La conformité crypto s’est nettement durcie en 2026, mais le secteur garde une faiblesse majeure : la surveillance des risques indirects. Selon Chainalysis, près de 47 % des organisations arrivées cette année utilisent déjà des standards d’alerte qui les auraient placées parmi les 10 % les plus strictes du marché en 2020. Le progrès est réel. Il ne ferme pourtant pas toutes les portes aux criminels.
La crypto entre dans une phase plus professionnelle
La pression réglementaire n’est plus théorique. Les sanctions visant le blanchiment crypto lié au fentanyl et au cartel de Sinaloa montrent que les autorités suivent désormais les convertisseurs, les wallets et les plateformes avec beaucoup plus d’attention. Dans ce contexte, les entreprises crypto ne peuvent plus traiter la conformité comme un simple service administratif.
Le secteur crypto n’a plus grand-chose à voir avec celui de 2020. À l’époque, beaucoup d’entreprises construisaient encore leurs politiques de conformité à mesure que les régulateurs découvraient le marché. Les seuils d’alerte étaient souvent élevés. Les catégories de risque étaient moins fines. Les équipes conformité manquaient parfois d’outils adaptés à la blockchain.
En 2026, le décor change. Les nouvelles entreprises crypto arrivent avec des configurations plus strictes dès leur lancement. Elles surveillent mieux les transactions, définissent des niveaux de gravité plus précis et abaissent certains seuils de détection. Ce qui passait pour une pratique exemplaire il y a cinq ans devient presque une base normale, selon l’aperçu publié par Chainalysis.
Cette évolution montre une maturation forcée, mais nécessaire. Les régulateurs exigent plus. Les institutions financières traditionnelles veulent des garanties. Et les plateformes savent qu’un mauvais contrôle peut coûter cher, en argent comme en réputation.
Le risque direct est mieux maîtrisé
Chainalysis observe une amélioration claire dans la surveillance directe. Il s’agit des cas où des fonds proviennent immédiatement d’une source illicite connue. Par exemple, une adresse liée à un ransomware, à une arnaque, à un marché du darknet ou à une entité sanctionnée.
Sur ce terrain, les entreprises crypto ont beaucoup progressé. Elles identifient plus vite les fonds suspects. Elles déclenchent davantage d’alertes. Elles documentent mieux leurs décisions. Cette discipline rapproche le secteur des standards attendus par les banques, les autorités et les grands partenaires institutionnels.
Ce progrès est logique. La blockchain donne une visibilité unique sur les flux. Contrairement à certaines transactions bancaires opaques, les mouvements on-chain peuvent être suivis, analysés et reliés à des clusters d’adresses. Encore faut-il que les entreprises utilisent correctement ces données.
L’affaire NexFundAI, le faux token du FBI qui a piégé des manipulateurs de marché, rappelle d’ailleurs que les données on-chain peuvent devenir un outil d’enquête puissant lorsque les autorités savent les exploiter. Mais cela ne règle pas tout.
L’exposition indirecte reste le point faible
Le vrai problème se trouve ailleurs. L’exposition indirecte concerne les fonds qui ne viennent pas directement d’une source illicite, mais qui ont transité par plusieurs adresses intermédiaires. C’est souvent là que les acteurs malveillants tentent de brouiller les pistes.
Selon Chainalysis, les seuils d’alerte restent beaucoup plus élevés pour ce type de risque. Dans certaines catégories comme les ransomwares, les arnaques, les boutiques frauduleuses ou les marchés du darknet, les seuils indirects peuvent être 10 à 20 fois supérieurs aux seuils directs. Cela crée un espace exploitable.
Cette différence peut sembler technique. Elle est pourtant centrale. Un criminel n’envoie pas toujours les fonds volés directement vers une plateforme. Il peut les faire passer par des wallets intermédiaires, des bridges, des mixers ou des services moins surveillés. Si l’entreprise ne regarde que le premier contact visible, elle risque de manquer l’histoire complète de l’argent.
La pression criminelle oblige le secteur à aller plus loin
Les lacunes de conformité ne sont pas abstraites. Les attaques liées à la Corée du Nord ont encore montré en 2025 que les criminels visent les faiblesses opérationnelles, pas seulement les failles techniques. Chainalysis indique que les pirates nord-coréens ont volé au moins 2,02 milliards de dollars en crypto en 2025, ce qui explique la pression accrue sur les contrôles.
La conformité devient donc un élément de sécurité, pas seulement une obligation réglementaire. Elle sert à détecter les fonds suspects, à protéger les utilisateurs, à éviter les sanctions et à rassurer les partenaires bancaires. Dans un marché qui cherche à attirer les institutions, ce n’est plus un détail administratif.
Les attaques récentes contre les développeurs montrent aussi que le risque commence parfois avant même l’arrivée des fonds sur une plateforme. TrapDoor visait les wallets, les tokens GitHub et les accès cloud, tandis que les fausses publicités Uniswap sur Google vidaient les wallets en exploitant la confiance des utilisateurs. Une bonne conformité doit donc dialoguer avec la cybersécurité, pas vivre à côté d’elle.
Le prochain cap sera l’alignement entre surveillance directe et indirecte. Les entreprises qui combleront cet écart gagneront un avantage. Elles seront mieux préparées face aux régulateurs. Elles seront aussi plus crédibles auprès des banques, des fonds et des utilisateurs sérieux.
La crypto a progressé. Mais dans ce secteur, les criminels testent toujours la serrure la moins solide. En 2026, cette serrure n’est plus forcément le risque direct. Elle se cache souvent dans les détours.
En bref
- La conformité crypto s’est fortement améliorée depuis 2020.
- Les risques directs sont mieux surveillés, mais les flux indirects restent trop peu contrôlés.
- Les entreprises qui renforcent cette zone deviendront des contreparties plus fiables.
