Risques et conformité dans l’industrie Web3 : deux échéances réglementaires à garder en tête pour 2023

Aussi fracassante qu’elle fut, la chute éclair du géant FTX – initiée par la découverte d’une gestion calamiteuse et conclue par une cyber-attaque aux allures d’inside job – a servi de cri d’alerte sur l’enjeu de la régulation pour toute l’industrie Web3. Une industrie qui a connu une croissance hors-norme mais se retrouve aujourd’hui confrontée à des crises de plus en plus fréquentes.

Qu’elles soient liées à la cyber-criminalité, l’opacité financière, la publicité mensongère, une gouvernance défaillante… ou tout cela en même temps, ces crises justifient d’autant plus les efforts en cours – notamment au niveau européen. Lesquels iront en s’accélérant en 2023 et nécessiteront de la part des acteurs une mise en conformité rapide, a minima sur deux axes stratégiques majeurs présentés ici.

L’arrivée de MiCA et l’harmonisation européenne de l’encadrement des crypto-actifs

L’atténuation du risque financier est la principale préoccupation des pouvoirs publics, dans le contexte de bear market que nous traversons actuellement. Si ce dernier est corrélé à la tendance structurelle mondiale, il agit de manière conjoncturelle et n’épargne personne – encore moins des acteurs significatifs comme Coinbase, Luna (Terra), MicroStrategy, ou encore Binance.

Or, lorsque ces mastodontes vacillent, ce sont surtout les petits investisseurs – toujours plus nombreux sur ces plateformes centralisées – qui tombent. Rien qu’en France par exemple, 8% de la population a investi dans les crypto-actifs en 2021, dont une majorité dans la “CeFI” (centralized finance). Un chiffre en constante augmentation sur l’ensemble des marchés nationaux d’Europe, qui ne rassure pas les régulateurs.

Raison pour laquelle, dans la continuité du statut de prestataire de services d’actifs numériques (PSAN) institué par la loi PACTE en 2019 en France, l’Union européenne entend harmoniser le régime juridique des “crypto-actifs” via le règlement “Markets in Crypto-assets” (MiCA). Articulé autour de deux axes – (i) l’offre au public et (ii) les services sur crypto-actifs – il obligera les acteurs Crypto européens à apporter des garanties en matière de bonne gouvernance ; de lutte contre le blanchiment d’argent et le financement du terorrisme et de fonds de réserves.

En d’autres termes, là où la France, l’Allemagne et quelques autres juridictions faisaient jusqu’alors figure de cavaliers seuls, les pays de l’Union européenne ont à présent décidé de se saisir collectivement de la question afin de protéger leurs investisseurs et alors qu’en parallèle, la Banque centrale européenne (BCE) prépare le lancement de sa monnaie numérique : le Digital Euro.

Enfin, notons au sujet de MiCA qu’un des axes majeurs concerne la sécurisation du dispositif Blockchain utilisé, ce qui introduit la question de la résilience des infrastructures numériques, autre volet de la régulation européenne à venir en matière de crypto-actifs.

DORA : la réponse de l’Union européenne au risque Cyber dans la Blockchain

Par essence, l’essor de l’industrie Web3 repose sur la croyance en l’efficience de la Blockchain, dont l’une des caractéristiques est sa relative sécurité. Est-ce à dire que toute cyber-attaque est impossible ? Loin de là. L’année 2022 a d’ailleurs été marquée par leur accroissement dans l’industrie.

D’un côté, la subversion des efforts en faveur de l’interopérabilité des protocoles Blockchain, via ce que l’on nomme les bridges, s’est révélée fortement lucrative pour les cybercriminels (650 millions de dollars pour le hack du bridge Ronin (Axie Infinity), 560 millions de dollars pour la Binance Smart Chain…). De l’autre, la croissance des plateformes de trading Crypto centralisées laisse aux attaquants la possibilité d’exploiter des failles plus traditionnelles, mais tout aussi intéressantes. La jonction de ces deux tendances contribue à décrédibiliser un écosystème bâti sur la robustesse de sa solution technologique phare.

Fortes de ce constat, les autorités européennes élaborent plusieurs textes (Cyber Resiliens Act, Digital Services Act (DSA), Digital Market Act (DMA), Network and Information Security (NIS) 2) afin d’encadrer le risque “Cyber” lié aux crypto-actifs. Le plus célèbre d’entre eux étant le règlement “Digital Operational resilience of the financial sector” (DORA), censé entrer en vigueur début 2023 et en application à partir de 2025.

DORA vise à instituer un standard européen en matière de résilience opérationnelle des solutions technologiques utilisées par le secteur financier – dont font partie les acteurs Cryptos – grâce à une meilleure gouvernance des systèmes d’information ; une fluidification des protocoles de gestion, de classification et de notification d’incidents ; et un partage d’informations harmonisé à l’échelle régionale.

L’idée étant que les opérateurs renforcent leur capacité de résistance aux menaces informatiques et, par conséquent, la crédibilité qui se dégage de cet écosystème aux yeux des investisseurs, consommateurs mais aussi des acteurs institutionnels.

Pour conclure

Pris conjointement, DORA et MiCA reflètent la volonté du régulateur européen de renforcer le niveau de confiance au sein de l’industrie Web 3, mis à mal par les hacks et faillites de ces derniers mois.

Il est désormais clair qu’un acteur souhaitant s’inscrire durablement dans le paysage Blockchain et Crypto européen devra prendre en compte ces enjeux dans sa projection stratégique et se mettre en conformité le plus tôt possible. Ceci, afin de conserver une certaine avance dans une industrie en évolution rapide.

Chers acteurs du Web3, c’est le moment où jamais de poser les fondations d’une croissance durable !

Article rédigé par Sébastien Martin, Président de RAID Square, et Goudet Abalé, Coordinateur Blockchain d’Avisa Partners (35°Nord) et Trésorier de la Fédération française des Professionnels de la Blockchain (FFPB)