De plus en plus, les banques font appel à des prestataires de services externalisés (PSE) et prestataires de services essentiels externalisés (PSEE). L’externalisation présente de nombreux avantages, mais aussi des risques, notamment pour le contrôle et la sécurité des informations. Nous faisons le point sur les avantages des PSEE, les risques et les défis pour les établissements bancaires.
Les Prestations de Services Essentielles Externalisées (PSEE) désignent les activités qu’une entreprise confie à un prestataire externe, de manière durable et habituelle, pour la réalisation de services ou de tâches opérationnelles essentielles ou importantes. Cette pratique permet aux entreprises de se concentrer sur leurs compétences clés tout en optimisant les coûts et l’efficacité opérationnelle. Cependant, elle nécessite une gestion rigoureuse des risques associés, notamment en matière de sécurité des données et de dépendance vis-à-vis des prestataires.
Les Prestations de Services Essentiels Externalisées sont définies de cette manière par le CRBF dans son Règlement n°97-02 du 21 février 1997 :
« Activités externalisées : les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ».
Ces fonctions peuvent être les opérations de banque, les services de paiement, les services d’investissement, ou les activités qui participent à l’exécution de ces services.
Pour les banques, le recours aux PSEE a de nombreux avantages. Tout d’abord, il leur permet de maîtriser les coûts. Les prestataires externes sont des spécialistes dans leur domaine et pourront manipuler un gros volume d’informations à moindre coût.
Cela va aussi permettre de réduire les délais opérationnels et de gagner en efficacité de traitement. Ainsi, les établissements bancaires peuvent concentrer davantage leurs ressources sur les fonctions à valeur ajoutée.
Le premier risque concerne la sécurité des données bancaires et données personnelles. Pour assurer les fonctions bancaires pour lesquelles ils ont été missionnées, les prestataires de services essentiels externes doivent avoir accès aux données. La transmission même de ces données pose des risques pour leur sécurité. D’autant plus que, souvent, les PSEE utilisent des sous-traitant pour le traitement de gros volumes de données, ce qui élargit le réseau de prestataires et complexifie la sécurisation des informations.
Le recours aux PSEE pose d’autres risques, notamment la dépendance vis-à-vis du prestataire. Si la banque souhaite changer de prestataire, cela peut poser des problèmes au niveau de la continuité de l’activité.
Un autre risque est la perte de contrôle des activités externalisées. L’établissement bancaire ne maîtrise plus le traitement de ses propres données. Elle a donc l’obligation de déployer une stratégie de sortie de l’accord d’externalisation efficace, qui lui permettra de mettre fin au contrat de prestation sans difficultés.
Enfin, il faut garder en tête qu’externaliser des activités essentielles peut conduire à la perte de compétences en interne sur ces activités.
Pour commencer, il est important que les banques fassent preuve de vigilance en assurant le suivi des prestations d’externalisation. Et ce, tout au long de la mise en œuvre du contrat de PSEE. La moindre anomalie dans le dispositif de prestation externalisée pourrait nuire à la sécurité des informations et à la réputation de la banque. Il est donc crucial, pour l’établissement bancaire, de déployer une stratégie de gouvernance de la prestation de service. Cela présente un véritable défi dans le cas des projets d’externalisation de grande envergure (par exemple, qui s’étend sur plusieurs services ou à l’international).
L’enjeu est de parvenir à harmoniser la méthodologie de suivi des prestataires externes. A l’échelle d’un grand groupe bancaire, où des fonctions très différentes sont externalisées, cela est plus complexe qu’il n’y parait. Une communication doit être établie entre tous les experts de l’organisme bancaire afin de bâtir un modèle commun d’analyse des PSEE.
Enfin, le dernier défi – et pas des moindres – est d’assurer la sécurité des données transmises. La transmission des informations présente de nombreux risques, en plus du risque technique qui peut entraîner une interruption de l’activité. La sécurité physique et virtuelle des serveurs impliqués doit être exemplaire pour éviter le vol des données, du côté de la banque et du côté du prestataire externe. Pour cela, un audit de sécurité s’impose.
Le 22 juillet 2021, l’ACPR a listé dans un communiqué les obligations des banques qui choisissent d’externaliser certaines de leurs activités. En cas de manquement à ces obligations, l’établissement s’expose à une sanction disciplinaire de la part de l’ACPR, qui varie en fonction du manquement constaté.
L’ACPR exige notamment que les banques :
En cas de manquement à ces obligations, l’ACPR peut prononcer des sanctions disciplinaires à l’encontre des établissements bancaires, pouvant aller jusqu’à des amendes significatives ou des restrictions sur l’externalisation des services concernés. Ces mesures visent à renforcer la résilience du secteur bancaire face aux risques liés à l’externalisation et à garantir un niveau de sécurité optimal pour les données et les opérations bancaires.
Les Prestations de Services Externalisées (PSE) et les Prestations de Services Essentiels Externalisées (PSEE) reposent toutes deux sur le principe de délégation d’activités à un prestataire tiers, mais elles se distinguent par l’importance stratégique des fonctions concernées. Les PSE regroupent l’ensemble des services qu’une entreprise choisit d’externaliser pour optimiser ses coûts et son efficacité opérationnelle, sans que ces services soient considérés comme vitaux pour son activité. À l’inverse, les PSEE concernent des fonctions critiques, c’est-à-dire des activités dont l’interruption ou la mauvaise exécution pourraient compromettre la continuité, la conformité ou la sécurité de l’établissement bancaire. Cela inclut, par exemple, la gestion des paiements, les services d’investissement ou la tenue de comptes. En raison de leur caractère essentiel, les PSEE sont soumises à une réglementation stricte, notamment par l’Autorité de contrôle prudentiel et de résolution (ACPR) et l’Autorité bancaire européenne (EBA), qui imposent des obligations accrues en matière de supervision et de gestion des risques..
Le Zero Trust est un modèle de sécurité qui consiste à supprimer la confiance implicite dans l’accès aux réseaux d’entreprise. Ce modèle est particulièrement pertinent
Une cyberattaque massive sur les infrastructures essentielles et le secteur financier pourrait provoquer un véritable séisme sociétal. Dans un monde hyperconnecté, une telle attaque aurait
Dans un contexte de hausse des cyberattaques, il est désormais nécessaire pour les entreprises de se doter d’une cyberassurance. D’après Statista, le coût mondial de
La Directive Network and Information Security sur la Cybersécurité en Europe (NIS 2) est entrée en vigueur le 17 octobre 2024. Cette directive fait suite
Entré en vigueur le 17 janvier 2025, DORA est une réglementation européenne majeure en matière de sécurité dans le secteur de la finance. Face à
L’IoT, ou Internet des objets, ce sont les appareils du quotidien qui sont connectés à Internet. Ces objets reçoivent et transfèrent des données sur des
Abonnez-vous à notre newsletter
Nous vous enverrons une newsletter utile une fois par semaine. Pas de spam.
Forum des Compétences : Ensemble, sécurisons l’avenir numérique de la finance et de l’assurance.
Contact
Copyright © 2025 Forum Des Compétences – Fait avec ❤️ par WPSolution