L'externalisation est une réalité établie dans les banques, sociétés de gestion et de services financiers.

En 2023, l’Autorité des marchés financiers (AMF) – France a identifié dans les priorités de surveillance des sociétés de gestion la question des processus et diligences mis en place pour les prestataires informatiques externes.

Cette question a été traitée par les régulateurs européens, l'EBA et l'ESMA sous la forme de recommandations publiées en 2018 et amendées en 2019.

Voici aujourd'hui une publication qui détaille les bonnes pratiques à mettre en place, et les 2 piliers centraux :

➡️ Le #registre d’#externalisation, qui permet de fournir une cartographie fidèle des services externalisés, de leur profil de risque et des produits et services servis par l’externalisation.

➡️ L’élaboration d'une ou plusieurs stratégies de sortie, doit avant tout #s’adapter à la #maturité de l'organisation et à ses #moyens.

Une stratégie de sortie est avant tout une assurance donnée aux décideurs quant à la capacité de l’institution à poursuivre l’activité sujette à l’externalisation dans un délai maitrisé.

Le projet de réglementation #DORA (Digital Operational Resilience Act) est un cadre additionnel qui s’inscrit dans la continuité des orientations de l’autorité bancaire européenne de 2019, et entrera en vigueur à partir de 2025.

Pour davantage d'informations, contactez-nous !

Le rapport se base sur des données collectées en 2018, issues de plus de 100 réponses au questionnaire adressé aux institutions financières de la zone euro, des missions de contrôle effectuées sur site ainsi que les incidents Cyber collectés par la Supervision Bancaire de la BCE.

En 2018, 22% des répondants sont des organismes de crédit Retail ou sectoriel.

Les principales observations à retenir sont les suivantes :

• Après la première auto-évaluation de 2017 dans laquelle les niveaux de risque remontés étaient sous-estimés, les niveaux de 2018 ont été globalement revus à la hausse sur l’ensemble des risques IT. Les 5 catégories de risques définies par l'EBA sont la Sécurité IT, la disponibilité des services, la gestion des changement, l’intégrité des données et l’IT Outsourcing.
• Le rapport a mis l’accent sur le risque que représente les systèmes obsolètes (End of Life) sur lesquels des processus critiques continuent de tourner. Le nombre d’institutions qui ont déclaré des dépendances vis-à-vis de ces systèmes EOL a augmenté de 14% entre 2017 et 2018 pour s’établir à 77%.
  
  
• Les risques Cyber restent élevés de manière générale, un lien direct est établi avec les systèmes EOL et la complexité des systèmes d'information.
  
  
• Les dépendances vis-à-vis des fournisseurs ont fait accroitre les risques liés à l’IT Outsourcing.
  
  
• Le rapport tente, sans vraiment y parvenir, de faire une corrélation entre le nombre d’administrateurs avec une compétence IT et différents indicateurs de risque IT. La doctrine de la supervision de la BCE insiste sur l’importance d’inscrire régulièrement ces risques à l’ordre du jour des conseils d’administration.

L’organe de supervision prend acte de la tendance observée vers des auto-évaluations plus prudentes même si elles ne couvrent pas l’ensemble des risques IT. La supervision prévoit de porter une attention particulière sur les menaces cyber, les systèmes obsolètes EOL - pour lesquels des demandes explicites de remontée d’information seront formulées - et enfin le risque d’externalisation en vérifiant le degré de maturité des processus de pilotage des services externalisés et leur intégration dans les plans de contrôles permanents.