Avertissement : cet article a une visée informative et technique. Il ne constitue ni un conseil en investissement, ni un conseil juridique, comptable ou fiscal individualisé. Le choix d’une solution de garde engage la sécurité des actifs d’une entreprise : avant tout déploiement, consultez un conseil juridique spécialisé, un expert-comptable et, le cas échéant, un cabinet d’audit de sécurité. Les références techniques renvoient à des documents publics observés sur la période 2024-2026 et restent susceptibles d’évoluer.
La custody MPC remplace la clé privée unique par un secret mathématiquement découpé entre plusieurs parties qui ne se réunissent jamais : aucune machine, aucune personne ne détient seule de quoi signer une transaction. Fireblocks a fait de ce principe le standard de la garde institutionnelle, en sécurisant selon ses communications publiques plus de 10 000 milliards de dollars de transactions cumulées depuis 2019. Ce dossier explique comment fonctionne réellement cette technologie, en quoi elle diffère du multisig, et ce qu’elle implique pour une entreprise française en 2026.
Custody MPC : comment une clé privée disparaît sans cesser d’exister
Le calcul multipartite, ou MPC pour multi-party computation, est une branche de la cryptographie qui permet à plusieurs parties de calculer ensemble le résultat d’une fonction sans qu’aucune ne révèle ses données d’entrée aux autres. Appliqué à la garde de crypto-actifs, ce principe résout un problème vieux comme Bitcoin : la clé privée est un secret unique dont la fuite signifie la perte totale des fonds, et dont la perte signifie la même chose. Tant qu’il existe un endroit où la clé entière se trouve, ne serait-ce qu’une fraction de seconde, il existe une cible.
Le MPC supprime cet endroit. La clé privée logique d’une adresse est générée de manière distribuée, puis stockée sous forme de parts indépendantes, les key shares, réparties entre plusieurs participants. Au moment de signer une transaction, ces participants exécutent un protocole interactif qui produit une signature valide sans jamais reconstituer la clé complète. La clé entière n’existe à aucun instant, ni au repos, ni en mémoire, ni pendant la signature. Cette propriété, formalisée par la cryptographie à seuil que le National Institute of Standards and Technology documente dans son rapport de référence NIST IR 8214A, constitue la maturité technique qui a rassuré les comités de risque institutionnels.
La conséquence opérationnelle est notable. Pour un observateur extérieur, une adresse gérée en MPC est indiscernable d’un wallet classique : il s’agit d’une adresse ordinaire, sans contrat intelligent associé, sans signature particulière visible sur la blockchain. Le découpage de la clé est purement interne au signataire. Cette invisibilité on-chain a deux corollaires directs : une confidentialité supérieure, car personne ne peut deviner qu’une adresse est protégée par une gouvernance multipartite, et une compatibilité universelle, car le modèle fonctionne sur toute chaîne qui supporte les signatures cryptographiques standard, y compris Bitcoin où le multisig natif reste contraint. Le panorama de cette distinction est bien résumé par la fiche pédagogique de Gemini sur multisig et MPC.
Fireblocks : la plateforme qui a industrialisé le MPC institutionnel
Fondée en 2018, Fireblocks s’est imposée comme la principale infrastructure de garde MPC pour les acteurs institutionnels. Sa proposition de valeur ne se limite pas à l’algorithme de signature : elle assemble trois briques qui, ensemble, font la différence pour une organisation régulée.
La première brique est le moteur de signature MPC lui-même, hébergé dans des enclaves matérielles sécurisées de type secure enclave qui isolent le calcul des parts de clé du reste du système d’exploitation. La deuxième est le moteur de politique de transaction, qui permet de définir des règles granulaires : qui peut initier un transfert, vers quelles adresses, jusqu’à quel montant, avec quelle chaîne d’approbation, à quelles heures. Une transaction qui sort du cadre est automatiquement bloquée ou mise en attente de validation. La troisième est le réseau de contreparties, un répertoire d’adresses vérifiées entre institutions membres qui réduit le risque d’erreur de saisie et de fraude au virement, première cause de perte opérationnelle dans la garde d’actifs.
L’échelle atteinte par la plateforme explique son statut de référence. Fireblocks revendique dans ses communications publiques plus de 10 000 milliards de dollars de transactions cumulées sécurisées depuis 2019, pour plusieurs milliers de clients institutionnels : exchanges, banques, fintechs, fonds et trésoreries d’entreprise. L’intégration se fait par interface graphique pour les opérations courantes et par API pour l’automatisation, dont la documentation publique est accessible sur le portail développeurs Fireblocks. Cette double surface, humaine et programmatique, est précisément ce qui distingue une infrastructure institutionnelle d’un simple wallet sécurisé.
MPC contre multisig : deux philosophies de la garde partagée
La question revient systématiquement dans les comités de sélection : faut-il un MPC à la Fireblocks ou un multisig à la Safe. Les deux suppriment le point unique de compromission, mais leur logique profonde diffère, et le bon choix dépend du contexte.
Le multisig opère au niveau de la blockchain. C’est un contrat intelligent qui reçoit plusieurs signatures complètes et indépendantes, et n’agit que lorsque le quorum est atteint. Sa force est la transparence : le code du contrat est public et auditable, la règle de quorum est inscrite on-chain, et le modèle ne dépend d’aucun éditeur unique. Sa limite est double : il expose une surface de contrat intelligent susceptible de bug, et il consomme davantage de frais de gaz puisque chaque signature est une opération on-chain. Le multisig est également contraint par ce que chaque chaîne supporte nativement. Notre tutoriel multisig Safe Gnosis détaille cette architecture de bout en bout.
Le MPC opère au niveau de la cryptographie, en amont de la blockchain. Il ne déploie aucun contrat, ne paie aucun surcoût de gaz lié au quorum, et reste universel d’une chaîne à l’autre. Sa force est l’efficacité et la confidentialité. Sa limite est la confiance accordée à l’implémentation propriétaire de l’éditeur : le protocole de signature à seuil n’est pas un standard ouvert universellement audité comme l’est un contrat Safe, et la qualité du code devient un facteur de risque à part entière. Le tableau de décision se résume ainsi : pour une trésorerie qui privilégie la souveraineté et l’auditabilité ouverte, le multisig conserve un avantage ; pour une institution multi-chaînes qui exige une gouvernance fine, une confidentialité forte et une montée en charge élevée, le MPC s’impose souvent. Notre comparatif des modèles hot et cold wallets replace ces deux options dans la hiérarchie globale de la garde.
Il existe enfin des architectures hybrides, où un coffre froid multisig détient la réserve longue et où une couche MPC opérationnelle gère les flux quotidiens. Cette combinaison cumule l’auditabilité du froid et la fluidité du chaud, au prix d’une complexité de gouvernance accrue.
Gouvernance des transactions : la vraie valeur ajoutée institutionnelle
La technologie de signature n’est que la moitié de l’histoire. Pour une institution, la garde se juge surtout à la qualité de la gouvernance qu’elle permet d’imposer sur chaque mouvement de fonds. C’est ici que Fireblocks dépasse la simple sécurisation de clé.
Le moteur de politique permet de matérialiser, dans le logiciel, l’organigramme de pouvoirs de l’entreprise. Concrètement, une règle peut imposer qu’un transfert inférieur à un seuil opérationnel ne requière qu’une approbation, tandis qu’un transfert supérieur déclenche une chaîne de validation à plusieurs niveaux incluant un dirigeant. Une autre règle peut restreindre les destinations aux seules adresses préalablement validées par la conformité, ce qui neutralise la fraude au changement d’adresse. Une troisième peut interdire toute sortie en dehors des heures ouvrées sans double validation. Cette séparation des fonctions entre celui qui propose, celui qui contrôle et celui qui approuve est exactement ce qu’attendent un commissaire aux comptes et un superviseur.
Cette gouvernance produit en outre une piste d’audit complète. Chaque proposition, chaque approbation, chaque rejet et chaque exécution est horodaté et conservé, ce qui fournit la matière première d’un contrôle interne et d’un audit externe. Sur le plan comptable, les actifs gardés via Fireblocks figurent au bilan de la société propriétaire, et la documentation de gouvernance complète les relevés on-chain pour justifier la classification et l’évaluation. Notre dossier comptabilité crypto entreprise détaille la mécanique d’évaluation à la clôture et la constatation des plus-values latentes.
La gouvernance des contreparties répond enfin à une exigence de conformité financière. Les flux entrants et sortants doivent être traçables et les contreparties documentées selon une matrice de risque, en cohérence avec les obligations de lutte contre le blanchiment. Notre dossier KYC et AML pour les entreprises crypto précise les briques opérationnelles de ce dispositif.
Sécurité réelle : ce que le MPC protège et ce qu’il ne protège pas
Aucune technologie de garde n’est une assurance absolue. Comprendre ce que le MPC protège et ce qu’il laisse exposé est la condition d’un déploiement honnête.
Le MPC neutralise efficacement la compromission d’un seul élément. Le vol d’une part de clé, la prise de contrôle d’une seule machine, l’exfiltration d’un seul appareil ne suffisent pas à signer : il faut compromettre simultanément un nombre de parties supérieur au seuil, ce qui élève brutalement le coût d’une attaque. Cette propriété explique pourquoi le modèle a séduit des acteurs qui manipulent des montants considérables, dans un secteur où le vol reste une réalité chiffrée chaque année par les analyses de Chainalysis sur la criminalité crypto.
Le MPC ne protège en revanche pas contre plusieurs catégories de risque qu’il faut traiter par ailleurs. Il ne protège pas contre une politique de transaction mal conçue : une règle trop permissive autorise un transfert frauduleux signé en toute conformité technique. Il ne protège pas contre la collusion interne au-delà du seuil : si suffisamment de détenteurs de parts s’entendent, ils peuvent signer. Il ne protège pas contre une erreur de destination validée par négligence. Et il ne protège pas contre une défaillance du plan de récupération : si l’entreprise n’a pas sauvegardé et testé ses parts de secours, la dépendance au fournisseur redevient un point unique de défaillance déguisé. La discipline de récupération, testée au moins une fois par an en conditions réelles, est aussi importante que la cryptographie elle-même. Pour les implémentations qui s’appuient sur des contrats annexes ou des intégrations on-chain, la grille de lecture de notre dossier audit de contrats intelligents reste un préalable.
Les alternatives à Fireblocks ne manquent pas et méritent une mise en concurrence. BitGo propose une offre de garde qualifiée régulée, d’autres acteurs combinent MPC et statut de dépositaire agréé. Le choix dépend du besoin de statut réglementé, de la couverture assurantielle et de la souveraineté souhaitée sur les clés.
Cadre français et européen : PSCA, MiCA et Travel Rule en 2026
La dimension réglementaire conditionne le déploiement autant que la technique. En 2026, le règlement européen sur les crypto-actifs structure l’ensemble du paysage.
Le principe directeur est simple. Une entreprise qui utilise Fireblocks pour garder uniquement sa propre trésorerie, sans rendre de service à des tiers, n’entre pas dans le champ du statut réglementé : la garde pour compte propre n’est pas un service de crypto-actifs. La situation bascule dès lors que l’entreprise conserve des actifs pour le compte de clients, exécute des ordres pour eux ou opère une plateforme. Elle doit alors obtenir l’agrément de prestataire de services sur crypto-actifs, le statut PSCA prévu par le règlement MiCA 2023/1114, délivré et supervisé en France par l’Autorité des marchés financiers. Notre guide PSAN AMF et liste blanche des exchanges détaille les seuils déclencheurs et la transition de l’ancien enregistrement PSAN vers le nouveau régime européen.
Un second texte s’impose à toute architecture de garde qui émet ou reçoit des virements crypto : le Travel Rule, codifié par le règlement 2023/1113 applicable depuis le 30 décembre 2024. Il oblige à collecter et transmettre les données d’identité de l’émetteur et du bénéficiaire sur les transferts entre prestataires, sans seuil minimum. Les plateformes de garde institutionnelles intègrent désormais ce protocole nativement, ce qui en fait un critère de sélection à part entière.
Enfin, la classification comptable des actifs gardés relève en France du Plan comptable général adapté aux crypto-actifs et des positions de l’Autorité des normes comptables, sujet déjà couvert par notre dossier trésorerie Bitcoin en entreprise. L’articulation entre technologie de garde, statut réglementaire et traitement comptable forme un triptyque que toute entreprise doit instruire ensemble, et non par silos.
Méthode de sélection : sept critères avant de signer
Choisir une solution de garde MPC ne se résume pas à comparer des fiches commerciales. Sept critères structurent une décision défendable devant un comité de risque.
Premier critère, la répartition des parts de clé : combien le client conserve-t-il, combien l’éditeur détient-il, et cette répartition interdit-elle à quiconque de signer seul. Deuxième critère, le plan de récupération : existe-t-il une procédure documentée pour reconstruire la capacité de signer hors de l’infrastructure du fournisseur, et a-t-elle été testée. Troisième critère, la granularité de la politique de transaction : peut-on reproduire fidèlement l’organigramme de pouvoirs de l’entreprise. Quatrième critère, la piste d’audit : chaque action est-elle horodatée et exportable pour un contrôle. Cinquième critère, le statut réglementaire de l’offre : technologie pure ou dépositaire agréé, et quelle couverture assurantielle. Sixième critère, la couverture des chaînes et des actifs utiles à l’entreprise. Septième critère, l’indépendance vis-à-vis du fournisseur : que se passe-t-il en cas de panne, de faillite ou de changement de conditions.
Une grille de notation appliquée à deux ou trois candidats, complétée par une analyse juridique sur la qualification réglementaire et par un test réel du plan de récupération, transforme un choix d’intuition en décision documentée. C’est cette documentation, plus que la technologie elle-même, qui protège l’entreprise en cas de contrôle ou d’incident.
Questions fréquentes
La custody MPC de Fireblocks remplace-t-elle un hardware wallet pour une PME ?
Pas exactement, car les deux ne visent pas le même besoin. Un hardware wallet protège efficacement les avoirs d’un dirigeant ou d’une petite trésorerie à clé unique sécurisée hors ligne. Une solution MPC comme Fireblocks s’adresse à une organisation qui a besoin de gouvernance multipartite, de politiques de transaction fines, d’une piste d’audit et d’une montée en charge sur de nombreuses chaînes. Pour une PME qui débute, un coffre multisig ou un hardware wallet bien configuré suffit souvent, comme le détaille notre comparatif hardware wallets 2026. Le passage au MPC institutionnel se justifie quand le volume, le nombre d’intervenants et les exigences de conformité dépassent ce que le multisig gère confortablement.
Le MPC est-il compatible avec Bitcoin et toutes les blockchains ?
Oui, et c’est un de ses avantages majeurs sur le multisig. Comme le MPC agit au niveau de la signature cryptographique et non au niveau d’un contrat intelligent, il fonctionne sur toute chaîne qui utilise des schémas de signature standard, Bitcoin compris, là où le multisig dépend de ce que chaque chaîne supporte nativement. Cette universalité explique pourquoi les institutions multi-chaînes privilégient souvent le modèle MPC.
Combien coûte une solution de garde MPC institutionnelle en 2026 ?
Les éditeurs comme Fireblocks ne publient pas de tarif fixe : la facturation dépend du volume de transactions, du nombre d’utilisateurs, des chaînes couvertes et du niveau de support. L’ordre de grandeur reste celui d’un abonnement annuel d’entreprise, généralement réservé aux structures dont les actifs sous garde justifient l’investissement. Pour une trésorerie modeste, le coût d’un multisig open source est nettement inférieur, ce qui renforce la logique de seuil dans le choix entre les deux modèles.
Fireblocks peut-il geler ou bloquer mes fonds ?
Dans la configuration standard où le client conserve la majorité des parts de clé, Fireblocks ne peut pas signer seul une transaction ni transférer les fonds. L’éditeur peut en revanche, comme tout fournisseur de service, suspendre l’accès à son interface en cas de litige contractuel ou d’obligation légale. C’est précisément pour cette raison que le plan de récupération hors infrastructure du fournisseur est indispensable : il garantit que l’entreprise conserve la capacité de récupérer ses actifs même sans l’accès au service.
Le MPC est-il reconnu comme sûr par les autorités et les standards techniques ?
La cryptographie à seuil qui sous-tend le MPC fait l’objet d’une normalisation par le National Institute of Standards and Technology, dont le rapport NIST IR 8214A formalise les schémas de signature à seuil. Cette reconnaissance par un organisme de référence constitue un argument de maturité technique pour les comités de risque, sans pour autant dispenser d’une évaluation de l’implémentation propriétaire de chaque éditeur.