La Commission des valeurs mobilières et des futures de Hong Kong a publié une circulaire exigeant que les plateformes de trading d’actifs virtuels et les courtiers en ligne remplacent l’authentification par mot de passe à usage unique par des méthodes de sécurité plus robustes. Le régulateur a indiqué que les attaques de phishing et de spoofing, représentant 57 % de tous les incidents de sécurité signalés au Centre d’intervention en cybersécurité de Hong Kong en 2025, ont motivé cette obligation. Les entreprises doivent adopter des alternatives plus fortes telles que les clés de passage et l’authentification par appareil lié dans un délai de 12 mois, les grands courtiers en ligne devant mettre en œuvre ces mesures immédiatement. La circulaire marque une intensification de la surveillance réglementaire dans le secteur des actifs numériques à Hong Kong, où les méthodes d’authentification traditionnelles sont désormais jugées insuffisantes face à des cybermenaces sophistiquées.
La SFC impose la suppression progressive des OTP pour la connexion client et la liaison d’appareil. Les entités concernées doivent se conformer dans les 12 mois suivant la publication de la circulaire, tandis que les grands courtiers en ligne doivent appliquer ces mesures sans délai. Le régulateur décrit les clés de passage et l’authentification par appareil lié comme offrant une vérification plus résistante et résistante à la fraude comparée aux OTP.
La SFC impose une sécurité renforcée et une responsabilité accrue en gestion
La circulaire détaille les obligations en matière de détection, de réponse et d’éducation des clients. Les plateformes de trading d’actifs virtuels et les courtiers doivent mettre en place des systèmes de surveillance capables d’identifier les activités suspectes de connexion, de trading et de retrait. Les entreprises doivent informer rapidement les clients en cas d’événements importants sur leur compte et répondre rapidement en cas de piratage. Des avertissements continus aux clients concernant les cybermenaces émergentes et les escroqueries par impersonation sont attendus.
La SFC a déclaré que la haute direction de ces entreprises porte la responsabilité ultime de la suffisance des contrôles de protection des comptes. Les institutions dont les mesures internes sont jugées insuffisantes seront tenues responsables des pertes subies par les clients.
Calendrier réglementaire : de la surveillance à l’obligation
La SFC surveillait les risques liés aux OTP depuis la fin 2024. Dans une circulaire de février 2025, le régulateur avait fortement encouragé les sociétés agréées à abandonner les OTP. La circulaire actuelle transforme cette recommandation en une échéance réglementaire ferme, faisant de cette obligation une exigence contraignante plutôt qu’une simple recommandation volontaire.
FAQ
Que demandait la SFC de Hong Kong aux plateformes crypto ?
La Commission des valeurs mobilières et des futures de Hong Kong a publié une circulaire exigeant que les plateformes de trading d’actifs virtuels et les courtiers en ligne remplacent l’authentification par mot de passe à usage unique par des méthodes de sécurité plus robustes telles que les clés de passage et l’authentification par appareil lié.
Pourquoi la SFC a-t-elle interdit les OTP pour les plateformes crypto ?
Le régulateur a cité que les attaques de phishing et de spoofing, représentant 57 % de tous les incidents de sécurité signalés au Centre d’intervention en cybersécurité de Hong Kong en 2025, rendent l’authentification OTP insuffisante face à des attaques modernes sophistiquées.
Quelle est la date limite pour que les plateformes crypto se conforment aux nouvelles exigences d’authentification ?
Les entités concernées doivent se conformer dans les 12 mois suivant la publication de la circulaire, tandis que les grands courtiers en ligne doivent appliquer ces mesures sans délai.