Publié le 13 novembre 2018

La technologie de la chaîne de blocs est là pour rester et nous constatons déjà l’incidence significative des cryptomonnaies sur l’économie. En effet, les chaînes de blocs ouvertes ou sans permission, dont Bitcoin et Ethereum, ont une capitalisation boursière combinée de plus de 5 G$, tandis que les chaînes de blocs privées ou avec permission pourraient valoir environ 360 G$ d’ici 2026^[i], selon les estimations de Gartner.

En quoi consiste une chaîne de blocs? La technologie est-elle là pour rester ou s’agit-il d’une tendance passagère?

Il existe deux types de chaînes de blocs, que nous pouvons décrire comme suit^[ii] : « Les chaînes de blocs sans permission, comme le réseau Bitcoin, permettent à quiconque de lire, d’écrire (ajouter) et de valider des données dans la chaîne de blocs, qui est distribuée sans propriétaire unique. Contrairement au réseau Bitcoin, les chaînes de blocs avec permissions limitent l’accès aux participants autorisés (au moyen de nœuds présélectionnés); eux seuls ont directement accès aux données de la chaîne de blocs, peuvent soumettre des transactions et prendre part au mécanisme de consensus. Une telle chaîne de blocs pourrait par exemple être un réseau d’un consortium public, indépendant du réseau principal Ethereum ou Bitcoin, auquel des fournisseurs pourraient se joindre librement, ou le réseau d’un consortium privé dont les participants seraient préconfigurés et qui ne serait pas visible des autres. »

J’ajouterais qu’une chaîne de blocs ouverte utilise plusieurs des contrôles que nous trouvons régulièrement dans les entreprises. Par exemple, le réseau Bitcoin vérifie si les bitcoins envoyés sont véritablement rattachés à des « transactions non traitées » ou que le montant des bitcoins « émis » n’excédera pas 21 million de bitcoins. Le « minage » de la cryptomonnaie comporte lui-même des contrôles, les mineurs devant notamment valider les transactions, et met en application le concept de séparation des tâches, étant donné que 51 % du réseau doit approuver les travaux des mineurs avant que les transactions qu’ils vérifient ne soient ajoutées au grand livre public. La chaîne de blocs fermée ressemble encore plus aux systèmes traditionnels, puisque les intervenants y ont un accès limité, accordé sur invitation. Par conséquent, ces chaînes de blocs présentent le même profil qu’un système privé à l’égard des risques et des contrôles.

Quels sont les risques liés à l’utilisation de la chaîne de blocs? Comment les organisations peuvent-elles atténuer ces risques?

Le principal risque lié à la chaîne de blocs ouverte, et aux cryptomonnaies de façon plus générale, concerne la sécurité de l’information. Les organisations doivent suivre des pratiques exemplaires pour protéger leurs portefeuilles numériques ou leurs clés cryptographiques privées. La raison en est que n’importe qui ayant accès à ces clés privées peut également accéder aux cryptoactifs et en disposer à sa guise. La plupart, sinon la totalité, des piratages liés à la chaîne de blocs qui font la une résultent de lacunes dans la sécurité des clés privées. Les normes en matière de sécurité des cryptomonnaies^[iii] peuvent constituer une excellente source de pratiques exemplaires pour les personnes ou les entités qui souhaitent protéger leurs cryptomonnaies. Ceci étant dit, les normes de sécurité éprouvées, comme les normes ISO27001 et ISO27002, sont aussi une source utile où trouver des exemples de contrôles aux fins de la gestion des clés privées. En d’autres termes, la protection des clés cryptographiques privées n’est pas un problème unique à la chaîne de blocs, mais un risque bien connu des professionnels de la cybersécurité depuis des décennies.

Qui dit mise en œuvre des chaînes de blocs privées à l’échelle d’une organisation, dit risque lié à la sécurité. Toutefois, cette technologie est semblable à n’importe quel système interne, à ceci près qu’elle présente l’inconvénient d’être accessible à des tiers externes à l’organisation. Conscientes de cela, les organisations doivent s’assurer que la technologie corresponde bien au problème qu’elles essaient de résoudre. Le risque serait qu’elles investissent dans la technologie de la chaîne de blocs, mais que cette technologie ne cible pas les défis stratégiques ou d’affaires sous-jacents qu’elles essaient de surmonter. Par conséquent, les organisations devraient d’abord se demander s’il existe une ou plusieurs solutions éprouvées sur le marché qui pourraient répondre au problème qu’elles s’efforcent de résoudre. La chaîne de blocs constitue un excellent moyen de répondre à des problèmes qui exigent la transmission efficace de renseignements fiables entre plusieurs entités. Toutefois, elle requiert des organisations qui optent pour une telle architecture qu’elles établissent des normes communes entre elles afin de faciliter ces échanges de renseignements, ce qui est loin d’être une tâche facile. Les organisations doivent donc bien discerner les problèmes d’affaires auxquels elles tentent de trouver une solution, puis déterminer si la chaîne de blocs est la stratégie appropriée pour répondre à leurs besoins.

Est-ce que toutes les entités peuvent utiliser la chaîne de blocs? La technologie est-elle plutôt réservée aux grandes institutions financières?

La chaîne de blocs est une solution appropriée, quel que soit le secteur d’activité, pour qui cherche à tirer parti d’une technologie qui permet d’intégrer la numérisation et la validation des données dans ses processus. Cette validation pourrait avoir lieu entre des tiers ou à l’interne, au sein d’une organisation. Le secteur de l’immobilier suédois qui cherche à utiliser la chaîne de blocs pour permettre l’inscription et la vente de propriétés^[iv] en est un bon exemple. Selon une étude publiée en 2016 par une importante banque d’investissement, l’adoption de cette technologie pourrait permettre une économie de 2 G$ à 4 G$ en coûts d’assurance de titres (c.-à-d. l’assurance souscrite pour gérer les risques de vente frauduleuse d’une propriété). Cet intérêt à tirer parti de la chaîne de blocs ne se limite pas au secteur de l’immobilier. On l’observe également dans le domaine de la logistique, de l’expédition et de la chaîne d’approvisionnement et il s’étend même aux gouvernements. Le géant danois de l’expédition Maersk, par exemple, travaille avec IBM pour explorer comment la plateforme Hyperledger pourrait être utilisée pour accélérer le processus de documentation lié à l’acheminement des marchandises d’une partie du globe à une autre^[v]. Toute société peut également tirer parti de la technologie à l’interne en l’utilisant pour tenir un registre et effectuer le règlement des montants intersociétés

Quels risques y a-t-il à ne pas suivre le mouvement? Comment une organisation peut-elle se familiariser avec la chaîne de blocs pour pouvoir commencer à planifier son adoption?

Le bon moment pour adopter la technologie de la chaîne de blocs dépend du type d’entreprise. Pour les sociétés dont les activités reposent sur le maintien de la confiance, comme les cabinets d’audit, les avocats et autres, il est recommandé de garder un œil sur cette technologie et d’envisager les façons dont elle pourrait transformer les activités. Par exemple, R3, fournisseur de la plateforme de chaîne de blocs Corda, axée sur les institutions financières, offre aux acteurs de ce secteur un moyen de rejoindre un consortium, d’explorer la technologie et de déterminer le moment le plus approprié pour l’adopter. De façon plus générale, la technologie de la chaîne de blocs est conçue pour offrir des effets de réseau aux entités qui l’adoptent. Par conséquent, une entité qui tarde à rejoindre un consortium (qui parraine la chaîne de blocs pertinente) pourrait pâtir d’un retard pénalisant avant de retirer les avantages de la technologie. Songez aux détaillants de livres qui laissent Amazon dominer le commerce en ligne et qui sont contraints de faire du rattrapage. Les entreprises dont les activités ne reposent pas principalement sur le maintien de la confiance doivent, quant à elles, réfléchir plus attentivement au moment de prendre le train en marche. Il peut être avantageux d’attendre, puisqu’elles pourront apprendre des erreurs des autres et adopter une technologie plus aboutie. Pour refaire le parallèle avec le commerce électronique, un chiropraticien qui s’est doté d’un site web au cours des dernières années a pu bénéficier des outils conviviaux offerts par des entreprises d’hébergement pour concevoir son site et permettre à ses clients de faire des réservations et des paiements en ligne. Autrement dit, il n’a pas eu besoin de bâtir de tels systèmes lui-même et a pu tirer parti d’un accès à une technologie qui était au point.

Quel serait le rôle des auditeurs dans un monde où les registres ne pourront plus être manipulés?

Il est essentiel d’être nuancé lorsque nous explorons comment la chaîne de blocs pourrait éventuellement transformer l’audit des informations financières. Les partisans de la technologie de la chaîne de blocs doivent être prudents et éviter d’exagérer les capacités de la chaîne de blocs lorsqu’ils discutent avec les professionnels de l’audit et en comptabilité. L’objectif de l’audit, si l’on veut, que sert la chaîne de blocs des bitcoins est un aspect limité de l’assertion relative à la validité : à savoir que les bitcoins n’ont pas déjà été dépensés. C’est la seule assurance que cette technologie apporte aux destinataires éventuels de la cryptomonnaie. Compte tenu de la grande quantité d’électricité requise pour cette simple procédure d’audit (la consommation annuelle du réseau Bitcoin est supérieure à celle de la Nouvelle-Zélande^[vi]), nous devons nous demander quel serait le coût en énergie pour effectuer l’audit de toutes les opérations traitées par une entité (en excluant les complexités liées à l’établissement d’un tel système). Toutefois, il semblerait que les registres avec permission soient beaucoup plus efficaces sur le plan énergétique, parce qu’ils n’ont pas recours au minage pour valider les transactions, étant donné que les échanges ont lieu entre des parties connues. Les registres avec permission attribuent le rôle du minage (c.-à-d. la vérification des transactions) à des participants parfois appelés des vérificateurs.

D’un autre côté, les auditeurs ne peuvent ignorer cette technologie parce qu’elle aura de façon certaine des répercussions sur la façon dont les audits seront réalisés. Il sera absolument nécessaire que les organismes de normalisation, les autorités de réglementation et d’autres institutions (p. ex. les tribunaux) fournissent un cadre quant au caractère utilisable des telles « transactions signées cryptographiquement » à titre d’éléments probants. Cependant, pourvu que cette clarification advienne et selon le moment auquel elle sera faite, la chaîne de blocs, combinée à d’autres technologies comme l’intelligence artificielle, pourrait permettre aux auditeurs d’étendre le champ d’application de leurs audits, puisque les gains en efficience réalisés seraient susceptibles d’ouvrir la voie à l’utilisation de ces technologies ̶et d’autres pour fournir des audits d’états financiers de plus grande qualité aux diverses parties prenantes.

Comment les directeurs financiers peuvent-ils se préparer?

De nombreux directeurs financiers sont dans une position privilégiée pour comprendre le double défi consistant à satisfaire à la fois aux exigences en matière de conformité et à celles en matière de gestion de l’information, défi auquel ils peuvent être confrontés à la clôture de chaque mois.

Toutefois, l’étape initiale consiste à démystifier la chaîne de blocs et à se familiariser avec son vocabulaire particulier, dont les termes hachage, cryptographie, arbre de Merkle, grand livre partagé, pour n’en nommer que quelques-uns. Mes collègues du groupe de la Certification de Deloitte, Janine Moir^[vii] et Nicolas Lauriault^[viii], qui s’intéressent à l’application de la chaîne de blocs au secteur des finances, ont constaté que les fonctions des finances considèrent ces notions de base utiles pour évaluer les avantages éventuels, les modifications aux processus et les incidences en matière de risque liés au recours à la chaîne de blocs. Voici un diagramme simplifié du fonctionnement habituel d’une transaction du réseau Bitcoin.

Je recommande de désigner un membre digne de confiance de l’équipe des finances qui sera responsable de comprendre le fonctionnement des registres de la chaîne de blocs et de déterminer les occasions de retirer de la valeur ajoutée pour leur organisation. L’acquisition de cette compréhension peut nécessiter de suivre des formations externes et d’investir dans l’autoformation. Ou bien, une organisation peut acquérir des connaissances sur la chaîne de blocs en embauchant un expert externe pour former plusieurs membres de l’équipe des finances.

[i] https://www.gartner.com/smarterwithgartner/the-cios-guide-to-blockchain/

[ii] https://www.iasplus.com/fr-ca/cfos-corner/technology/a-decentralized-future

[iii] https://www2.deloitte.com/mt/en/pages/technology/articles/mt-article-cryptocurrency-security-standard-CCSS.html et https://cryptoconsortium.org/standards/CCSS

[iv] https://cointelegraph.com/news/swedish-government-land-registry-soon-to-conduct-first-blockchain-property-transaction

[v] https://www.reuters.com/article/us-shipping-blockchain-maersk-ibm/maersk-ibm-say-94-organizations-have-joined-blockchain-trade-platform-idUSKBN1KU1LM

[vi] https://www.theguardian.com/technology/2018/jan/17/bitcoin-electricity-usage-huge-climate-cryptocurrency

[vii] jamoir@deloitte.ca, https://www.linkedin.com/in/moirjanine/

[viii] nlauriault@deloitte.ca, https://www.linkedin.com/in/nicholas-lauriault-4b6b83123/

Personne-ressource

		Malik Datardina Stratège, Gouvernance, risque et conformité (GRC), Auvenir Malik Datardina, est le stratège, Gouvernance, risque et conformité, au sein d’Auvenir. Il possède les titres de comptable professionnel agréé (CPA), de comptable agréé (CA) et d’auditeur informatique agréé (CISA). Il est responsable d’analyser comment les technologies perturbatrices comme la chaîne de blocs, les mégadonnées, l’internet des objets et l’intelligence artificielle transformeront la façon dont seront réalisés les audits. Malik compte plus de 15 années d’expérience en systèmes d’information, en risque et en certification, en gouvernance de la sécurité des informations et en analytique des données d’audit. Il siège à titre de bénévole au Comité consultatif sur la gestion de l’information et les technologies de l’information de CPA Canada et il enseigne les concepts d’innovation technologique et d’innovation en audit aux étudiants en maîtrise en comptabilité de l’Université de Waterloo. Auvenir : Depuis notre création en 2016, nous cherchons les meilleures façons de mettre en œuvre les nouvelles technologies pour aider les cabinets comptables de petite et de moyenne taille à offrir une expérience plus efficiente et davantage axée sur les technologies à leurs clients. À titre d’entreprise créée par Deloitte, nous faisons preuve de l’agilité caractéristique d’une jeune entreprise, tout en tirant parti de services professionnels et d’une expertise technologique de calibre mondial.