Retour à la liste des articles

Avant la multisig : les bonnes questions de gouvernance à se poser

Publié le 2026-04-09 Écrit par Équipe GLOV

Contexte

La multisig occupe une place importante dans la réflexion sécurité des organisations exposées aux actifs numériques. Pour beaucoup d’équipes, elle représente une étape de maturité : moins de dépendance à une seule personne, plus de contrôle partagé, une meilleure résistance face aux erreurs ou aux incidents.

Mais une multisig ne résout pas, à elle seule, un problème de gouvernance.

C’est souvent là que les difficultés commencent. Une structure met en place un schéma de signatures, répartit quelques clés entre plusieurs personnes, puis considère que le sujet est traité. En réalité, elle a parfois simplement déplacé le risque. Le point de défaillance unique n’a pas disparu : il s’est transformé en flou collectif.

La vraie question n’est donc pas seulement : “Quel seuil de signatures faut-il choisir ?” La vraie question est : “Comment notre organisation décide-t-elle, contrôle-t-elle et réagit-elle quand une décision sensible doit être prise ?”

Pourquoi la gouvernance multisig est souvent mal comprise

La gouvernance multisig est souvent abordée comme un sujet d’outillage. On parle du nombre de signataires, du réseau concerné, du type de wallet, de la répartition géographique ou du niveau de redondance. Ces sujets comptent, bien sûr. Mais ils viennent après.

Avant toute architecture, une organisation sérieuse doit être capable de répondre à des questions plus fondamentales. Qui a le droit de proposer une opération ? Qui la valide ? Dans quels cas faut-il une double revue ? Qui arbitre en cas de désaccord ? Que se passe-t-il lorsqu’un signataire est indisponible ? Et surtout : comment documente-t-on ces règles pour qu’elles survivent aux individus ?

Sans ce travail préalable, la multisig peut donner une impression de rigueur tout en laissant persister des failles de décision. Une architecture de signature ne crée pas automatiquement une discipline de gouvernance.

Une multisig n’est pas une politique interne

Beaucoup d’équipes confondent mécanisme de validation et cadre de décision.

Une multisig permet de répartir un pouvoir d’exécution. Elle ne définit pas, en elle-même, la légitimité d’une opération. Elle ne dit pas si un transfert doit être autorisé, si un changement d’adresse est acceptable, si un retrait exceptionnel est justifié, ou si une action urgente doit contourner le circuit habituel.

Autrement dit, la multisig exécute une gouvernance. Elle ne la remplace pas.

C’est une distinction essentielle pour les founders, les équipes Web3 et les organisations qui commencent à structurer leur custody. Une architecture robuste suppose d’abord des règles explicites, comprises par tous, adaptées à la réalité opérationnelle et suffisamment simples pour être appliquées dans le temps.

Les questions à se poser avant de choisir un schéma de signatures

Avant de parler de 2/3, de 3/5 ou d’une autre combinaison, il faut clarifier le cadre de gouvernance.

Qui décide, et sur quel périmètre ?

Toutes les opérations ne se valent pas. Un mouvement de trésorerie récurrent n’a pas le même niveau de sensibilité qu’un transfert exceptionnel, une réorganisation de wallets, ou une opération liée à une levée de fonds.

Une organisation sérieuse distingue les périmètres de décision. Elle évite de traiter toutes les actions comme si elles avaient le même enjeu.

Qui exécute, et qui contrôle ?

Dans de nombreuses structures, les rôles sont encore trop concentrés. La même personne initie, explique, exécute et valide. Même avec une multisig, ce fonctionnement reste fragile.

Il faut au minimum séparer, autant que possible, les rôles d’initiative, de validation et de contrôle. Cette séparation n’a pas besoin d’être bureaucratique pour être utile. Elle doit simplement être claire.

Quelles opérations nécessitent une procédure renforcée ?

Certaines décisions méritent un niveau d’exigence supérieur : changement de signataires, modification d’une architecture existante, ajout d’un nouveau réseau, retrait important, opération exceptionnelle, réaction à incident, ou bascule en mode dégradé.

Si tout passe par la même logique, l’organisation finit soit par ralentir inutilement, soit par banaliser des actions qui devraient rester hautement encadrées.

Comment gère-t-on l’absence, l’urgence ou le désaccord ?

C’est souvent ici que la gouvernance multisig révèle son niveau de maturité réel.

Que se passe-t-il si un signataire est malade, injoignable, en déplacement, ou quitte l’organisation ? Que se passe-t-il si deux responsables ne partagent pas la même lecture du risque ? Que se passe-t-il en cas d’urgence opérationnelle, lorsque le temps devient un facteur critique ?

Une gouvernance crédible n’est pas celle qui fonctionne uniquement quand tout va bien. C’est celle qui reste lisible quand la situation se tend.

Les erreurs les plus fréquentes

Certaines erreurs reviennent souvent lorsqu’une équipe déploie une multisig trop tôt ou sans cadre suffisant.

La première consiste à calquer un schéma de signatures sur l’organigramme perçu, sans analyser les véritables rôles opérationnels. On donne des pouvoirs de signature à des profils “logiques” sur le papier, sans vérifier leur disponibilité, leur implication réelle, leur compréhension des enjeux ou leur capacité à assumer ce rôle dans la durée.

La deuxième erreur consiste à confondre confiance personnelle et gouvernance. Une équipe fondatrice soudée peut croire qu’un accord verbal suffit. Tant que la structure reste petite, cela peut sembler fonctionner. Mais dès que les enjeux montent, que l’organisation grandit ou qu’un incident survient, l’absence de règles écrites devient une faiblesse.

La troisième erreur consiste à traiter la multisig comme un simple sujet technique. On discute architecture sans documenter les scénarios de décision, les escalades, les exceptions et les responsabilités.

La quatrième erreur, plus discrète mais fréquente, consiste à ne pas prévoir la continuité. Une gouvernance qui dépend trop de quelques individus expérimentés reste vulnérable, même si l’architecture semble robuste.

Situations typiques où la gouvernance précède l’architecture

Le sujet apparaît très concrètement dans plusieurs cas.

Une startup Web3 veut sécuriser sa trésorerie après une levée. Elle pense d’abord à la multisig, alors que la vraie priorité est de définir qui peut engager les fonds, sur quels montants, avec quelle validation et quel niveau de traçabilité.

Une organisation crypto-native veut réduire sa dépendance à un founder historique. Là encore, la question n’est pas seulement de redistribuer les clés. Il faut clarifier les responsabilités, documenter les décisions critiques et organiser la transmission.

Une structure patrimoniale cherche à professionnaliser sa custody. Le besoin n’est pas uniquement de mieux répartir les signatures, mais de rendre la gestion plus lisible, plus durable et moins dépendante d’habitudes implicites.

Dans tous ces cas, la gouvernance vient avant la forme technique. Sinon, l’outil fige des ambiguïtés au lieu de les résoudre.

Ce qu’une organisation sérieuse doit prévoir

Avant toute mise en place, il est utile de formaliser quelques éléments simples mais structurants :

  • les rôles impliqués dans la décision et dans l’exécution ;
  • les types d’opérations et leur niveau de sensibilité ;
  • les seuils de validation selon les cas ;
  • les règles d’exception et d’urgence ;
  • les modalités de remplacement ou de rotation d’un signataire ;
  • la traçabilité minimale attendue ;
  • les principes de continuité en cas d’absence, d’incident ou de départ.

Ce travail n’a pas besoin d’être complexe pour être solide. En réalité, les meilleurs cadres sont souvent les plus lisibles. Ils permettent de réduire les zones grises sans alourdir inutilement l’opérationnel.

Notre lecture

Chez GLOV Secure, nous considérons qu’une multisig sérieuse n’est jamais seulement un montage de signatures. C’est un prolongement d’une gouvernance réfléchie.

L’enjeu n’est pas de multiplier les contraintes pour paraître plus mature. L’enjeu est de construire un cadre cohérent avec la réalité de l’organisation : son rythme, ses responsabilités, ses risques, ses personnes-clés et son horizon.

Une bonne architecture de custody ne doit pas seulement protéger contre la compromission technique. Elle doit aussi réduire les ambiguïtés humaines, les improvisations de dernière minute et les dépendances silencieuses.

C’est précisément pour cela qu’un travail sur les rôles, les règles et la continuité doit précéder les choix d’architecture.

Points clés

  • La gouvernance multisig ne se résume pas à un nombre de signatures.
  • Une multisig répartit un pouvoir d’exécution, mais ne crée pas de règles de décision.
  • Les zones grises humaines sont souvent plus dangereuses qu’un défaut d’outillage.
  • Une organisation mature prévoit les absences, les urgences, les désaccords et la continuité.
  • L’architecture n’est solide que si elle reflète un cadre de gouvernance clair.

Conclusion

Mettre en place une multisig peut être une excellente décision. Mais ce n’est une bonne décision que si elle s’inscrit dans une réflexion plus large sur la gouvernance, la responsabilité et la continuité.

Avant de choisir un schéma, il faut clarifier les rôles. Avant de répartir les signatures, il faut définir les règles. Avant d’outiller, il faut structurer.

C’est souvent à ce moment-là qu’une organisation passe d’une logique de réaction à une logique de maturité.

Pour les équipes qui veulent aborder ce sujet avec sérieux, le bon point de départ n’est pas seulement la technique. C’est l’architecture de décision qui doit la rendre utile, lisible et durable.