a16z : 5 principes pour la conservation des actifs cryptographiques
TechFlow SélectionTechFlow Sélection
a16z : 5 principes pour la conservation des actifs cryptographiques
La conservation d'actifs cryptographiques fait face à des risques juridiques et opérationnels uniques.
Dédié à des analyses Web3 approfondiesRédaction : Scott Walker, Kate Dellolio, David Sverdlov
Traduction : Luffy, Foresight News
Les conseillers en investissement enregistrés (RIAs) qui investissent dans des actifs cryptographiques font face à une réglementation floue et à un choix limité de solutions de conservation. La situation est encore aggravée par le fait que les actifs cryptographiques présentent des risques liés à la propriété et au transfert différents de ceux des actifs dont les RIAs ont traditionnellement la charge. Les équipes internes des RIAs (opérations, conformité, juridique, etc.) s'efforcent de trouver des tiers conservateurs disposés et correspondant aux attentes, mais malgré leurs nombreux efforts, il leur est souvent difficile de trouver des conservateurs qualifiés. En conséquence, les RIAs se retrouvent contraints de conserver eux-mêmes ces actifs. Ainsi, la conservation d’actifs cryptographiques présente aujourd’hui des risques juridiques et opérationnels uniques.
L’industrie de la cryptographie a besoin d’une approche fondée sur des principes afin de résoudre ce problème crucial pour les investisseurs professionnels qui aident leurs clients à protéger leurs actifs numériques. En réponse à la récente demande d’informations de la Securities and Exchange Commission (SEC), nous avons élaboré un ensemble de principes qui, s’ils étaient mis en œuvre, étendraient les objectifs des règles de conservation du *Investment Advisers Act* aux nouvelles catégories d’actifs cryptographiques.
En quoi la conservation des actifs cryptographiques est-elle différente ?
Pour les actifs traditionnels, le contrôle exercé par le détenteur signifie qu’aucun autre tiers n’a ce contrôle. Ce n’est pas le cas pour les actifs cryptographiques, où plusieurs entités peuvent potentiellement accéder à la clé privée associée à un groupe d’actifs.
Les actifs cryptographiques sont également souvent accompagnés de droits économiques et de gouvernance intrinsèques essentiels à l’actif. Contrairement aux titres ou obligations traditionnels, qui peuvent générer passivement des revenus (dividendes ou intérêts) sans action supplémentaire du détenteur après l’acquisition, les détenteurs d’actifs cryptographiques doivent parfois agir activement pour débloquer certains avantages ou droits de gouvernance. Selon les capacités du tiers conservateur, les RIAs peuvent être amenés à transférer temporairement ces actifs hors de la conservation afin d’exercer ces droits. Par exemple, certains actifs cryptographiques permettent de générer des revenus via le *staking* ou le *yield farming*, ou encore de voter sur des propositions de gouvernance relatives à des mises à jour de protocole ou de réseau. Ces différences par rapport aux actifs traditionnels posent de nouveaux défis en matière de conservation.
Pour faciliter l’identification des moments où l’autocustodie est appropriée, nous avons élaboré ce diagramme décisionnel.
Principes
Les principes que nous proposons ici visent à démystifier la notion de conservation pour les RIAs, tout en préservant leur responsabilité de protection des actifs clients. Le marché des conservateurs qualifiés spécialisés dans les actifs cryptographiques (tels que les banques ou courtiers-négociateurs) est actuellement extrêmement restreint ; notre attention se concentre donc principalement sur la capacité effective d’un entité à fournir les mesures de protection substantielles que nous jugeons nécessaires à la conservation d’actifs cryptographiques, plutôt que sur son statut légal de « conservateur qualifié » au sens du *Investment Advisers Act*.
Nous recommandons que, lorsque des solutions de conservation tierce offrant des mesures de protection substantielles ne sont pas disponibles ou ne prennent pas en charge les droits économiques et de gouvernance, les RIAs capables de satisfaire à ces exigences de protection puissent recourir à l’autocustodie.
Notre objectif n’est pas d’étendre le champ d’application des règles de conservation au-delà des titres. Ces principes s’appliquent aux actifs cryptographiques considérés comme des titres, tout en établissant des normes applicables aux autres types d’actifs afin de respecter les obligations fiduciaires des RIAs. Les RIAs devraient chercher à détenir les actifs cryptographiques non titres dans des conditions similaires, et documenter toutes leurs pratiques de conservation, y compris les raisons justifiant d’éventuelles différences significatives selon les types d’actifs.
Principe 1 : Le statut juridique ne doit pas déterminer la qualification d’un conservateur d’actifs cryptographiques
Le statut juridique et les protections associées à un statut spécifique sont importants pour les clients du conservateur, mais ils ne constituent pas l’unique critère pertinent en matière de conservation d’actifs cryptographiques. Par exemple, les banques agréées au niveau fédéral et les courtiers-négociateurs sont soumis aux règles de conservation et offrent des protections strictes aux clients, mais les sociétés fiduciaires agréées au niveau étatique et d’autres tiers conservateurs peuvent également fournir un niveau de protection équivalent.
Le simple fait d’être enregistré ne devrait pas être le seul facteur déterminant la capacité d’un entité à conserver des actifs cryptographiques assimilables à des titres. Dans le domaine de la cryptographie, la catégorie des « conservateurs qualifiés » devrait être élargie pour inclure :
-
Les sociétés fiduciaires agréées au niveau étatique (c’est-à-dire qu’elles seraient éligibles même si elles ne répondent pas à la définition légale de « banque » du *Investment Advisers Act*, pourvu qu’elles soient supervisées et inspectées par une autorité bancaire fédérale ou étatique) ;
-
Toute entité enregistrée en vertu d’une législation fédérale proposée sur l’architecture des marchés cryptographiques ;
-
Toute autre entité capable de démontrer qu’elle respecte des normes strictes de protection des clients, indépendamment de son statut d’enregistrement.
Principe 2 : Les conservateurs d’actifs cryptographiques doivent mettre en place des mesures de protection appropriées
Quel que soit l’outil technologique utilisé, les conservateurs doivent adopter certaines mesures de protection spécifiques à la conservation d’actifs cryptographiques. Ces mesures comprennent :
1. Séparation des pouvoirs : Un conservateur d’actifs cryptographiques ne doit pas pouvoir transférer des actifs sans la coopération du RIA.
2. Isolement des actifs : Un conservateur ne doit pas mélanger les actifs détenus pour les RIAs avec ceux détenus pour d’autres entités. Toutefois, un courtier-négociateur agrégié peut utiliser un portefeuille consolidé unique à condition de tenir à jour un registre précis de la propriété de ces actifs et d’en informer rapidement les RIAs concernés.
3. Matériel de conservation : Un conservateur ne doit pas utiliser de matériel ou outil de conservation qui comporte des risques de sécurité ou de compromission.
4. Audits : Un conservateur doit subir au moins un audit financier et technique annuel. Ces audits doivent comprendre :
Audit financier réalisé par un auditeur enregistré auprès du PCAOB :
-
Audit SOC 1 ;
-
Audit SOC 2 ; ainsi que
-
Une confirmation, une évaluation et une présentation comptable des actifs cryptographiques du point de vue du détenteur.
Audit technique :
-
Certification ISO 27001 ;
-
Tests d’intrusion (penetration tests) ; ainsi que
-
Tests des procédures de reprise après sinistre et de continuité d’activité.
5. Assurance : Le conservateur doit disposer d’une couverture d’assurance suffisante. À défaut, il doit constituer des réserves adéquates.
6. Divulgation : Le conservateur doit fournir chaque année aux RIAs une liste des principaux risques liés à la conservation d’actifs cryptographiques, accompagnée des procédures écrites de surveillance et des contrôles internes destinés à atténuer ces risques. Cette divulgation doit être réévaluée trimestriellement afin de déterminer s’il convient de la mettre à jour.
7. Juridiction de conservation : Le conservateur ne doit pas conserver d’actifs cryptographiques dans une juridiction où la loi locale stipulerait que ces actifs feraient partie de la masse en cas de faillite du conservateur.
Par ailleurs, nous recommandons que les conservateurs d’actifs cryptographiques mettent en œuvre des mesures de protection à chaque étape du processus suivant :
-
Phase de préparation : Examiner et évaluer les actifs à conserver, notamment le processus de génération des clés et les procédures de signature des transactions, vérifier s’ils sont pris en charge par un portefeuille ou logiciel open source, et identifier l’origine de chaque composant matériel et logiciel utilisé dans la gestion des clés.
-
Génération des clés : Utiliser des techniques cryptographiques à tous les niveaux du processus, exiger plusieurs clés cryptographiques pour générer une clé privée. Le processus doit être à la fois « horizontal » (plusieurs détenteurs de clés au même niveau) et « vertical » (plusieurs niveaux hiérarchiques). Une règle de quorum doit aussi exiger la présence physique effective des personnes autorisées.
-
Stockage des clés : Les clés ne doivent jamais être stockées en clair, uniquement sous forme chiffrée. Elles doivent être physiquement isolées géographiquement ou par différents utilisateurs d’accès. Si des modules matériels de sécurité (HSM) sont utilisés pour sauvegarder des copies de clés, ils doivent respecter les normes de sécurité FIPS (Federal Information Processing Standards). Des mesures strictes d’isolement physique et d’autorisation doivent être appliquées. Le conservateur doit maintenir au minimum une redondance cryptographique à deux niveaux, afin de garantir la continuité des opérations en cas de catastrophe naturelle, panne de courant ou destruction des biens.
-
Utilisation des clés : Les portefeuilles doivent exiger une authentification, c’est-à-dire vérifier l’identité de l’utilisateur et limiter l’accès aux parties autorisées. Ils doivent utiliser des bibliothèques de chiffrement open source éprouvées. Une autre bonne pratique consiste à éviter d’utiliser une même clé pour plusieurs fonctions. Par exemple, des clés distinctes doivent être utilisées pour le chiffrement et la signature. Appliquer le principe du « moindre privilège », selon lequel l’accès à tout actif, information ou fonction doit être strictement limité aux parties absolument nécessaires au bon fonctionnement du système, notamment en cas de violation de sécurité.
Principe 3 : Les règles de conservation d’actifs cryptographiques doivent permettre aux RIAs d’exercer les droits économiques ou de gouvernance associés
Sauf indication contraire du client, les RIAs devraient pouvoir exercer les droits économiques ou de gouvernance liés aux actifs cryptographiques en conservation. Sous l’ancienne direction de la SEC, en raison de l’incertitude autour de la classification des jetons, de nombreux RIAs ont adopté une approche prudente en confiant tous leurs actifs cryptographiques à des conservateurs qualifiés. Comme mentionné précédemment, le marché des conservateurs disponibles étant limité, cela conduisait souvent à ce qu’un seul conservateur qualifié accepte de prendre en charge un actif donné.
Dans ces cas, les RIAs pouvaient demander à exercer des droits économiques ou de gouvernance, mais le conservateur pouvait choisir de ne pas les offrir pour diverses raisons. En retour, les RIAs se sentaient incapables de choisir un autre tiers conservateur ou de passer à l’autocustodie pour exercer ces droits. Ces droits incluent notamment le *staking*, le *yield farming* ou le vote.
Conformément à ce principe, nous soutenons que les RIAs devraient pouvoir choisir un tiers conservateur d’actifs cryptographiques qui satisfait aux mesures de protection requises, afin de pouvoir exercer les droits économiques ou de gouvernance associés. Si aucun tiers ne peut satisfaire simultanément à ces deux exigences, le transfert temporaire des actifs vers une autocustodie par les RIAs aux fins d’exercice de ces droits ne devrait pas être considéré comme une sortie de conservation.
Tous les tiers conservateurs doivent faire des efforts maximums pour permettre aux RIAs d’exercer ces droits pendant que les actifs restent en leur possession, et doivent entreprendre des actions commercialement raisonnables, à la demande des RIAs, pour exercer tout droit lié à des actifs sur chaîne.
Avant de transférer des actifs hors de la conservation pour exercer un droit lié à un actif cryptographique, les RIAs ou le conservateur doivent d’abord déterminer par écrit si ce droit peut être exercé sans sortir de la conservation.
Principe 4 : Les règles de conservation d’actifs cryptographiques doivent être flexibles pour permettre la meilleure exécution
Les RIAs ont une obligation de meilleure exécution lors de la transaction d’actifs. À cette fin, ils peuvent transférer des actifs vers des plateformes de trading cryptographiques afin d’assurer la meilleure exécution possible, indépendamment de l’état de l’actif ou du conservateur, à condition que les RIAs aient pris les mesures nécessaires pour garantir la sécurité du lieu de transaction, ou qu’ils aient transféré les actifs cryptographiques vers une entité régulée en vertu de la législation future sur l’architecture des marchés cryptographiques une fois celle-ci adoptée.
Dès lors que les RIAs jugent raisonnable de transférer des actifs cryptographiques vers un lieu de transaction afin d’assurer la meilleure exécution, ce transfert ne devrait pas être considéré comme une sortie de conservation. Cela suppose que les RIAs aient raisonnablement déterminé que le lieu est adapté à la meilleure exécution. Si l’exécution de la transaction ne peut être effectuée correctement sur ce lieu, les actifs doivent être immédiatement retournés au conservateur.
Principe 5 : L’autocustodie devrait être autorisée dans des circonstances spécifiques
Bien que l’utilisation d’un tiers conservateur reste le choix principal pour les actifs cryptographiques, les RIAs devraient pouvoir recourir à l’autocustodie dans les cas suivants :
-
Le RIA détermine qu’aucun tiers conservateur ne peut satisfaire aux mesures de protection requises ;
-
Les propres arrangements de conservation du RIA offrent une protection au moins équivalente à celle des tiers disponibles ;
-
L’autocustodie est nécessaire pour exercer des droits économiques ou de gouvernance liés à l’actif cryptographique.
Lorsque les RIAs décident d’opter pour l’autocustodie pour ces motifs, ils doivent chaque année confirmer que les justifications restent valables, divulguer cette pratique aux clients, et soumettre ces actifs cryptographiques aux exigences d’audit prévues par la règle de conservation.
Une approche de la conservation d’actifs cryptographiques fondée sur ces principes permet aux RIAs de remplir leurs obligations fiduciaires tout en tenant compte des caractéristiques uniques des actifs numériques. En se concentrant sur la protection réelle plutôt que sur des classifications rigides, ces principes tracent une voie pragmatique pour protéger les actifs clients et exploiter pleinement les fonctionnalités de ces actifs. À mesure que l’environnement réglementaire évolue, des normes claires fondées sur ces mesures de protection permettront aux RIAs de gérer les actifs cryptographiques de manière responsable.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
a16z
