L’Autorité européenne des marchés financiers (ESMA) a annoncé le 8 juillet 2026 le lancement d’une action de surveillance commune (CSA) ciblant la résilience opérationnelle numérique des prestataires de services sur crypto-actifs (CASPs), avec un accent spécifique sur les services de garde. L’exercice, qui mobilisera les autorités nationales compétentes, s’étendra du second semestre 2026 au premier semestre 2027.
Au programme
- Une action coordonnée inédite sur la résilience numérique des CASPs, focalisée sur les risques des technologies de registre distribué (ESMA, 2026)
- Un audit approfondi de la gestion des clés, du stockage et des contrôles de transaction
- Un rapport final consolidé attendu au second semestre 2027, qui pourrait déboucher sur des orientations réglementaires plus strictes
Que recouvre cette action de surveillance commune ?
L’ESMA a conçu cette CSA pour évaluer la maturité des cadres de résilience opérationnelle numérique des CASPs dans leurs activités de garde. L’examen couvre un spectre large de vulnérabilités inhérentes aux technologies de registre distribué (DLT), incluant les dispositifs de gouvernance, la gestion et le stockage des clés cryptographiques, les contrôles de transaction, la détection et la réponse aux incidents, les risques liés aux smart contracts, ainsi que les dépendances envers les prestataires tiers. Chaque autorité nationale sélectionnera un échantillon de CASPs autorisés sur une base de risques.
Cette initiative s’inscrit dans la continuité du cadre MiCA, qui impose depuis le 30 décembre 2024 des exigences strictes en matière de sécurité opérationnelle. L’action actuelle ajoute une couche de vérification concrète sur le terrain. Elle fait écho aux préoccupations exprimées par le rapport de l’ABE, l’EIOPA et l’ESMA du 7 juillet 2026 sur les risques cybernétiques systémiques liés aux modèles d’IA de pointe, signe que la résilience numérique est devenue une priorité absolue pour les superviseurs européens.
« Cette initiative répond aux priorités de supervision de l’ESMA fondées sur les risques, qui identifient à la fois la résilience opérationnelle numérique et les CASPs comme des domaines de risque clés. » : ESMA, 8 juillet 2026
Pourquoi la garde d’actifs est-elle spécifiquement ciblée ?
La garde d’actifs numériques concentre des risques critiques absents des services financiers traditionnels. Contrairement à un dépositaire de titres classique, un CASP gère des clés privées dont la compromission entraîne une perte irréversible des fonds. Le hacking de Bybit en février 2025, avec 1,5 milliard de dollars dérobés via un multisig compromis, a illustré ce point de manière spectaculaire. La détection d’intrusion et les procédures de réponse aux incidents figurent d’ailleurs parmi les priorités explicites de l’audit ESMA.
Le régulateur examinera également les risques liés aux smart contracts utilisés dans les infrastructures de garde. Une faille dans un contrat intelligent de verrouillage peut vider un portefeuille sans interaction humaine directe. L’ESMA veut s’assurer que les CASPs disposent de processus de vérification et d’audit formels pour chaque contrat déployé en production. Enfin, les dépendances tierces : fournisseurs de stockage matériel, de MPC (calcul multipartite), ou de services cloud : seront scrutées. En 2025, la faillite d’un prestataire cloud régional avait perturbé les opérations de quatre CASPs de taille moyenne pendant 72 heures.
Quel impact pour les CASPs et le marché européen ?
L’exercice ne débouche pas directement sur des sanctions, mais ses conclusions façonneront les futures orientations de supervision. Les autorités nationales transmettront leurs constats à l’ESMA, qui les consolidera dans un rapport final soumis à son conseil des autorités de surveillance au second semestre 2027. Ce document pourrait identifier des lacunes systémiques et justifier des mesures réglementaires additionnelles : par exemple des exigences renforcées en matière d’audit de smart contracts ou de redondance des systèmes de stockage de clés.
Pour les CASPs eux-mêmes, l’enjeu est commercial autant que réglementaire. Un établissement jugé insuffisamment résilient risque de voir sa licence MiCA questionnée lors du cycle de révision suivant. Les gardiens qui investissent dans des solutions de stockage multi-schémas et des tests de résistance réguliers : comme Zodia Custody, qui a récemment obtenu sa licence luxembourgeoise pour les stablecoins : pourraient en revanche tirer un avantage concurrentiel durable de cet audit. Le calendrier de 12 mois laisse aux acteurs un délai limité pour combler leurs éventuelles lacunes avant la publication du rapport.
Lecture CryptoActu L’action de l’ESMA marque un tournant dans la supervision européenne des infrastructures crypto. La garde d’actifs sort du registre déclaratif pour entrer dans un contrôle de résilience opérationnel concret, aligné sur les exigences DORA. Les CASPs qui n’ont pas encore industrialisé leurs processus d’audit de smart contracts et de gestion des incidents ont six mois pour se mettre à niveau.
À retenir
L’action commune de surveillance lancée par l’ESMA applique pour la première fois une grille d’audit de résilience numérique directement aux services de garde crypto. De la gestion des clés aux risques smart contracts, les CASPs autorisés sous MiCA vont être évalués sur 12 mois par leurs autorités nationales. Le rapport final, attendu fin 2027, pourrait dicter les futures normes techniques de la Commission européenne. La période de rodage réglementaire est terminée.
Sources
-
ÉCONOMIE & MACROEntreprises japonaises adoptent Bitcoin et XRP face au yen faible
-
ÉCONOMIE & MACROUS révoque licence pétrole Iran : Brent bondit à 75 $