Le PSAN (Prestataire de Services sur Actifs Numériques) est le statut réglementé français pré-MiCA pour les prestataires de services sur crypto-actifs. Il a été créé par la loi PACTE en 2019 et est supervisé par l'AMF (Autorité des Marchés Financiers).
Il existait deux régimes :
- L'enregistrement obligatoire pour la conservation, l'achat-vente fiat-crypto, l'échange crypto-crypto, et l'exploitation d'une plateforme de négociation.
- L'agrément optionnel pour les mêmes activités plus le conseil et la gestion de portefeuille, avec des exigences nettement plus strictes en capital, gouvernance et sécurité.
Les exigences de sécurité sont alignées avec les guides de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Pour les sociétés agréées en particulier, l'AMF attend :
- Une politique de sécurité du système d'information documentée.
- Des tests d'intrusion périodiques réalisés par des prestataires indépendants.
- Un reporting d'incident vers le superviseur.
- Une séparation stricte entre actifs clients et actifs propres.
- Des procédures de custody auditées (architecture hot/cold).
Le PSAN est progressivement remplacé par l'autorisation MiCA au fur et à mesure que la réglementation européenne prend effet, mais l'enregistrement / agrément PSAN reste le statut opérationnel pour beaucoup de CASP français en transition. Les attentes en pentest se reportent : MiCA ne baisse pas la barre.