Sécurité des blockchains

Forts d’une équipe composée de nombreux doctorants, nous pouvons nous prévaloir d’une expertise en cryptographie et en technologie blockchain et intervenir auprès de nos clients en cas de besoin. Notre expertise a notamment été mise à profit dans les domaines suivants : cryptographie à seuil, cryptographie résistante aux ordinateurs quantiques (« quantum-safe »), calcul multipartite sécurisé (SMPC, Secure Multi-Party Computation), algorithme de signature numérique à courbe elliptique (ECDSA, Elliptical Curve Digital Signature Algorithm), preuves à divulgation nulle de connaissance (ZKP, Zero Knowledge Proof), algorithmes personnalisés, chiffrement homomorphe, chiffrement fonctionnel, cryptographie basée sur les couplages et mises en gage. De nombreux systèmes de blockchain réalisent des opérations financières. Grâce à notre expérience étendue acquise auprès de clients suisses du secteur bancaire, nous disposons d’une expertise pointue des complexités inhérentes à la finance décentralisée (DeFi) et aux modèles financiers traditionnels et décentralisés. Et si nous ne disposons pas de l’expertise requise en interne, nous allons puiser dans notre réseau de partenaires de confiance pour assurer une couverture complète de votre projet. N’hésitez pas à nous contacter pour discuter de vos besoins spécifiques.

Le type de test que vous devez réaliser dépend de votre type de produit et de votre modèle de menaces. Sachez toutefois que vous devez toujours tester votre produit « en cours d’utilisation et de manière dynamique ». En règle générale, nous recommandons les types de tests suivants :

• Si vous possédez un équipement hardware tel qu’un portefeuille cryptographique ou un module de sécurité matérielle, nous recommandons une évaluation de l’équipement ciblant les contrôles de sécurité implémentés afin de garantir que votre produit protège vos utilisateurs, ainsi que leurs données. Cette évaluation comprend généralement un test d’intrusion de l’équipement ainsi qu’un examen hardware de base de vos composants de sécurité et de l’ensemble de vos logiciels.
• Si vous possédez un produit logiciel, nous vous recommandons les services de test dynamique suivants (en complément de nos évaluations statiques) : service API / web, API tierces, applications mobiles, applications web ou applications logicielles indépendantes, réseaux, bases de données et validation de consensus / finance décentralisée.
• Si vous souhaitez tester vos processus, nous pouvons vous aider à évaluer la sécurité et l’efficacité de services tels que l’intégration « Know Your Customer » (KYC), l’hébergement de nœuds de blockchains / validateurs, les règles de transfert et la logique métier.

Nous personnalisons notre approche afin de répondre aux besoins de chacun de nos clients, mais nos interventions comprennent généralement les éléments suivants :

• Audits du code source, y compris : protocoles de blockchain, audits de portefeuilles et d’applications décentralisées, application d’échanges cryptographiques, audits de smart contracts, évaluations manuelles ou automatisées du code source, audits du langage Rust
• Examens de spécifications, y compris : livres blancs, preuves logiques, finance décentralisée, logique de passerelle
• Examens de processus, y compris : procédure standard de sécurité, politiques de conformité locales, exigences du New York Department of Financial Services (NYDFS), procédure KYC, règles de transfert et logique métier – Évaluations de la sécurité de votre environnement, notamment évaluations du cloud et des bases de données

Nous pouvons créer une version simplifiée de votre produit hardware ou logiciel pour vous permettre de tester sa valeur sur le marché (produit minimum viable). Nous pouvons également vous aider à élaborer différents scénarios d’utilisation et à les implémenter.

Par ailleurs, nous pouvons nous charger du développement complet d’applications personnalisées selon une approche centrée sur l’humain pour vous aider à relever les défis métier complexes nécessitant un niveau de sécurité élevé.

Enfin, nous pouvons vous fournir des documents détaillés basés sur une approche de l’extérieur vers l’intérieur qui vous aideront à développer vos activités (par ex., élaboration de livres blancs).

Nous déterminons ensemble la meilleure façon d’exploiter au mieux la technologie blockchain pour profiter de sa valeur en toute sécurité en mettant à l’arrêt les modèles métier existants (par exemple, finance décentralisée, NFT, etc.). Nos laboratoires et ateliers vous aideront à déterminer votre vision et votre stratégie en matière de blockchain, votre proposition de valeur, ainsi que le canal approprié à utiliser pour atteindre vos objectifs métier.

Notre service de conseil en matière de conservation des ressources numériques peut vous aider à sélectionner un fournisseur de technologies. Nous pouvons également vous aider à élaborer des modèles de menaces et des profils de risque, à planifier des POC (Proof Of Concept, preuve du concept) et à dispenser des formations en matière d’audit et de gouvernance (à gérer les demandes d’information et les demandes de proposition) et à réaliser des évaluations/analyses des risques liés aux tiers.

Les coûts, la durée et le délai avant l’exécution des audits et des évaluations varient en fonction de vos besoins spécifiques et de la complexité de chaque demande. Si vous souhaitez de plus amples informations à ce sujet, n’hésitez pas à nous contacter. Nous fixerons un rendez-vous avec vous afin de vous soumettre un devis détaillé. Quel que soit votre projet, nous vous recommandons de sélectionner et de réserver de manière anticipée nos services de test d’implémentation dès le début du processus afin de vous assurer que nos ressources seront disponibles lorsque vous en aurez besoin et de vous éviter un éventuel retard coûteux au moment de la mise sur le marché.