L'Agence japonaise des services financiers (FSA) promeut une politique de sécurité agressive pour les plateformes d'échange de cryptomonnaies dans un nouveau projet de loi

L'Agence japonaise des services financiers a récemment publié un projet de cadre réglementaire visant à instaurer de nouvelles normes obligatoires de cybersécurité pour les plateformes d'échange de cryptomonnaies. Ce texte marque un tournant, passant d'une sécurité individualisée et axée sur chaque actif à des protocoles de défense pour l'ensemble de l'écosystème (par plateforme), face à l'escalade constante des cyberattaques dans le secteur des actifs numériques.

Les lignes directrices politiques ont été annoncées le 10 février 2026, introduisant des auto-évaluations obligatoires de cybersécurité (CSSA) pour toutes les plateformes d'échange de cryptomonnaies enregistrées opérant au Japon. 

L'Autorité des services financiers (FSA) acceptera les commentaires du public jusqu'au 11 mars, donnant ainsi aux acteurs clés, tels que les bourses et les experts en sécurité, trois semaines pour donner leur avis avant la finalisation de la réglementation en vue de sa mise en œuvre au cours de l'exercice fiscal 2026 au Japon (qui débutera le 1er avril).

Les portefeuilles froids ne suffisent plus face à la multiplication des attaques indirectes

L' (FSA) a constaté une recrudescence des attaques indirectes sophistiquées ces derniers temps. Face à cette situation qui s'aggrave, le recours aux portefeuilles hors ligne ne suffira plus à garantir une gestion sécurisée des actifs, ce qui marque un tournant dans l'évolution de la philosophie réglementaire japonaise. 

Bien que les portefeuilles froids hors ligne protègent les actifs contre le piratage direct à distance, l'agence a reconnu que les acteurs malveillants modernes se sont adaptés à cette situation en ciblant l'infrastructure humaine et opérationnelle qui soutient la gestion des actifs numériques.

D'autres analystes ont noté que le cadre CSSA exigera des plateformes d'échange qu'elles évaluentmaticdifférents aspects de leurs domaines de sécurité, qu'il s'agisse de l'infrastructure technique (comme la sécurité des portefeuilles et l'architecture réseau), des risques humains et opérationnels (y compris la formation des employés et les protocoles de phishing), de la gestion des fournisseurs tiers et des protections de l'intégrité des données, qui doivent être conformes à la loi japonaise sur la protection des renseignements personnels.

Ce changement fait suite à plusieurs violations de données majeures survenues en 2024, qui ont mis en lumière ces vulnérabilités. Les directives portent notamment sur les attaques qui contournent les défenses technologiques en compromettant les employés par le biais de campagnes d'hameçonnage ou en infiltrant les prestataires de services et lestractraitants qui ont accès aux systèmes d'échange.

Ce cadre à trois piliers exige la participation de l'ensemble du secteur

La réussite de cette nouvelle politique repose sur trois piliers qui, combinés, constituent un système de défense à plusieurs niveaux : l’entraide, l’assistance mutuelle et l’aide publique. Ces piliers aborderont différents aspects tout en œuvrant de concert pour renforcer la sécurité du secteur.

Le pilier « autonomie » responsabilise au premier chef chaque plateforme d’échange quant à la sécurité de ses opérations. Il entrera en vigueur au cours de l’exercice fiscal 2026 (1er avril) et obligera toutes les plateformes d’échange de cryptomonnaies enregistrées à réaliser les évaluations obligatoires mentionnées précédemment.

Le pilier « entraide » s’appuie sur l’intelligence collective grâce à la collaboration sectorielle. La FSA contribuera à renforcer les fonctions du comité de sécurité de la Japan Virtual and Crypto Assets Exchange Association (JVCEA), tout en encourageant les plateformes d’échange à participer activement au partage d’informations afin d’améliorer la communication des menaces, des modes opératoires et des stratégies de défense au sein du secteur. 

Ainsi, si une plateforme d'échangedentune nouvelle stratégie d'ingénierie sociale ou une autre vulnérabilité, ces renseignements seront mis à la disposition des autres opérateurs pour les protéger avant qu'ils ne rencontrent un problème similaire.

Enfin, le pilier « aide publique » verra la FSA poursuivre la recherche conjointe internationale sur la blockchain concernant les menaces émergentes qu’elle a entamée au cours de l’exercice 2025, ainsi qu’impliquer l’ensemble du secteur des échanges de cryptomonnaies dans le « Delta Wall », un exercice conjoint de cybersécurité pour les organisations financières, dans les trois ans suivant l’adoption de la politique. 

Quelles sont les prochaines étapes pour les bourses opérant au Japon ?

Au cours de l'exercice financier 2026, la FSA prévoit de mener de véritables tests d'intrusion sur des opérateurs spécifiques et pourrait engager des hackers éthiques pour tenter des intrusions dans des systèmes d'échange en production. 

Ces attaques autorisées permettront d'dentles vulnérabilités avant que des pirates malveillants ne puissent les exploiter. Les résultats seront partagésdentafin d'aider les plateformes d'échange concernées à corriger leurs failles. Cela contribuera à fournir une mesure objective de la surveillance, qui aurait pu être négligée lors des auto-évaluations.

La structure à trois piliers instaure une responsabilisation à tous les niveaux : les bourses assument la responsabilité première de leur propre sécurité (auto-assistance), l’industrie partage des renseignements collectifs et rehausse les normes (entraide), et le gouvernement assure la surveillance, les tests et le soutien (aide publique). 

La FSA estime que cela annoncera un écosystèmetronfort et plus adaptable, capable de se défendre contre les menaces actuelles et futures.