
L'organisme de régulation des valeurs mobilières de Hong Kong publie un rapport sur la cybersécurité, à lire absolument pour les entreprises agréées Web3
TechFlow SélectionTechFlow Sélection

L'organisme de régulation des valeurs mobilières de Hong Kong publie un rapport sur la cybersécurité, à lire absolument pour les entreprises agréées Web3
Comment les entreprises agréées Web3 doivent-elles gérer les problèmes de cybersécurité ?
Rédaction : Iris
La cybersécurité a toujours été un « problème fondamental » pour l'industrie Web3.
Selon les données de l'équipe de sécurité SlowMist, les pertes dues aux incidents de sécurité et aux attaques d'hameçonnage ont approché 100 millions de dollars américains en janvier 2025, ce qui ne représente qu'une infime partie des pertes subies par le secteur. Chaque année, les pertes subies par les projets et utilisateurs individuels à cause de problèmes de cybersécurité s'élèvent à plusieurs milliards, voire une dizaine de milliards de dollars américains.
C'est pourquoi la cybersécurité des projets Web3 est essentielle.

Le 6 février 2025, la Commission des valeurs mobilières et des marchés à terme de Hong Kong (SFC) a publié un rapport intitulé « Rapport thématique sur la cybersécurité des sociétés autorisées en 2023/24 », dans lequel elle indique que pour les sociétés autorisées, il est crucial de comprendre que la cybersécurité ne relève pas uniquement du département informatique. En réalité, la direction supérieure des sociétés autorisées joue un rôle clé dans la supervision et la mise en œuvre de mesures solides de cybersécurité afin de protéger leur organisation contre des menaces en constante évolution.
Alors, comment les entreprises Web3 autorisées doivent-elles gérer les problèmes de cybersécurité ?
Dans cet article, le cabinet d'avocats ManQin décortique ce rapport de la SFC de Hong Kong, mettant en évidence les points importants tout en fournissant des stratégies de référence.
Les cadres supérieurs sont les principaux responsables
Traditionnellement, nous avons tendance à attribuer les problèmes de sécurité des projets ou produits à l'équipe informatique, considérant celle-ci comme principalement responsable.
Toutefois, dans le cadre réglementaire de la SFC de Hong Kong, la haute direction des sociétés autorisées n'est pas seulement au cœur de la prise de décision stratégique, mais aussi le premier responsable de la conformité en matière de cybersécurité, devant assumer la responsabilité finale des conséquences juridiques pouvant découler d'une défaillance en cybersécurité. La SFC précise explicitement que toutes les personnes suivantes entrent dans la catégorie de la haute direction et doivent assumer des responsabilités réglementaires en matière de cybersécurité :
-
Les officiers responsables (Responsible Officers, RO)
-
Les administrateurs exécutifs et non exécutifs (Executive & Non-Executive Directors)
-
Les chefs de départements fonctionnels clés (Managers-in-Charge, MIC)
La SFC de Hong Kong souligne que la cybersécurité ne concerne pas uniquement le département informatique, mais constitue une composante essentielle de la gouvernance d'entreprise. Ainsi, la haute direction doit veiller à ce que l'entreprise établisse et maintienne un système robuste de contrôle de la cybersécurité, et supervise au niveau stratégique la mise en œuvre des mesures de sécurité. Cette responsabilité exige non seulement que la direction comprenne les risques liés à la cybersécurité, mais aussi qu'elle s'assure que l'entreprise adopte des mesures appropriées pour réduire ces risques et respecter les exigences réglementaires de la SFC.
En outre, les exigences de conformité en matière de cybersécurité vont au-delà des seuls contrôles techniques ; elles impliquent également la culture d'entreprise. La direction doit promouvoir activement la formation à la sensibilisation à la sécurité, mettre en place un système de responsabilité en matière de sécurité, et cultiver en interne une culture où « la cybersécurité passe avant tout ». Seule une telle implication permettra aux entreprises Web3 autorisées de fonctionner en toute sécurité et stabilité face à un environnement de menaces numériques complexe et changeant.
Les failles de sécurité internes les plus souvent négligées
Les incidents de sécurité dans l'industrie Web3 sont fréquents, or bon nombre de ces attaques ne sont pas dues à des techniques sophistiquées de hackers, mais plutôt à des déficiences dans la gestion de la sécurité des sociétés autorisées elles-mêmes.
Dans son rapport, la Commission des valeurs mobilières de Hong Kong (SFC) indique que de nombreuses sociétés autorisées présentent encore deux vulnérabilités critiques majeures en matière de gestion de la cybersécurité. Ces failles constituent souvent la brèche exploitée par les pirates informatiques, menaçant directement les données clients, la sécurité des transactions, voire entraînant des risques de non-conformité.
Utilisation de logiciels obsolètes
L'utilisation continue de logiciels obsolètes par les entreprises Web3 autorisées est une faille importante de cybersécurité mise en évidence dans le rapport de la SFC de Hong Kong.
Étant donné que ces logiciels ne reçoivent plus de mises à jour de sécurité, correctifs ou support technique de leurs fournisseurs, les nouvelles vulnérabilités découvertes ne sont pas corrigées, offrant ainsi une opportunité aux cybercriminels — ils peuvent exploiter ces faiblesses pour lancer des attaques par logiciels malveillants, entraînant des fuites de données et des intrusions systémiques.
Pour réduire ce risque, les entreprises Web3 doivent mettre en œuvre un processus structuré de gestion du cycle de vie des logiciels, dont la direction assume directement l'évaluation des risques liés aux actifs logiciels. À cet effet, les entreprises peuvent envisager, selon les cas, les mesures suivantes dans leurs opérations :
-
Mettre en place un mécanisme de mise à jour des logiciels. Tenir un inventaire mis à jour de tous les logiciels et systèmes d'exploitation utilisés au sein de l'entreprise, identifier à l'avance les logiciels arrivant en fin de vie, et instaurer un processus d'évaluation périodique.
-
Planifier à l'avance les mises à niveau. Avant que le fournisseur ne cesse officiellement son support, planifier activement la mise à niveau ou le remplacement afin d'assurer la continuité des activités et éviter des interruptions imprévues.
-
Mettre en œuvre des mesures d'atténuation temporaires. Appliquer des contrôles de sécurité sur les systèmes qui ne peuvent pas être immédiatement mis à jour, tels que la limitation des droits d'accès ou l'isolement du réseau.
-
Réaliser régulièrement des évaluations de vulnérabilité. Les sociétés autorisées peuvent établir un mécanisme continu de surveillance de la sécurité afin d'identifier et traiter rapidement les risques logiciels.
Par ailleurs, la direction générale des entreprises Web3 doit s'assurer que l'équipe informatique dispose de ressources suffisantes pour gérer efficacement le cycle de vie des logiciels, évitant ainsi d'exposer inutilement les données clients et les actifs financiers à des risques dus à l'impossibilité de mettre à jour des systèmes critiques.
Faiblesses des algorithmes de chiffrement
Les algorithmes de chiffrement constituent la ligne de défense principale pour protéger les données clients, garantir la sécurité des transactions et respecter les exigences réglementaires. Toutefois, la Commission des valeurs mobilières de Hong Kong (SFC) indique dans son rapport que certaines sociétés autorisées continuent de s'appuyer sur des algorithmes de chiffrement obsolètes ou faibles, exposant ainsi les informations financières sensibles et les données personnelles à des risques élevés de cybersécurité, tels que les fuites de données ou les accès non autorisés aux comptes.
Voici les principales vulnérabilités de chiffrement listées par la SFC :
-
Utilisation d'algorithmes obsolètes, tels que MD5, SHA-1 ou anciennes versions de RSA, facilement vulnérables aux attaques cryptographiques modernes.
-
Longueur insuffisante des clés, par exemple des clés RSA inférieures à 2048 bits ou des clés AES inférieures à 128 bits, rendant les attaques par force brute plus réalisables.
-
Mauvaise gestion des clés, telles que la réutilisation de clés dans plusieurs environnements, l'absence de rotation régulière des clés ou le stockage des clés de chiffrement dans des endroits non sécurisés.
Pour réduire ces risques, les entreprises Web3 autorisées peuvent mettre en œuvre des protocoles de chiffrement conformes aux normes industrielles afin de renforcer la protection des données et s'assurer du respect des exigences réglementaires de la SFC, notamment :
-
Adopter des algorithmes de chiffrement robustes, tels que le standard de chiffrement avancé AES-256, garantissant une protection forte des données au repos et en transit.
-
Passer à des systèmes de clés plus sécurisés, par exemple en utilisant la cryptographie à courbe elliptique (ECC) comme alternative au RSA, offrant une meilleure sécurité tout en réduisant la longueur des clés et améliorant l'efficacité de calcul.
-
Mettre en œuvre un chiffrement de bout en bout (E2EE), garantissant que les données restent chiffrées pendant leur transmission, empêchant ainsi les attaques de type man-in-the-middle ou les accès non autorisés.
-
Renforcer les mécanismes de gestion des clés, éviter d'utiliser la même clé dans plusieurs environnements, changer régulièrement les clés, et s'assurer que le stockage des clés respecte les normes de sécurité les plus strictes (comme les modules matériels de sécurité HSM).
-
Réaliser des audits cryptographiques réguliers, effectuer au moins une revue annuelle de conformité en matière de chiffrement afin de s'assurer que toutes les mesures prises respectent les dernières normes industrielles et réglementaires.
D'un point de vue réglementaire, un chiffrement faible n'est pas seulement une négligence technique, mais peut également entraîner de graves risques réglementaires. À Hong Kong, des textes tels que le Règlement sur les données personnelles (confidentialité) imposent des obligations strictes aux institutions financières en matière de protection des données, tandis que les normes mondiales de sécurité des données (telles que ISO 27001, NIST) élèvent continuellement le seuil de conformité des technologies de chiffrement.
Ainsi, si une entreprise Web3 autorisée ne met pas en œuvre des mesures de chiffrement suffisamment fortes, une fuite de données ou un accès non autorisé pourrait entraîner des responsabilités juridiques, une crise de confiance chez les clients, voire des sanctions réglementaires. Par ailleurs, la direction supérieure doit considérer la sécurité du chiffrement comme une composante centrale de la conformité de l'entreprise, veillant à ce que la stratégie de chiffrement évolue constamment en fonction des normes de sécurité et des nouvelles menaces numériques, et soit appliquée efficacement afin de garantir la sécurité des données clients et le fonctionnement durable et conforme de l'entreprise.
Menaces externes en cybersécurité et mesures de réponse
Outre leurs propres vulnérabilités, les dangers externes en matière de cybersécurité pour le secteur Web3 sont fréquents, les plus courants étant les sites d'hameçonnage et les arnaques aux airdrops.
La Commission des valeurs mobilières de Hong Kong (SFC) souligne donc dans son rapport que les sociétés autorisées doivent adopter des stratégies de sécurité plus proactives pour faire face aux menaces croissantes d'attaques informatiques. En particulier dans l'environnement des activités Web3, où les fonds, les contrats et les actifs numériques sont hautement digitalisés, les défis traditionnels de cybersécurité rencontrés par les institutions financières sont encore amplifiés chez les entreprises Web3.
Voici quelques domaines à haut risque identifiés par la SFC, ainsi que des stratégies de défense ciblées :
Attaques d'hameçonnage (phishing)
Cette méthode est probablement l'une des plus courantes et des plus efficaces dans l'industrie Web3.
Pour les entreprises Web3, le phishing n'est pas simplement une fraude banale, mais peut aussi constituer l'entrée par laquelle les hackers lancent des attaques à plus grande échelle. Dans le domaine Web3, le phishing est souvent le prélude au vol de fonds, à l'exploitation de vulnérabilités de contrats intelligents, à des autorisations malveillantes ou même à la fuite de clés privées. En falsifiant des sites de transactions, en envoyant des liens vers des dApp frauduleux ou en usurpant l'identité des équipes officielles, les hackers incitent les utilisateurs à divulguer involontairement des informations sensibles, entraînant finalement de graves pertes financières et crises de sécurité.
Pour atténuer ces menaces, les entreprises Web3 doivent aller au-delà d'une simple formation à la sensibilisation. Il est recommandé d'adopter une stratégie de défense multicouche, incluant :
Passerelles de sécurité avancées pour courriels (SEG)
Les filtres de messagerie traditionnels ne suffisent plus face aux attaques de phishing de plus en plus sophistiquées. La SFC indique que les sociétés autorisées doivent déployer des passerelles de sécurité avancées pour courriels (SEG) capables de détecter et bloquer les attaques par courrier frauduleux. Par exemple, il est conseillé de déployer des solutions de sécurité de messagerie pilotées par l'IA afin de détecter les domaines falsifiés, les pièces jointes suspectes et les liens malveillants. Ces outils doivent également intégrer des informations sur les menaces en temps réel afin de bloquer les campagnes de phishing émergentes.
Mettre en œuvre des mécanismes d'authentification forte
Étant donné que le phishing cible principalement les identifiants de connexion, les entreprises Web3 doivent imposer l'authentification multifacteur (MFA) sur tous les systèmes critiques, notamment dans les environnements liés aux plateformes de trading, à la gestion des clés privées, à l'accès aux portefeuilles chauds et aux systèmes de conformité. En outre, il convient de minimiser les permissions des comptes utilisateurs, en appliquant le principe du moindre privilège (PoLP), limitant ainsi l'impact potentiel d'une attaque de phishing.
Former régulièrement les employés et effectuer des tests simulés de phishing
Les employés constituent la première ligne de défense, mais une simple formation à la sécurité peine souvent à modifier leurs comportements automatiques. Il est donc conseillé aux entreprises Web3 d'adopter une double approche : (1) former continuellement les employés à la sensibilisation à la cybersécurité, en se concentrant sur les risques spécifiques aux services financiers et aux actifs numériques, afin qu'ils puissent reconnaître et signaler les tentatives complexes de phishing ; (2) organiser régulièrement des exercices de phishing simulés, puis analyser et évaluer la vigilance et la réaction des employés, afin d'améliorer les protocoles de réponse aux incidents.
Mettre en place un mécanisme de réponse rapide et d'urgence
Les entreprises Web3 doivent établir une procédure normalisée de signalement des tentatives de phishing, garantissant une action rapide pour enquêter et atténuer les menaces avant qu'elles ne s'aggravent. Par exemple, lorsqu'un incident de phishing survient, l'entreprise doit rapidement isoler les comptes ou systèmes affectés et activer immédiatement la procédure de réponse aux urgences, y compris la révocation des autorisations de contrats malveillants, le gel des fonds concernés, et informer les organismes de régulation et les clients concernés. En outre, toute intrusion réussie via phishing doit déclencher un examen judiciaire et une mise à jour des politiques internes de sécurité.
Alertes de sécurité pour les transactions et signatures
Dans les scénarios Web3, des sites malveillants ou des dApp (applications décentralisées) peuvent inciter les utilisateurs à signer des contrats intelligents malveillants. Les entreprises doivent donc mettre en place des mécanismes de confirmation sécurisés des transactions, par exemple en fournissant dans l'interface du portefeuille une explication détaillée des autorisations de contrat intelligent, et encourager les utilisateurs à utiliser des outils de simulation pour vérifier le comportement des transactions avant d'autoriser.
Pour les entreprises Web3 traitant des transactions d'actifs virtuels, des actifs tokenisés ou des services DeFi, le risque de phishing dépasse largement la simple fraude par e-mail. Les hackers n'utilisent plus uniquement des courriels malveillants ou des sites d'hameçonnage, mais recourent à des techniques plus trompeuses d'ingénierie sociale, telles que la falsification de communications officielles, l'incitation des utilisateurs à approuver des contrats intelligents malveillants, voire la falsification de demandes de signature de portefeuille, contournant ainsi les protections de sécurité classiques pour obtenir directement le contrôle des actifs virtuels des utilisateurs.
Face à cela, la stratégie anti-phishing des entreprises Web3 ne doit pas se limiter à une formation basique à la sécurité, mais doit englober la gestion sécurisée des portefeuilles, l'examen des interactions avec les contrats intelligents, ainsi que des mécanismes rigoureux de validation des transactions, afin de réduire au maximum les risques potentiels.
Sécurité de l'accès distant
Le télétravail est devenu la norme pour les entreprises Web3, mais il augmente également la surface d'attaque. Si la gestion de l'accès distant est incorrecte, les hackers peuvent exploiter des identifiants faibles, des connexions non chiffrées ou des appareils compromis pour accéder aux systèmes centraux, posant de graves risques de sécurité.
Pour garantir la sécurité de l'accès distant, les entreprises Web3 peuvent adopter les mesures suivantes :
-
Imposer l'authentification multifacteur (MFA), notamment lors de l'accès aux panneaux de gestion, aux systèmes de stockage des clés privées et aux interfaces de transaction financière.
-
Utiliser une architecture de confiance zéro (ZTA), garantissant que toutes les demandes d'accès soient strictement vérifiées, sans se contenter de la liste blanche IP ou du VPN.
-
Surveiller les journaux d'accès distant pour identifier des modèles inhabituels, tels que des connexions à des heures inhabituelles, depuis des localisations géographiques ou des appareils atypiques.
-
Chiffrer toutes les connexions distantes, en utilisant le chiffrement de bout en bout (E2EE) et un VPN professionnel, pour prévenir les attaques de type man-in-the-middle.
Risques potentiels liés aux fournisseurs de services informatiques tiers
L'utilisation de prestataires de services informatiques tiers introduit des considérations supplémentaires en matière de cybersécurité. L'entreprise doit effectuer une diligence raisonnable approfondie pour évaluer la posture de sécurité du fournisseur. Cela inclut l'examen de ses politiques de sécurité, la compréhension de ses procédures de réponse aux incidents, et la garantie qu'il respecte les exigences réglementaires pertinentes. Établir des obligations contractuelles claires en matière de protection des données et réaliser des évaluations de sécurité régulières permettent de réduire davantage les risques associés aux fournisseurs tiers.
De nombreuses entreprises Web3 dépendent de fournisseurs tiers pour des services tels que le stockage cloud, l'authentification, l'audit de contrats intelligents ou le traitement des paiements. Toutefois, si le fournisseur lui-même présente des failles de sécurité, il peut devenir une porte d'entrée pour les hackers.
Pour réduire le risque d'attaques sur la chaîne d'approvisionnement, les entreprises Web3 autorisées peuvent :
-
Effectuer une diligence de sécurité, évaluer le niveau de cybersécurité du fournisseur, ses politiques de traitement des données, ses procédures de réponse aux incidents et ses certifications de conformité (telles que ISO 27001 ou SOC 2).
-
Clarifier les obligations contractuelles, en s'assurant que le fournisseur assume la responsabilité en matière de protection des données, de réponse aux incidents et d'audits de sécurité.
-
Réaliser régulièrement des évaluations de sécurité des fournisseurs, par exemple en exigeant des rapports de sécurité actualisés et en effectuant des tests d'intrusion, afin de garantir que leurs infrastructures ne présentent pas de vulnérabilités majeures.
Menaces sur la sécurité du cloud
Le cloud computing est devenu une infrastructure centrale pour les entreprises Web3. Toutefois, un stockage cloud mal configuré, des données non chiffrées et des permissions d'accès excessivement ouvertes peuvent permettre aux hackers de voler facilement des informations sensibles.
Pour assurer la sécurité du cloud, il est recommandé aux entreprises Web3 d'adopter les mesures suivantes :
-
Mettre en œuvre un contrôle strict des accès, en utilisant un contrôle d'accès basé sur les rôles (RBAC), limitant ainsi l'accès aux données sensibles.
-
Chiffrer les données au repos et en transit, en s'assurant que toutes les données clients stockées dans le cloud sont protégées par un chiffrement AES-256, empêchant ainsi les fuites de données.
-
Réaliser régulièrement des audits de sécurité cloud, afin d'identifier les mauvaises configurations et les risques potentiels, évitant ainsi des problèmes courants comme l'accès public aux buckets S3.
En outre, les entreprises Web3 doivent comprendre le modèle de responsabilité partagée en matière de sécurité cloud, en identifiant clairement quelles parties sont gérées par le fournisseur cloud et quelles parties relèvent de la responsabilité de l'entreprise.
Synthèse par le cabinet d'avocats ManQin
Le rapport de la SFC rappelle une fois de plus que la cybersécurité n'est pas seulement une question technique, mais un élément central de l'exploitation conforme des sociétés autorisées. Que ce soit en matière de responsabilité directe de la direction, de protection interne ou de réponse aux menaces externes, les entreprises Web3 autorisées doivent élaborer une stratégie solide et durable en matière de cybersécurité, afin de répondre aux exigences réglementaires et protéger la sécurité des actifs clients.
Un point encore plus important : le 7 février, la SFC a annoncé son intention de revoir intégralement, en 2025, les exigences et normes existantes en matière de cybersécurité, et de mettre en place un cadre sectoriel de cybersécurité fournissant aux entreprises Web3 autorisées des orientations plus claires pour mieux gérer les risques.
Par conséquent, les entreprises Web3 autorisées doivent se préparer à l'avance afin d'être en mesure de s'adapter rapidement lorsque les exigences réglementaires seront renforcées. Le cabinet d'avocats ManQin recommande également que, licenciées ou non, toutes les entreprises Web3 évaluent proactivement leur architecture actuelle de cybersécurité, renforcent leurs mécanismes de gouvernance interne, et améliorent leur conformité, afin de réduire les risques opérationnels liés à d'éventuels ajustements futurs et renforcer leur compétitivité sur le marché.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














