Le régime PSAN (Prestataire de Services sur Actifs Numériques) reste, en 2026, le statut opérationnel de référence pour beaucoup d'acteurs crypto français en transition vers MiCA. Les exigences de sécurité techniques attachées au PSAN (alignées sur les guides de l'ANSSI, contrôlées par l'AMF) n'ont pas baissé avec l'arrivée de MiCA. Au contraire : elles servent souvent de référentiel local pendant l'instruction MiCA. Cet article détaille ce qui est attendu en pratique.
Les deux régimes PSAN
Pour rappel, créé par la loi PACTE de 2019 :
- L'enregistrement obligatoire s'applique aux activités de conservation, achat-vente fiat-crypto, échange crypto-crypto, et exploitation d'une plateforme. C'est un statut déclaratif renforcé : l'AMF vérifie l'honorabilité, la compétence, et la conformité LCB-FT (lutte contre le blanchiment et le financement du terrorisme).
- L'agrément optionnel ajoute des exigences fortes : capital minimum, gouvernance, contrôle interne, sécurité des systèmes d'information, dispositif de gestion des conflits d'intérêts, politique de continuité d'activité.
C'est dans le second régime (l'agrément) que les exigences sécurité montent significativement, en particulier sur la partie ICT.
Ce que l'AMF attend, alignée ANSSI
L'AMF n'écrit pas elle-même les standards techniques. Elle s'appuie sur :
- Les guides de l'ANSSI (PA-022, PA-013, PA-070 selon les sujets), notamment sur l'architecture de sécurité, l'administration sécurisée des SI, et les recommandations de configuration.
- Le référentiel PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) qualifié ANSSI pour les pentests de niveau « contrôle ».
- Les principes de conformité documentée : politique SSI écrite, analyse de risque EBIOS, contrôle d'accès, gestion des secrets, journalisation, supervision.
En pratique, le dossier sécurité d'un candidat à l'agrément inclut :
- Une politique de sécurité du SI (PSSI) écrite et adaptée au métier crypto.
- Une analyse de risque EBIOS (ou méthodologie équivalente) couvrant le SI complet : custody, plateforme de trading, infra cloud, KYC/AML, gestion des clés.
- Un plan de continuité et de reprise d'activité (PCA / PRA) testé au moins annuellement.
- Des procédures opérationnelles : gestion des accès, gestion des incidents, gestion des correctifs, gestion des secrets, sauvegardes.
- Des éléments de preuve : rapports de pentest, journaux d'audit, traces de tests PCA.
L'AMF lit ces documents avec un œil opérationnel. Une PSSI « belle sur le papier » mais inappliquée se voit en quelques minutes lors d'un contrôle.
Le pentest dans le dossier PSAN
Le test d'intrusion périodique est l'élément de preuve technique le plus regardé par l'AMF. Les attentes :
- Indépendance du prestataire : le testeur ne peut pas être impliqué dans la conception ou l'opération du SI testé. Un prestataire qualifié PASSI ANSSI est un fort signal positif.
- Périmètre documenté : le rapport doit explicitement lister les systèmes dans le périmètre, les exclusions, et la justification.
- Méthodologie alignée : grey box par défaut, méthodologie de type OWASP / OSSTMM ou équivalent, avec preuve de couverture des grandes familles de vulnérabilités.
- Findings classés et tracés : sévérité, statut de remédiation, date du re-test si applicable.
- Cadence : au minimum annuel sur le périmètre critique, plus des tests ciblés après chaque évolution majeure.
Pour les acteurs qui basculent vers MiCA, le pentest PSAN sert de référentiel d'entrée. Les attentes DORA prennent ensuite le relais avec une cadence plus structurée (article 25 annuel, article 26 TLPT triennal pour les entités significatives). La continuité documentaire entre PSAN et MiCA fait partie de l'instruction.
Voir notre article sur les exigences pentest MiCA pour le détail de la transition.
La gestion des clés cryptographiques
L'AMF, héritage des standards bancaires sur la garde de fonds, porte une attention particulière à la gestion des clés. Ce qui est attendu :
- Architecture hot / warm / cold documentée, avec les seuils de fonds par environnement.
- Configuration multi-sig ou MPC sur les wallets opérationnels et de trésorerie. Les clés mono-signataire sur des fonds clients sont un blocage à l'agrément.
- Procédures de génération de clés (cérémonie, témoins, traçabilité) documentées.
- Procédures de recovery (perte d'un signataire, perte d'un hardware) écrites et testées.
- Séparation des rôles : la même personne ne signe pas les transactions et n'opère pas l'infra de signature.
- Audit logs des opérations de signature, conservés et exploitables.
Dans la pratique, le setup wallet multi-sig et MPC sur lequel on travaille avec les candidats à l'agrément est rarement la photo « parfaite ». L'AMF accepte des trajectoires d'amélioration documentées si elles sont crédibles et tenues.
La gestion d'incident
L'AMF impose un reporting d'incident vers le superviseur en cas d'événement de sécurité significatif. Les attentes :
- Délai de notification court : selon la nature (compromission de SI, perte de fonds clients, attaque réussie), de quelques heures à quelques jours.
- Procédure interne d'escalade documentée et testée, pas un email à l'AMF rédigé sous le coup de la panique.
- Coopération sur les forensiques : trace on-chain, journaux SI, chronologie de la réponse.
- Plan de remédiation présenté avec un calendrier crédible.
Avoir un retainer Incident Response en place avant l'incident (pas après) fait partie de ce que l'AMF considère comme un signe de maturité opérationnelle. Le dossier d'agrément peut explicitement le mentionner.
La transition vers MiCA
Pour les acteurs PSAN qui vont vers MiCA, deux scénarios :
- PSAN enregistrement → MiCA notification simplifiée (jusqu'au 30 juin 2026 pour les acteurs déjà enregistrés) : la base sécurité reste à hauteur PSAN, avec montée en gamme progressive sur les exigences DORA.
- PSAN agrément → MiCA autorisation : la base est largement réutilisable. Le delta principal est sur le reporting opérationnel, la gouvernance des risques ICT au sens DORA, et la conformité aux RTS / ITS publiés par l'EBA / ESMA.
Dans les deux cas, l'AMF reste le superviseur national et les standards techniques ANSSI restent applicables. Les acteurs qui ont fait l'agrément PSAN sérieusement n'ont pas à reconstruire leur dossier sécurité, mais à l'étendre.
Cadrer une mise à niveau PSAN ou MiCA
La trajectoire typique de mise à niveau :
- Audit d'écart : diagnostic de la PSSI, de l'architecture, des procédures, des journaux. 1-2 semaines.
- Plan de remédiation priorisé : par criticité, par effort, par exigence réglementaire. 1 semaine.
- Pentest indépendant sur le périmètre critique : 2-4 semaines selon la taille.
- Implémentation des correctifs : 1-3 mois selon l'écart initial.
- Re-test et constitution du dossier : 2-4 semaines.
Pour une équipe qui démarre l'agrément PSAN ou la transition MiCA, un appel de cadrage sur la sécurité technique et le pentest fait partie de ce qu'on traite régulièrement. Le coût d'arriver mal préparé devant l'AMF est très supérieur au coût d'arriver bien préparé.