Close
By Devoteam Management Consulting

Paroles d'experts

Outsourcing Offshoring quels risques pour les banques ?

11/12/2017 Security & Risk Management

Dans le contexte concurrentiel existant et la digitalisation croissante des échanges, les entreprises du secteur bancaire sont amenées à recourir de plus en plus à l’externalisation de tout ou partie de leur activité informatique vers un partenaire externe (outsourcing), voire à délocaliser certaines activités de service et de production vers des pays où le coût de la main d’oeuvre paraît plus intéressant (offshoring).

Cette externalisation amène l’entreprise à devoir adapter ses processus afin de mieux maîtriser ses activités.

Différents projets d’externalisation sont envisageables, que ce soit le développement ou la maintenance de logiciel, matériel ou infrastructures techniques, ou l’exploitation des réseaux et télécommunications. Ainsi, de plus en plus d’applications sont hébergées sur un cloud externe, et des services tels que le support ou la maintenance informatique sont délocalisés vers d’autres pays.

Particulièrement lorsque ces externalisations ont trait à des services sensibles, des procédures spécifiques doivent être mises en place afin de s’assurer que les risques sont maîtrisés*.

Différents types de risques sont envisagés :

  • non respect des dispositions contractuelles, réglementaires ou de déontologie
  • mauvaise exécution de l’activité
  • les risques culturels et sociaux, liés à d’éventuels réductions ou transferts de personnels
  • sécurité et confidentialité des informations transmises ou traitées à l’extérieur de l’organisation
  • Perte de continuité de l’activité

Dans le cadre d’activités externalisées ou délocalisées, les contrôles s’avèrent plus compliqués que dans le cadre d’activités réalisées en interne, principalement du fait de la distance et de la dilution des responsabilités.

Il convient dès lors de procéder à une évaluation des risques plus poussée, afin de définir les mesures de protection adéquates.

L’ensemble des mesures à mettre en place est – plus ou moins explicitement – imposé par le régulateur (ex: LPM, CNIL, GDPR, etc). D’autres mesures plus spécifiques sont à l’initiative de l’entreprise.

Avant de lancer son projet d’outsourcing/offshoring, toute entreprise se doit donc de réaliser une analyse de risque qui peut se schématiser comme suit (les mesures proposées ne sont que des exemples) :

Afin de s’assurer que les risques sont bien couverts, cette démarche implique non seulement les managers techniques et les achats, mais aussi la direction des risques, et les différents experts sécurité de la banque, sans oublier les RH ni surtout les clients internes et externes.

Une fois les prestations de services essentiels externalisées identifiées, elles sont suivies régulièrement, notamment dans le cadre des revues annuelles des risques de chaque service informatique. Mais ceci est une autre histoire.

* Dans le cadre de la Loi de Programmation Militaire,les entreprises du secteur bancaire sont identifiées comme “Organisation d’Intérêt Vitale” (OIV) et font par conséquent l’objet d’un contrôle stricte du régulateur ; l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur bancaire définit les Prestations de Services Essentielles des OIV. https://acpr.banque-france.fr/publications/revue-de-lacpr/revue-de-lacpr-n22-sommaire/supervision-bancaire/point-sur-larrete-du-3-novembre-2014-relatif-au-controle-interne.html

A propos de l'auteur
Hamza Dumas, Consultant Senior au sein de Devoteam Consulting

Hamza est diplômé  d’un Master 2 en Management du Risque de l’Université Paris Ouest Nanterre La Défense et a rejoint Devoteam en 2011. Il a depuis acquis une expérience significative sur des missions de sécurité fonctionnelle des systèmes d’information, ainsi que de continuité d’activité pour des grands comptes français et étrangers. Ces différentes expériences lui ont permis d’enrichir son spectre de compétences en gestion des risques, en ayant toujours pour objectif la satisfaction des clients

Point de contact
,
2018-01-04T09:19:58+01:00

Laisser un commentaire

Recevez par email le prochain article sur le même topic Recevoir une alerte