À chaque conférence compliance, la démo blockchain fascine : un audit trail immuable, horodaté cryptographiquement, non-répudiable. La promesse est techniquement réelle. Pourtant, en 2026, seuls 4 % des équipes GRC européennes ont déployé de la blockchain en production pour des usages de conformité (Gartner, 2025). Les 96 % restants ont soit abandonné leur pilote, soit ne sont jamais passés à l'échelle. Ce qu'ils ont appris mérite d'être dit.
Ce que l'audit trail exige — et pourquoi la blockchain semble parfaite
L'audit trail est la fondation de toute conformité NIS2, DORA et ISO 27001. Un régulateur ANSSI ou une BCE ne veulent pas votre bonne volonté : ils veulent des preuves d'actions passées, horodatées, inaltérables, produites par qui et quand. La blockchain promet exactement cela : immuabilité par consensus distribué, horodatage cryptographique, chaîne de preuves que nul ne peut modifier après coup.
Le problème n'est pas la technologie en elle-même. Il est son adéquation aux contraintes réelles d'un SI d'entreprise européen opérant sous contrainte réglementaire. Voici cinq cas d'usage où l'écart entre la promesse et la réalité opérationnelle est le plus net.
Cas 1 : Les logs systèmes en temps réel
Ce qu'on vend : "Vos logs SIEM sont immuables sur la blockchain — preuve infalsifiable en cas d'incident."
Le problème : Les logs proviennent de votre SI. Si le système est compromis avant l'écriture blockchain, vous avez immortalisé des données falsifiées. L'immuabilité ne garantit pas l'intégrité de la source — elle garantit que ce qui a été écrit ne sera pas modifié après. Dans un scénario d'attaque sophistiquée, c'est exactement la mauvaise garantie.
À cela s'ajoute la latence : même Hyperledger Fabric, la blockchain privée de référence en enterprise, induit 300 ms à 1 s par transaction. Dans un environnement générant des dizaines de milliers d'événements par seconde, vous créerez des gaps ou devrez batcher — perdant une partie de la granularité que vous cherchiez à préserver.
Ce qui fonctionne : Stockage append-only avec S3 Object Lock (mode WORM), combiné à une autorité d'horodatage RFC 3161. Même immuabilité, latence négligeable, coût opérationnel divisé par 10, lisible par vos auditeurs sans infrastructure spécialisée.
Cas 2 : Traçabilité des consentements RGPD
Ce qu'on vend : "Preuve de consentement immuable, inattaquable en cas de contrôle CNIL."
Le problème : L'article 17 du RGPD consacre le droit à l'effacement. Une blockchain publique rend toute suppression impossible — ce qui crée une contradiction juridique directe avec le règlement que vous cherchez à respecter. Une blockchain privée (Hyperledger, Quorum) contourne techniquement le problème, mais alors la "décentralisation" est centralisée chez vous : c'est une base de données avec des étapes supplémentaires.
La CNIL le confirme dans sa guidance de 2023 : les systèmes de consentement basés sur blockchain nécessitent une AIPD spécifique incluant un mécanisme d'effacement — ce qui annule précisément l'avantage d'immuabilité. Deux ans de travail juridique pour revenir à la case départ.
Ce qui fonctionne : Base SQL avec chaîne de hachage interne (chaque entrée hache l'entrée précédente) et autorité d'horodatage externe. Valeur légale équivalente, effacement natif, AIPD standard.
Cas 3 : Gestion des accès privilégiés sous DORA
Ce qu'on vend : "Contrôle d'accès décentralisé, traçabilité maximale des actions sur les systèmes critiques."
Le problème : DORA impose aux entités financières des exigences de résilience opérationnelle qui impliquent des décisions d'accès en temps quasi réel. La latence d'Hyperledger Fabric en production — 200 à 500 ms pour une transaction confirmée — est incompatible avec les SLA d'un système IAM en production. Pour un établissement bancaire, sub-100 ms est une nécessité, pas une préférence.
Les audits DORA ne demandent pas de preuve d'accès sur blockchain. Ils demandent un registre des accès privilégiés, horodaté, lisible, avec séparation des droits vérifiable. C'est un problème de PAM, pas de registre distribué.
Ce qui fonctionne : Solution PAM (CyberArk, BeyondTrust, Delinea) avec enregistrement des sessions, signature des logs, et rétention immutable dans un SIEM dédié. Déployable en semaines, auditable par l'ACPR sans interpréteur blockchain.
Cas 4 : Partage de preuves d'audit inter-organisationnel
C'est le cas d'usage le plus convaincant sur le papier : partager des preuves d'audit avec vos fournisseurs, sous-traitants ou régulateurs via une blockchain de consortium. NIS2 impose explicitement la gestion de la sécurité des tiers — un registre partagé semblerait élégant.
Le problème : Déployer une blockchain de consortium requiert que toutes les parties adoptent le même protocole, financent les nœuds, maintiennent leurs clés cryptographiques, s'accordent sur la gouvernance. En pratique, vous négociez 18 mois de gouvernance inter-entreprises avant d'écrire la première transaction. Entre-temps, vos tiers ont changé, vos exigences ont évolué, et un framework réglementaire secondaire est apparu.
Les consortiums blockchain d'entreprise qui ont survécu (TradeLens de Maersk, We.Trade) ont pour la plupart été abandonnés entre 2022 et 2024 — précisément pour ces raisons de complexité de gouvernance.
Ce qui fonctionne : API sécurisée avec signatures numériques mutuelles + accords contractuels SLA. Valeur probatoire équivalente en droit français et européen, déployable en semaines, évolutif sans consensus de consortium.
Cas 5 : Reporting réglementaire automatique
Ce qu'on vend : "Vos rapports NIS2 et DORA sont générés automatiquement et infalsifiables — preuve inattaquable devant toute autorité."
Le problème : L'ANSSI, l'ACPR et la BCE acceptent des exports PDF, des fichiers structurés et des rapports signés électroniquement. Ils ne disposent d'aucune infrastructure pour lire des transactions blockchain. Votre rapport "immuable" devra de toute façon être re-exporté dans un format conventionnel — perdant l'essentiel de l'avantage promis, tout en ajoutant une couche de complexité que votre équipe devra maintenir.
Les régulateurs européens ont été clairs sur ce point dans les guidelines DORA publiées en 2024 : la preuve d'audit doit être lisible, reproductible et produite dans des formats standards. L'innovation technologique n'est pas un critère d'évaluation de la conformité.
Ce qui fonctionne : Workflow GRC avec signature électronique qualifiée au sens eIDAS — pleine valeur juridique en droit européen, acceptée sans réserve par tous les régulateurs EU, déployable dans tout outil GRC moderne.
La question à se poser avant tout projet blockchain GRC
La blockchain n'est pas inutile. Elle excelle précisément là où aucune autorité centrale de confiance ne peut exister — cryptomonnaies publiques, règlements interbancaires transfrontaliers sans chambre de compensation commune. Dans ces contextes, le consensus distribué résout un problème réel.
Dans la majorité des architectures GRC d'une entreprise européenne, cette condition n'est pas remplie. Vous êtes l'autorité centrale. Votre RSSI, votre DPO, votre DSI sont des parties identifiées. Des solutions plus simples, moins coûteuses, déjà auditées — stockage WORM, horodatage RFC 3161, signature eIDAS, PAM certifié — remplissent l'objectif réglementaire à une fraction du coût et de la complexité.
La question à poser avant tout projet : Quel problème cela résout-il que ne pourrait pas résoudre une base de données signée et horodatée ? Si la réponse n'est pas immédiatement claire, vous avez votre décision. Presidio intègre ces mécanismes de traçabilité conformes NIS2/DORA nativement — voir aussi notre analyse du paradoxe DORA et la cartographie des risques fournisseurs sous NIS2. Pour un diagnostic de votre architecture d'audit trail actuelle : 30 minutes suffisent.
Conclusion
Trois insights à retenir. L'immuabilité n'est pas l'intégrité : si votre source de données est compromise avant l'écriture, la blockchain immortalise une falsification. La décentralisation est un mauvais fit pour les SI d'entreprise centralisés par nature — une blockchain privée est une base de données avec des étapes supplémentaires. Des alternatives simples couvrent 95 % des besoins réglementaires EU : WORM storage, RFC 3161, eIDAS, PAM certifié.
Les organisations qui arrivent aux contrôles NIS2 et DORA avec des architectures d'audit trail solides ne sont pas celles qui ont investi dans les technologies les plus impressionnantes. Ce sont celles qui ont choisi les bonnes technologies pour le bon problème.