Pour exchanges crypto
Architecture hot/cold, durcissement des APIs, pentest de conformité MiCA / DORA / PSAN, et préparation aux incidents. Une sécurité au niveau exchange, sans les mois de négociation.
Modèle de menace
Services de retrait, infra de signature, wrapping KMS, chaque couche entre la requête utilisateur et la transaction on-chain est une cible. Un défaut sur l'une d'entre elles, c'est la différence entre une mauvaise journée et un incident en une de presse.
REST, WebSocket, FIX, admin panels internes, les exchanges accumulent des APIs. IDOR, auth cassée sur du tooling interne, lacunes de rate-limiting, ce sont les findings classiques, et ceux que les régulateurs interrogent après coup.
L'article 9 de MiCA et les articles 24 à 27 de DORA imposent aux prestataires de services sur crypto-actifs des tests d'intrusion et évaluations de vulnérabilités périodiques. Le régime PSAN français ajoute des exigences techniques alignées ANSSI, contrôlées par l'AMF. Il faut une méthodologie, des preuves, des lettres d'attestation, et une cadence de re-test, pas un pentest unique vieux de plusieurs années.
Des fonds clients perdus, ce n'est pas une position récupérable. Les exchanges qui survivent ont répété la réponse, comms, procédures de gel, traçage on-chain, contacts forces de l'ordre, avant d'en avoir besoin.
Les exchanges sont à la croisée des modèles de menace fintech traditionnels et crypto-natifs. Les deux s'appliquent. La barre est plus haute qu'en DeFi parce que les fonds clients sont en custody, les régulateurs regardent, et la réputation ne survit pas à un seul incident majeur.
Services recommandés
Penetration Testing sur la plateforme et revue de Wallet Setup sur l'architecture de custody sont les deux points de départ. Surveillance sur les hot et cold wallets, plus un retainer Incident Response, complètent l'ensemble.
Pentest Web3 et tests d'intrusion sur vos dApps, APIs et infrastructure, y compris pentest de conformité MiCA, DORA et PSAN.
En savoir plus →
Monitoring on-chain continu des wallets de trésorerie, admin et opérationnels. Alertes temps réel et analyste d'astreinte.
En savoir plus →
Réponse à incident Web3 et récupération de fonds après exploit DeFi ou drain de wallet. Astreinte, traçage on-chain, communication.
En savoir plus →
Architecture de wallet de trésorerie pour configurations multi-sig et MPC. Choix des signataires, runbooks opérationnels, formation.
En savoir plus →
À lire
Ce que MiCA et les attaquants modernes attendent de la posture de sécurité d'un exchange crypto, architecture de custody, durcissement des APIs, monitoring et préparation aux incidents.
Lire l'article →
Ce que MiCA, DORA articles 24 à 27 et le régime PSAN local exigent vraiment en matière de tests d'intrusion, et comment satisfaire votre superviseur sans surpayer.
Lire l'article →
L'article 26 de DORA impose des threat-led penetration tests aux entités financières significatives, y compris les gros CASP. Voici ce que recouvre vraiment un TLPT, en quoi il diffère d'un pentest standard, et à quoi s'attendre dans une mission alignée TIBER-EU.
Lire l'article →
Glossaire
MPC Wallet
Wallet basé sur la multi-party computation : la clé est répartie en parts entre plusieurs parties et n'existe jamais en un seul endroit.
Gestion des clés (Key Management)
Cycle de vie complet des clés cryptographiques : génération, stockage, usage, rotation et destruction.
KYC / AML
Know-Your-Customer et Anti-Money-Laundering, cadres réglementaires dans lesquels opèrent les exchanges et les dépositaires.
Phishing
Attaque d'ingénierie sociale qui pousse un utilisateur à approuver une transaction malicieuse ou à révéler des identifiants.
