Skip to content
Blockchain Posts

regulation

L'AMF demande aux PSCA de durcir leur cyber-résilience face à l'IA offensive

Communiqué AMF du 3 juin 2026 : enquête directe à partir de juillet sur les mesures prises par les PSCA, les SGP et les IFP face aux menaces cyber assistées par IA. Webinaire le 1ᵉʳ juillet.

par 5 min de lecture
regulationamffrancepscamica

L'Autorité des marchés financiers a publié le 3 juin 2026 un communiqué appelant l'ensemble des entités régulées — y compris les Prestataires de Services sur Crypto-Actifs (PSCA) agréés sous MiCA — à renforcer leurs dispositifs de cybersécurité face à des menaces désormais industrialisées par des modèles d'intelligence artificielle. Le régulateur français annonce qu'à partir de juillet 2026, il interrogera directement les sociétés de gestion de portefeuille (SGP), les intermédiaires en financement participatif (IFP) et les PSCA sur les mesures prises, avec une publication des résultats à l'automne. Communiqué officiel : Cyber resilience: the AMF calls on financial market participants to strengthen their cybersecurity arrangements.

Ce que dit l'AMF

Le régulateur pointe les avancées récentes des modèles d'IA — qu'ils soient spécialisés ou utilisables à des fins de cybersécurité ou de cyberattaque — comme susceptibles "d'accélérer l'identification des vulnérabilités, de faciliter leur exploitation et, plus généralement, de contribuer à l'industrialisation des campagnes malveillantes."

Sur cette base, le communiqué appelle les entités régulées à :

  • Intégrer des scénarios IA dans les exercices de crise existants.
  • Renforcer les dispositifs cryptographiques, signal d'alerte sur la robustesse des protections en place.
  • Documenter les mesures prises, en vue de l'enquête à venir.

Le rappel s'inscrit dans la continuité du rapport AMF de février 2026, L'usage de l'IA par les acteurs des marchés financiers en France.

Mécanisme — la jonction MiCA × DORA

La portée du communiqué pour les acteurs crypto tient au croisement de deux régimes :

  • MiCA (règlement (UE) 2023/1114), pleinement applicable depuis le 30 décembre 2024, donne à l'AMF (sur avis conforme de l'ACPR) le pouvoir d'agrément des PSCA et la surveillance prudentielle continue. La période transitoire pour les anciens PSAN se referme le 30 juin 2026.
  • DORA (règlement (UE) 2022/2554) — Digital Operational Resilience Act — est applicable depuis le 17 janvier 2025 et impose aux entités financières, PSCA inclus, l'identification des systèmes critiques, le test régulier de leur résilience, la déclaration d'incidents TIC majeurs aux autorités compétentes dans des délais courts, et la gestion contractuelle stricte du risque tiers (cloud, fournisseurs SaaS).

Le communiqué du 3 juin n'introduit pas de nouvelle norme : il signale que la surveillance va se traduire par une enquête active et un cycle de publication. C'est l'étape qui précède, dans le cycle de supervision AMF, l'émission de recommandations contraignantes ou de positions normatives.

Calendrier annoncé

- 3 juin 2026 — communiqué AMF "Cyber resilience"
- 1er juillet 2026 — webinaire pédagogique AMF à destination des entités régulées
- Juillet 2026 — enquête directe AMF auprès des SGP, IFP et PSCA
                 (questionnaire sur les mesures prises face aux risques IA)
- Automne 2026 — publication des résultats agrégés de l'enquête
Source : communiqué AMF du 3 juin 2026

Le questionnaire détaillé n'est pas encore public — l'AMF communique pour l'instant uniquement sur le périmètre (mesures prises face aux risques liés à l'IA) et sur les destinataires (SGP, IFP, PSCA).

Impact pour les PSCA français

  • Coût de mise en conformité. Les premiers PSCA agréés sous MiCA en France (Société Générale-FORGE, Coinhouse, Bitpanda France, Qwarks, Circle pour USDC/EURC via l'ACPR) avaient déjà bouclé leur dossier DORA. L'enquête AMF de juillet déplace la barre vers la documentation des contrôles spécifiques IA, qui n'étaient pas explicitement requis par DORA en 2025.
  • Risque de sanctions. L'AMF n'a pas annoncé de sanction directement liée au communiqué du 3 juin. En revanche, un PSCA qui ne pourrait pas documenter ses contrôles dans l'enquête de juillet entrera dans le viseur des contrôles sur place 2026-2027, où la non-conformité DORA peut déclencher des injonctions de mise en conformité et, en cascade, des sanctions financières.
  • Acteurs hors France. Les CASP agréés dans un autre État membre et opérant en France via le passeport européen ne sont pas formellement dans le périmètre de l'enquête AMF, mais le communiqué fait référence à la coordination ESMA — un alignement multi-NCA n'est pas écarté.

À surveiller

  1. Le questionnaire AMF. Sa publication début juillet déterminera le périmètre opérationnel exact que les PSCA devront documenter. C'est l'artefact à lire en priorité.
  2. Les résultats agrégés à l'automne. Ils donneront une première lecture publique du niveau de maturité cyber des PSCA français — donnée jusqu'ici opaque, contrairement aux SGP qui font l'objet d'enquêtes thématiques régulières.
  3. Convergence avec l'ANSSI. L'ANSSI publie ses propres recommandations sur les risques IA. Une publication conjointe AMF-ANSSI sur les obligations cyber des PSCA serait l'évolution naturelle de la séquence.
  4. Alignement européen. Les trois autorités de supervision européennes (EBA, EIOPA, ESMA) coordonnent la doctrine DORA via le Joint Committee. Un texte commun sur la résilience cyber et les risques IA serait l'écho européen du communiqué français.

Contexte — l'IA offensive comme nouvel angle de supervision

Le mois de mai 2026 a vu un précédent marquant : la faille critique du circuit Orchard de Zcash a été identifiée par un auditeur indépendant utilisant un framework d'audit assisté par IA — première découverte publiquement reconnue d'un bug critique de consensus sur une chaîne majeure attribuable à un agent automatisé. Le communiqué AMF traite l'autre côté du même phénomène : si l'IA accélère la découverte de vulnérabilités, elle l'accélère pour les défenseurs comme pour les attaquants.

Le régime mis en place par MiCA pour les PSCA français passe de la phase d'agrément à la phase de supervision continue. Pour les acteurs déjà agréés, l'enquête AMF de juillet est le premier signal opérationnel de ce que sera cette supervision : pas seulement une revue annuelle des fonds propres et du KYC, mais une exigence documentée de résilience cyber alignée sur DORA et sur les menaces IA.

Sources :

  • AMF — Cyber resilience: the AMF calls on financial market participants to strengthen their cybersecurity arrangements in response to rapidly evolving threats associated with artificial intelligence (3 juin 2026, source primaire).
  • Cryptoast — Cyberattaques : l'AMF alerte les PSAN face à la menace de l'IA (3 juin 2026).
  • AMF — Rapport L'usage de l'IA par les acteurs des marchés financiers en France (février 2026).

Articles liés