Prestations de Services Essentiels Externalisées (PSEE)

De plus en plus, les banques font appel à des prestataires de services externalisés (PSE) et prestataires de services essentiels externalisés (PSEE). L’externalisation présente de nombreux avantages, mais aussi des risques, notamment pour le contrôle et la sécurité des informations. Nous faisons le point sur les avantages des PSEE, les risques et les défis pour les établissements bancaires.

PSEE : définition

Les Prestations de Services Essentiels Externalisées (PSEE) sont définies de cette manière par le CRBF dans son Règlement n°97-02 du 21 février 1997 : 

« Activités externalisées : les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ».

Le recours aux PSEE consiste à externaliser des fonctions essentielles, c’est-à-dire transférer toute la gestion ou une partie à un prestataire extérieur à l’entreprise. Ces fonctions peuvent être les opérations de banque, les services de paiement, les services d’investissement, ou les activités qui participent à l’exécution de ces services.

Prestations de Services Essentiels Externalisées (PSEE)

Pourquoi recourir aux PSEE ?

Pour les banques, le recours aux PSEE a de nombreux avantages. Tout d’abord, il leur permet de maîtriser les coûts. Les prestataires externes sont des spécialistes dans leur domaine et pourront manipuler un gros volume d’informations à moindre coût.
Cela va aussi permettre de réduire les délais opérationnels et de gagner en efficacité de traitement. Ainsi, les établissements bancaires peuvent concentrer davantage leurs ressources sur les fonctions à valeur ajoutée.

Les risques posés par les PSEE

Le premier risque concerne la sécurité des données bancaires et données personnelles. Pour assurer les fonctions bancaires pour lesquelles ils ont été missionnées, les prestataires de services essentiels externes doivent avoir accès aux données.  La transmission même de ces données pose des risques pour leur sécurité. D’autant plus que, souvent, les PSEE utilisent des sous-traitant pour le traitement de gros volumes de données, ce qui élargit le réseau de prestataires et complexifie la sécurisation des informations. 

Le recours aux PSEE pose d’autres risques, notamment la dépendance vis-à-vis du prestataire. Si la banque souhaite changer de prestataire, cela peut poser des problèmes au niveau de la continuité de l’activité. 

Un autre risque est la perte de contrôle des activités externalisées. L’établissement bancaire ne maîtrise plus le traitement de ses propres données. Elle a donc l’obligation de déployer une stratégie de sortie de l’accord d’externalisation efficace, qui lui permettra de mettre fin au contrat de prestation sans difficultés.

Enfin, il faut garder en tête qu’externaliser des activités essentielles peut conduire à la perte de compétences en interne sur ces activités. 

PSEE : quels défis pour les entreprises du secteur bancaire ?

Pour se protéger des menaces relatives aux PSEE, les entreprises du secteur bancaire doivent mettre en place une stratégie d’analyse des risques. Cette stratégie implique de trouver des solutions et de prévoir les capacités pour déployer ces solutions.

Pour commencer, il est important que les banques fassent preuve de vigilance en assurant le suivi des prestations d’externalisation. Et ce, tout au long de la mise en œuvre du contrat de PSEE. La moindre anomalie dans le dispositif de prestation externalisée pourrait nuire à la sécurité des informations et à la réputation de la banque. Il est donc crucial, pour l’établissement bancaire, de déployer une stratégie de gouvernance de la prestation de service. Cela présente un véritable défi dans le cas des projets d’externalisation de grande envergure (par exemple, qui s’étend sur plusieurs services ou à l’international).

L’enjeu est de parvenir à harmoniser la méthodologie de suivi des prestataires externes. A l’échelle d’un grand groupe bancaire, où des fonctions très différentes sont externalisées, cela est plus complexe qu’il n’y parait. Une communication doit être établie entre tous les experts de l’organisme bancaire afin de bâtir un modèle commun d’analyse des PSEE. 

Enfin, le dernier défi – et pas des moindres – est d’assurer la sécurité des données transmises. La transmission des informations présente de nombreux risques, en plus du risque technique qui peut entraîner une interruption de l’activité. La sécurité physique et virtuelle des serveurs impliqués doit être exemplaire pour éviter le vol des données, du côté de la banque et du côté du prestataire externe. Pour cela, un audit de sécurité s’impose. 

Le 22 juillet 2021, l’ACPR a listé dans un communiqué les obligations des banques qui choisissent d’externaliser certaines de leurs activités. En cas de manquement à ces obligations, l’établissement s’expose à une sanction disciplinaire de la part de l’ACPR, qui varie en fonction du manquement constaté.

Nos actualités
Colloque 2024 : IA générative et Cybersécurité

Merci pour votre participation au Colloque 2024 du Forum des Compétences ! https://www.forum-des-competences.org/colloque-2024-ia-generative-et-cybersecurite-2/Le Colloque 2024 du Forum des Compétences, qui s’est tenu le 5 décembre