Select your country

Not finding what you are looking for, select your country from our regional selector:

Rechercher

Blockchain & actifs numériques : MiCA, la sécurité comme prérequis

Les prévisions de croissance du marché de la blockchain illustrent son adoption croissante par les entreprises de nombreux secteurs comme la finance, la santé, la logistique mais aussi l’industrie, le textile ou encore l’agriculture. Comme pour l’IA générative, les perspectives lucratives, avec un chiffre d’affaires estimé à près de 3,37 milliards de dollars d’ici 2029*, attirent les convoitisent autour de cette technologie vue comme sécurisée par nature. Or, cette technologie ne déroge pas à la nécessité d’une stratégie de cyberdéfense adaptée.

Le règlement MiCA ou Markets in Crypto-Assets vise à encadrer les émissions et les services sur crypto-actifs à compter du 1er janvier 2025. En cohérence avec DORA et en complément de la loi PACTE en France, il apporte une série d’exigences pour réguler cette activité. Le duo règlementaire MiCA-DORA marque un tournant majeur pour l’industrie des crypto-actifs en Europe.

Comment le règlement MiCA régule les crypto-actifs et la blockchain ?

Adopté par l’Union Européenne, MiCA vise à réguler l'ensemble des prestations de services sur crypto-actifs au sein des États membres. Son objectif principal est de garantir un marché transparent, sécurisé et compétitif, tout en limitant les risques systémiques et les risques pour les utilisateurs.

Ce règlement s’articule autour de 3 axes :

  • Encadrement des émetteurs de crypto-actifs : Les projets devront fournir un livre blanc clair, expliquant les risques et les caractéristiques de l’actif émis.
  • Supervision des prestataires de services sur crypto-actifs (PSCA) : Les plateformes d’échanges, de portefeuilles numériques, et d’autres services devront être des PSCA pour opérer dans l’UE.
  • Régulation spécifique des stablecoins : Assurer que ces actifs disposent de réserves solides pour éviter des crises de liquidités.

Le règlement MiCA entrera en application en totalité le 30 décembre 2024. Cependant, les éléments relatifs aux jetons se référant à un ou des actifs et aux jetons de monnaie électronique sont déjà entrés en application depuis le 30 juin 2024. A noter qu’à partir du 31 décembre 2024, l’ANSSI ne délivrera plus d’agréments PSAN.

Concrètement, à partir du 1er janvier 2025, les entreprises concernées par MiCA auront l’obligation d’être enregistrées ou agrées auprès du régulateur national – l’AMF en France – pour pouvoir proposer des services sur crypto-actifs aux citoyens de l’UE.

Les prestataires de services sur crypto-actifs qui peuvent justifier avoir fourni des services conformément au droit national applicable (PSAN, AMF) avant cette date peuvent continuer à les fournir pendant une période maximale de 18 mois, soit jusqu’au 1er juillet 2026.

Cette disposition s’applique jusqu’à ce qu’ils se voient octroyer ou refuser un agrément sous MiCA, l’événement survenant en premier lieu étant retenu.

La définition des prestataires de services sur crypto-actifs de MiCA est plus large que celle des Prestataires de Services sur Actifs Numériques de la loi PACTE, elle inclut désormais les activités suivantes :

MiCA s’inscrit dans la stratégie de l’Union Européenne en matière de finance numérique, visant à garantir la protection des investisseurs tout en assurant le respect des réglementations sur la lutte contre le blanchiment des capitaux et le financement du terrorisme (AML-CFT), et en garantissant la stabilité financière du marché.

Comment garantir la sécurité des actifs émis sur la blockchain ?

La blockchain est une technologie de stockage et de transmission d'informations, décentralisée et sécurisée. Elle fonctionne comme un registre numérique, accessible et immuable, où chaque donnée inscrite est validée par un réseau de participants (ou nœuds).

L’objectif principal de cette technologie est de garantir la transparence, l’intégrité et la traçabilité dans des processus traditionnellement opaques ou vulnérables.

Les actifs numériques sont des actifs émis sur une blockchain.

Ils regroupent plusieurs catégories :

  • Crypto-actifs ou jetons numériques : on y retrouve notamment des actifs comme Bitcoin (BTC), Ethereum (ETH), Chainlink (LINK), ou encore Uniswap (UNI). Ils peuvent être utilisés comme des moyens de paiements sur leurs réseaux respectifs, de gouvernance, d’incitation économique, ou peuvent apporter des fonctionnalités ou des utilités supplémentaires à certains cas d’usage.
  • Stablecoins : il s’agit d’actifs numériques dont la valeur est adossée à une monnaie fiduciaire, par exemple, l’euro ou le dollar. Nous y retrouvons notamment des actifs comme l’USDC de Circle, ou l’EURCV de Société Générale Forge.
  • Tokenisation : c’est le processus de conversion d’un actif réel ou numérique en un token émis sur une Blockchain. Il permet notamment l’émission, l’échange et le transfert simplifié d’actifs financiers (obligations, bons du trésor, dette), d’immobilier, de crédit carbone, ou encore d’œuvres d’art.

Ces innovations répondent à des enjeux cruciaux : réduire les coûts, augmenter l'efficacité, et offrir une alternative décentralisée, sans autorité centrale, aux systèmes traditionnels.

 

Blockchain : la protection du marché et des consommateurs sous l’œil du régulateur

Depuis la création du Bitcoin en 2009, les crypto-actifs ont évolué d’un outil de niche pour les technophiles à une classe d’actifs globale pesant des milliers de milliards d’euros.

Cette croissance rapide a soulevé des préoccupations :

  • Manque de protection des investisseurs : Certains projets peu scrupuleux se sont avérés être des arnaques ou ont entraîné de lourdes pertes pour leurs utilisateurs.
  • Stabilité financière : Les stablecoins, s’ils ne sont pas correctement encadrés, pourraient perturber les systèmes monétaires traditionnels.
  • Manque de contrôle des entreprises du secteur : Les entreprises proposant des services financiers au travers des crypto-actifs n’étaient pas encadrées au même titre que les entités financières traditionnelles.

 

En réponse, les régulateurs ont cherché à encadrer ce secteur pour :

  • Protéger les consommateurs,
  • Assurer la transparence,
  • Prévenir les abus financiers.

MiCA et cybersécurité : ce que les organisations doivent faire

Au même titre que pour la loi PACTE, MiCA apporte son lot d’exigences de cybersécurité. Ces dernières sont globalement alignées sur celles de l’agrément facultatif PSAN décrit dans la loi PACTE.

Avec MiCA, l’autorité de régulation et de surveillance des marchés financiers de l’UE, ESMA (European Securities and Markets Authority), cherche à s’assurer au travers des exigences de cybersécurité que les Prestataires de Services sur Actifs Numériques disposent d’une connaissance exhaustive de leurs risques et de leur niveau de sécurité.

Pour y parvenir, le règlement impose notamment :

  • La création d’un cadre de gestion des risques lié aux technologies de l’information et de la communication,
  • L’identification des services informatiques soutenant les fonctions critiques ou importantes du PSCA,
  • La description des procédures, politiques, dispositions et systèmes du demandeur en matière de sécurité et de gestion des incidents,
  • La réalisation d’un audit de cybersécurité par une entreprise indépendante externe sur les portées suivantes :
  • Audit organisationnel et physique,
  • Audit de configurations,
  • Tests d’intrusion (boîte noire, boîte grise, boîte blanche),
  • Audit de code (en cas d’utilisation de smart-contracts).

En France, l’AMF recommande vivement que cet audit de sécurité soit réalisé par une entreprise qualifiée PASSI, afin de s’assurer de la qualité de la prestation.

Pour les émetteurs de crypto-actifs, il est demandé d’obtenir l’agrément d’Etablissement de Monnaie Electronique (EME) auprès de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Cet agrément impose lui aussi des mesures de sécurité organisationnelles, techniques, et de continuité des systèmes d’information.

L’ensemble de ces exigences de sécurité vise à renforcer le niveau de sécurité des prestataires de services sur crypto-actifs, pour les aligner davantage avec les mesures en place dans les entreprises de finance traditionnelle. Une procédure simplifiée d’agrément MiCA est d’ailleurs prévue pour les entités financières traditionnelles.

Mais pour les pure-players du secteur des crypto-actifs, ces projets cyber peuvent s’avérer longs. Il convient ainsi de s’y préparer le plus en amont possible.

Le lien avec DORA : Une résilience renforcée

En étant soumises au règlement MiCA, les entreprises sont également d’office soumises au Digital Operational Resilience Act - DORA.

Ce dernier vise à renforcer la résilience opérationnelle numérique des institutions financières, y compris celles actives dans les crypto-actifs, et rentre quant à lui en application le 17 janvier 2025.

DORA exige :

  • Une gestion robuste des risques liés à la cybersécurité,
  • Une surveillance continue des menaces et une gestion des incidents,
  • Une gestion des risques liés aux tiers fournissant des produits et services technologiques,
  • Des tests réguliers pour garantir la résilience opérationnelle face aux cyberattaques,
  • Un partage d’informations et de renseignements sur les menaces cyber ainsi que des remontées au régulateur.

Pour les acteurs de l’écosystème blockchain et des crypto-actifs, cela signifie :

  • Mettre en place des systèmes sécurisés pour protéger les données des utilisateurs et leurs actifs numériques,
  • Collaborer avec des tiers conformes aux normes de cybersécurité,
  • Mettre en place les processus métiers et techniques pour assurer la continuité de service selon une approche par les risques.

En combinant MiCA et DORA, l’Union Européenne établit un cadre cohérent pour favoriser un écosystème numérique sûr et innovant, tout en protégeant les utilisateurs contre les risques technologiques et financiers.

La proposition de valeur d’Orange Cyberdefense

Chez Orange Cyberdefense, nos professionnels ont bâti une expertise reconnue et multidisciplinaire pour accompagner nos clients face aux défis multi-réglementaires (DORA, NIS 2, RGPD, SecNumCloud, LPM, PCI-DSS, etc.) et technologiques (Cloud, Blockchain, IA, IoT, informatique industrielle, etc.).

Une expertise complète dans la cybersécurité, la règlementation et la finance

Nous combinons des savoir-faire uniques qui couvrent :

  • La cybersécurité : Une expertise reconnue en gestion des risques, résilience, audits et intégration, détection et remédiation pour sécuriser vos systèmes d’information de bout en bout.
  • La réglementation et la conformité : Une connaissance approfondie des exigences MiCA, DORA et des standards du secteur de la finance.
  • La blockchain et les actifs numériques : Une maîtrise des mécanismes économiques et technologiques des crypto-actifs, associée à une compréhension fine des enjeux métiers.
  • Les secteurs : une approche multi-secteurs, de l’IT à l’OT, du secteur public au secteur privé.

 

 

Un accompagnement sur mesure pour répondre à vos besoins

Notre approche proactive et notre expertise transversale font de nous un partenaire de confiance pour naviguer dans l’univers complexe et en constante évolution des crypto-actifs en plaçant, en permanence, l’humain au centre des décisions. Vous pourrez compter sur nos experts pour préparer la sécurité :

  • De la blockchain
  • Des Dapps/smart-contracts
  • Des clés privées et portefeuilles numériques
  • Des actifs numériques.

Avec nos qualifications délivrées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et nos échanges réguliers avec l’Autorité des Marchés Financiers (AMF), nous sommes votre partenaire de confiance pour vous permettre d’évoluer en toute sécurité dans ce secteur à la fois complexe, exigeant et en évolution permanente.

Avec notre expertise approfondie sur les sujets de cybersécurité, de réglementation, et de finance, nous sommes prêts à vous accompagner dans cette transition.

Que ce soit pour répondre aux exigences de conformité, sécuriser vos infrastructures ou comprendre les enjeux métiers, nous mettons à votre disposition des solutions robustes et sur mesure pour bâtir un écosystème innovant et durable.

L’avenir de cet écosystème s’écrit dès maintenant, et Orange Cyberdefense est à vos côtés pour le façonner.

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT