation des cryptomonnaies et à l’évolution du paysage de la sécurité, soulève d’importants signaux d’alarme.
Il ne s’agit pas de douter des capacités de Coinbase ; l'entreprise n'a jamais connu de piratage connu, gagnant ainsi la confiance des institutions traditionnelles. Cependant, dans le domaine de la cybersécurité, il n’existe pas de cible infaillible : avec suffisamment de temps et de ressources, tout peut être compromis. Ce qui me préoccupe, c’est l’extrême concentration des actifs au sein d’un seul dépositaire, en particulier compte tenu de la nature monétaire des actifs cryptographiques.
Le concept d'entité « inviolable » est une illusion. Bien que Coinbase ait conservé un solide bilan en matière de sécurité, cela ne garantit pas l'immunité. La nature de type monétaire des actifs cryptographiques les rend intrinsèquement préoccupants en cas de faille de sécurité.
Réévaluer la notion de « dépositaire qualifié »
La désignation d'un « dépositaire qualifié » pourrait devoir être repensée afin de garantir que l'approbation réglementaire soit conforme à la gestion sécurisée des actifs basée sur la blockchain. Les dépositaires d'actifs numériques devraient faire l'objet d'une surveillance accrue, adhérer à des normes étatiques et fédérales plus rigoureuses et être soumis à l'examen de régulateurs bien formés.
Contrairement aux dépositaires qualifiés traditionnels qui sécurisent principalement les accords juridiques pour les actions, les obligations ou les soldes fiduciaires suivis numériquement, les actifs cryptographiques comme le Bitcoin sont des instruments au porteur. En cas de piratage réussi, les actifs cryptographiques sont irrémédiablement perdus. Une seule erreur de la part d'un dépositaire peut entraîner la perte totale des actifs.
La crypto-criminalité est une force redoutable, comme en témoignent les incidents tels que le groupe nord-coréen Lazarus qui a volé des milliards de crypto-monnaies au fil des ans. Avec des projections de plus de 6 milliards de dollars versés dans un ETF Bitcoin lors de sa première semaine de négociation, ces fonds deviennent des cibles lucratives.
La nécessité de normes de cybersécurité robustes
Les normes de cybersécurité actuelles pour les dépositaires qualifiés ne sont peut-être pas suffisantes pour sécuriser les volumes croissants d’actifs cryptographiques. Le modèle actuel de gestion des risques pour les institutions financières implique trois niveaux de surveillance : la gestion des activités, l’évaluation des risques et l’audit. À cela s’ajoutent des auditeurs externes, une surveillance informatique externe et un contrôle des régulateurs étatiques et fédéraux.
Cependant, ces couches de redondance nécessitent des effectifs importants, ce que les nouveaux dépositaires de cryptomonnaies peuvent avoir du mal à fournir. Coinbase, même après une expansion récente, compte moins de 5 000 employés, tandis que BitGo, un autre dépositaire qualifié, n'en compte que quelques centaines.
Affiner les normes de cybersécurité pour les dépositaires
Il est impératif d’affiner les normes de cybersécurité pour la désignation de dépositaires qualifiés, en particulier pour les dépositaires de cryptomonnaies qui traitent des instruments au porteur. À l’heure actuelle, la désignation est souvent associée à l’octroi de licences bancaires ou fiduciaires supervisées par des régulateurs financiers axés sur les activités bancaires traditionnelles, et non sur la cybersécurité ou l’expertise en cryptomonnaies.
L’absence de normes sectorielles en matière de cybersécurité et de pratiques de gestion des risques spécifiques aux dépositaires de cryptomonnaies suscite des inquiétudes. Pour protéger les investisseurs et le secteur florissant des cryptomonnaies, les autorités de régulation doivent s’adapter à l’évolution du paysage, en accordant la même importance aux normes rigoureuses de cybersécurité qu’aux audits financiers et aux processus juridiques. L’intégration des actifs numériques dans le système financier exige une approche globale pour garantir la sécurité et la stabilité de ces technologies transformatrices.
