Gestion du risque

Mesurer le risque du HFT

structurel
Revu le 4 juin 2026. En 2026 : un trait permanent du marché, pas un avantage qui s'érode.

Queues épaisses, drawdown intraday, exposition à l'inventaire et à la toxicité : le risque haute fréquence vit à des horizons et dans des distributions que la VaR standard lit de travers. Vous mesurez ce qui peut exploser d'ici la prochaine seconde.

L'idée

Trois barrières : un ordre à travers le pré-négociation, l'exécution et le post-négociation schéma annotéDG-RISKLENS
nouvel ordre Pré-négociation – avant l'envoi taille max 5,000 (gros doigt) bande de prix ±5% du dernier limite de position ±25,000 débit de messages 500/s qualité du flux (rejet périmé / croisé) simples contrôles entiers, sous-µs, souvent sur FPGA Exécution – la place limit-up / limit-down prévention d'auto-appariement validation d'ordre + appariement les contrôles propres à la place Post-négociation – après l'exécution réconciliation drop-copy position nette en direct P&L intraday en direct exposition brute vérité terrain, hors bande REJET – l'ordre fautif n'atteint jamais le marché drop-copy – flux indépendant de vos propres exécutions ARRÊT – stop P&L −$50k → suspend Défense en profondeur : le pré-négociation vous empêche de le poser, le post-négociation rattrape ce qui a déjà été exécuté. Knight 2012 : couches absentes → ~45 min, ~$460m

Ce que montre ce schéma. Le risque HFT s'applique en limites dures et en temps réel sur chaque ordre, pas en rapport de VaR du lendemain. Le pré-négociation rejette un ordre fautif (un zéro mal placé, une lecture de prix erronée, un dépassement de position, un flux périmé) avant qu'il n'atteigne le marché ; la place applique ses propres contrôles à l'exécution ; et le post-négociation réconcilie vos vraies exécutions via un flux drop-copy indépendant, déclenchant l'interrupteur d'arrêt sur un dépassement de P&L ou d'exposition. Aucune couche n'est seule de confiance – la défense est en profondeur, et c'est précisément la défense qui manquait chez Knight.

Revu pour 2026. Les contrôles de risque pré-négociation sont obligatoires sous la SEC Rule 15c3-5 et MiFID II ; les limites elles-mêmes sont délibérément simples. Pédagogique seulement, pas un conseil en investissement.

Pourquoi le risque HFT intraday n'est-il pas la VaR de l'argent lent ?

La Value-at-Risk répond à une question lente, statistique, de fin de journée : combien ce portefeuille pourrait-il perdre d'un jour à l'autre, avec 99 % de confiance ? Un book HFT tient des positions pendant des secondes et se retourne des milliers de fois par jour, si bien que les risques contraignants sont opérationnels et instantanés (un algo emballé, un fat-finger, un flux périmé) et ceux-ci sont gouvernés par des limites dures par ordre, pas par une estimation de perte quotidienne.

Commençons par l'intuition. La VaR est construite pour un book que vous tenez sur des jours et re-risquez le matin. Elle suppose que vous avez du temps : du temps pour calculer une distribution, du temps pour qu'un gestionnaire de risque la lise, du temps pour agir demain. Le HFT n'a rien de cela. La position à laquelle vous êtes le plus exposé est celle que votre propre algo est sur le point de mettre dans la prochaine microseconde, et aucun agrégat statistique calculé la nuit dernière ne la voit.

Les vrais risques HFT sont différents en nature. Le risque opérationnel et technologique (un bug, un mauvais déploiement, une boucle coincée, la défaillance Knight Capital) est la queue dominante, et la VaR y est aveugle. Le risque de sélection adverse et de toxicité saigne le book transaction par transaction à mesure qu'il est systématiquement cueilli par le flux informé (sélection adverse, PIN/VPIN), plutôt qu'en un saut d'un jour à l'autre. Et le risque de latence et de flux est d'agir sur des données déjà fausses (ci-dessous).

La VaR et ses proches ne sont pas inutiles : elles ont une place dans le reporting de fin de journée et d'allocation de capital, et une firme les rapporte toujours (voir ratios ajustés du risque pour les métriques de l'argent lent). Mais elles sont le mauvais contrôle primaire en temps réel. Les contrôles en temps réel sont les limites dures du reste de cette page.

Ce qui est vérifié avant qu'un ordre ne parte : la barrière pré-négociation

La barrière pré-négociation est une validation synchrone que chaque ordre passe avant d'atteindre la bourse. Elle impose une pile fixe de vérifications numériques (taille d'ordre max, bande de bon sens du prix, limites de position et d'exposition, limites de débit de messages, et qualité du flux) et rejette tout ce qui échoue. Un ordre rejeté ne coûte rien ; un mauvais ordre envoyé peut coûter à la firme la totalité. C'est le cœur de la couche de contrôle et le foyer de la loi : la Market Access Rule porte spécifiquement sur les contrôles pré-négociation.

La pile standard : la vérification de taille d'ordre max (fat-finger) est un plafond dur sur la quantité et le notionnel de tout ordre isolé, fixé bien au-dessus de la taille normale de transaction mais bien en deçà de « l'absurde » : l'attrape classique pour une décimale égarée, où un ordre pour 1 000 000 au lieu de 1 000 est rejeté à la barrière. La vérification de bon sens de bande de prix rejette tout ordre tarifé implausiblement loin de la référence courante (disons une limite d'achat 20 % au-dessus de la dernière transaction), attrapant à la fois les fat-fingers et une stratégie lisant un prix corrompu ; elle reflète les propres bandes limit-up/limit-down de la bourse mais appliquées par vous, avant l'envoi. Les limites de position et d'exposition plafonnent la position nette par instrument, l'exposition brute par book et le notionnel agrégé : le contrôle unique dont l'absence a détruit Knight. La limite de débit de messages plafonne les ordres et annulations par seconde par session (sa propre section ci-dessous). Et la vérification de qualité de flux refuse de coter, ou cote défensivement, quand les données de marché sont périmées, lacunaires ou croisées.

La contrainte d'ingénierie est réelle : cette barrière siège sur le chemin critique de chaque ordre, donc elle doit ajouter une latence minimale et bornée. C'est pourquoi les vérifications sont de simples comparaisons d'entiers contre des limites fixes, et tournent de plus en plus en matériel (FPGA) sur le fil (colocation & FPGA) pour garder la taxe pré-négociation sous la microseconde. L'intelligence est dans la stratégie ; la barrière est délibérément bête et rapide.

Comment les limites de position, d'exposition et de P&L bornent-elles le book ?

Les limites de position plafonnent combien d'un instrument vous pouvez être net long ou court ; les limites d'exposition plafonnent le notionnel agrégé et le risque brut à travers le book ; les limites de P&L vous arrêtent quand la perte intraday franchit un seuil. Ensemble elles bornent combien le book peut perdre avant que quelque chose n'intervienne automatiquement, sans décision humaine requise.

Les limites de position sont par instrument et par book : un maximum dur net long ou court, souvent avec un niveau « avertissement » plus doux sous le niveau « rejet » dur. Elles traduisent un chiffre de capacité en garde-fou opérationnel : votre limite de position est à peu près votre capacité sûre moins une marge. Les limites d'exposition et de notionnel brut agrègent à travers les instruments pour borner le risque total, attrapant le cas où de nombreuses petites positions par instrument s'additionnent en une grosse exposition au niveau du book.

Les limites de P&L (arrêts intraday) sont le contrôle dynamique : si la perte réalisée plus latente du jour franchit un seuil, le système halte automatiquement le nouveau risque (et peut remettre à plat ; voir interrupteurs d'arrêt). Calibrez le seuil contre la distribution de perte normale de la stratégie (métriques de rendement et de risque) : fixez-le pour qu'il ne se déclenche presque jamais lors d'une mauvaise journée ordinaire, mais se déclenche toujours avant qu'une défaillance ponctuelle ne tourne sans borne. Un arrêt de P&L fixé trop serré tue de bonnes stratégies sur du bruit ; fixé trop lâche, c'est la limite qui était « là » chez Knight mais n'a rien fait.

Un nouvel ordre n'est admis que si chaque limite dure tiendrait encore après son remplissage. La vérification est une conjonction de comparaisons simples : assez rapide pour siéger sur le chemin d'ordre, assez stricte pour borner la perte.
admit    qt+ΔqQmax    notionalNmax    PnLt>Lmax\text{admit} \iff |q_t + \Delta q| \le Q_{\max} \;\land\; \text{notional} \le N_{\max} \;\land\; \text{PnL}_t \gt -L_{\max}

Ces limites sont vérifiées post-négociation (contre la position et le P&L vivants et réconciliés) en plus d'être imposées pré-négociation (un ordre qui franchirait une limite de position est rejeté). Les deux couches sont complémentaires : le pré-négociation vous empêche de mettre la position ; le post-négociation attrape le cas où des exécutions vous ont déjà fait dépasser une limite et déclenche la coupure.

Risque de latence et de flux : la donnée elle-même est un risque

À la vitesse HFT, le plus gros risque non opérationnel est d'agir sur des données déjà fausses. Un flux périmé (retardé ou coincé), un flux lacunaire (messages perdus), ou un flux croisé (votre offre d'achat au-dessus de votre offre de vente, signe de sources désynchronisées) font tous coter une stratégie contre un prix qui n'existe plus, et c'est exactement la cotation périmée qu'un arbitragiste de latence cueille. Ce risque est unique au trading à vitesse et facile à sous-estimer.

Un flux périmé ou lent tarife vos cotations au repos sur de vieilles informations, si bien qu'un participant plus rapide trade contre elles avant que vous ne puissiez les mettre à jour. Le contrôle est de détecter la péremption et d'élargir ou retirer les cotations : surveiller les horodatages et les numéros de séquence du flux, et si la donnée est plus vieille qu'une tolérance ou si le taux de lacunes s'envole, cesser de coter jusqu'à ce qu'elle récupère. Un flux croisé ou verrouillé (meilleure offre d'achat au-dessus de la meilleure offre de vente, ou offre d'achat égale à l'offre de vente, sur votre vue consolidée) signifie presque toujours que deux sources de données sont désynchronisées, pas un vrai arbitrage ; une stratégie naïve « voit de l'argent gratuit » et tire sur un prix qui n'existe pas, donc le contrôle est de rejeter la cotation consolidée comme invalide et refuser d'agir sur un carnet croisé. La détection de lacune de séquence utilise les numéros de séquence que portent les flux de bourse : une lacune signifie que vous avez perdu un message et que votre carnet est désormais faux, donc détectez la lacune, marquez le carnet périmé, et récupérez (instantané/rejeu) avant de trader dessus à nouveau (comment les données sont enregistrées, protocoles de messagerie).

Le cadrage honnête : le risque de flux est l'avantage de l'arbitrage de latence vu du siège de la victime. La même cotation périmée qui est le micro-alpha de quelqu'un est votre perte si vous êtes celui qui la cote. Les vérifications de qualité de flux sont, en effet, votre défense contre le fait d'être le côté lent de cette course.

Limites de débit de messages et étranglement des cotations

Une limite de débit de messages plafonne combien d'ordres, d'annulations et de modifications vous pouvez envoyer par seconde sur une session. Elle sert deux fins à la fois : elle vous protège d'une boucle emballée inondant le marché, et elle protège la bourse : les places imposent des règles de ratio ordres-sur-transactions et des plafonds de messages, et les dépasser entraîne des frais ou une déconnexion. C'est à la fois un contrôle de risque et une exigence de conformité.

Comme auto-protection, un bug qui met votre logique d'ordres dans une boucle serrée essaiera d'envoyer des messages aussi vite que le fil le permet ; un plafond de débit de messages transforme « emballement infini » en « emballement borné », gagnant du temps pour que l'interrupteur d'arrêt agisse. C'est un étrangleur, pas un stop, mais c'est l'étrangleur qui empêche une mauvaise minute de devenir une catastrophe. Comme exigence de bourse, les places pénalisent une messagerie excessive via des limites de ratio ordres-sur-transactions (OTR) et des plafonds de messages, en partie pour empêcher le quote stuffing (congestion délibérée du flux). Les RTS de MiFID II imposent des limites d'OTR dans l'UE/au Royaume-Uni ; les bourses américaines imposent les leurs. Les enfreindre entraîne des frais ou une suspension de session, donc vous vous plafonnez sous le plafond de la place.

C'est pourquoi la gestion du débit de messages apparaît à deux endroits dans l'atlas : comme contrôle de risque ici, et comme la contrepartie de la firme légitime à la technique de manipulation qu'elle ressemble (quote stuffing) : une vraie firme se limite en débit précisément pour ne jamais ressembler à, ou devenir accidentellement, un stuffer.

Pré-négociation, à la négociation et post-négociation : les trois couches de contrôle

Les contrôles vivent en trois couches temporelles. Le pré-négociation valide chaque ordre avant son envoi (taille, prix, position, débit, flux). L'à la négociation est la propre validation de la bourse, l'appariement et les bandes de prix. Le post-négociation réconcilie ce qui s'est réellement passé (drop-copy), surveille la position et le P&L vivants, et déclenche l'interrupteur d'arrêt. Chaque couche attrape ce que la précédente a manqué.

Le pré-négociation est le plus rapide et arrête la plupart des mauvais ordres à bas coût, mais ne peut pas connaître le vrai état d'exécution, parce que les exécutions arrivent de façon asynchrone. L'à la négociation est les propres vérifications de la place : ses bandes limit-up/limit-down, la prévention d'auto-appariement, les plafonds de messages et l'appariement. Le post-négociation réconcilie la vérité de terrain via le drop-copy (un flux indépendant de vos propres exécutions, séparé de votre session de saisie d'ordres) si bien que même si le suivi de position interne de votre stratégie est buggé, une vue hors-bande attrape la divergence et déclenche la coupure (interrupteur d'arrêt).

L'intuition clé est la défense en profondeur : aucune couche unique n'est de confiance seule. Le pré-négociation vous empêche de mettre la position ; le post-négociation attrape le cas où des exécutions vous ont déjà fait dépasser une limite. La défaillance de Knight a été, en partie, que les couches qui auraient dû attraper une position emballée étaient absentes ou inefficaces.

Exemple travaillé

Une pile de limites concrète pour une unique stratégie de tenue de marché sur un instrument liquide : le genre de table qu'un lecteur pourrait reprendre et adapter. Illustratif et en 2026.

L'instrument : une action liquide à $50\$50, volume quotidien moyen 5 000 000 actions, taille de clip typique 200 actions. Taille d'ordre max (fat-finger) : 5 000 actions (25× le clip normal, environ 0,1 % de l'ADV) pour qu'un ordre pour 50 000 (un zéro égaré) soit rejeté à la barrière pré-négociation. Bande de prix : rejeter tout ordre tarifé à plus de ±5 % de la dernière transaction, pour qu'un achat à $60\$60 contre un marché à $50\$50 soit rejeté comme un probable fat-finger ou une lecture de prix corrompu. Limite de position : net ±25 000 actions (environ $1.25m\$1.25\text{m} de notionnel, à peu près 0,5 % de l'ADV, bien à l'intérieur de la capacité) pour que la 25 001e action longue soit rejetée en pré-négociation. Limite d'exposition brute (niveau book) : $10m\$10\text{m} de notionnel agrégé à travers tous les instruments.

Arrêt de P&L intraday : halter le nouveau risque à $50,000-\$50{,}000 sur le jour. La perte quotidienne normale de la stratégie est rarement pire que $15,000-\$15{,}000 (d'après les statistiques de rendement et de drawdown), donc $50k-\$50\text{k} ne se déclenche presque jamais un jour ordinaire mais se déclenche toujours avant qu'une défaillance ne tourne sans borne. Limite de débit de messages : 500 messages par seconde par session, confortablement au-dessus du ~50/s normal de la stratégie mais bien en deçà du plafond de la bourse, pour qu'une boucle emballée soit étranglée. Tolérance de péremption de flux : retirer les cotations si les données de marché sont périmées de plus de 50 ms ou si le carnet consolidé est croisé pendant plus de deux tics consécutifs.

Lisez la pile comme une prévention-Knight. Si une limite de position et un arrêt de P&L équivalents avaient été vivants et efficaces, l'emballement aurait été rejeté ou halté en quelques secondes plutôt que de tourner ~45 minutes : quatre ordres de grandeur avant la perte réelle.
$50,000    $460,000,000(stop trips104×earlier)\$50{,}000 \;\ll\; \$460{,}000{,}000 \qquad (\text{stop trips} \sim 10^{4}\times \text{earlier})

Chaque nombre ici est synthétique et spécifique à l'instrument. Calibrez les vôtres contre votre propre capacité, votre distribution de P&L normale, et les limites publiées de la place, et revérifiez les plafonds actuels de la bourse en 2026. Ceci est pédagogique seulement et pas un conseil en investissement ; aucun P&L n'est impliqué.

Où cela s'inscrit

Vers le haut · brique de Gestion du risque En travers · se combine avec Queues épaisses En travers · se combine avec PIN / VPIN En travers · se combine avec Gestion de l'inventaire Application · rapporte sur Tenue de marché Application · rapporte sur Tenue de marché en crypto Construire / Acheter · outil nécessaire Jeux de données et outils