Lignes directrices de l'EBA sur l’externalisation
L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Cette autorité est à l’origine de plusieurs textes destinés au secteur bancaire. Ces dernières années, les institutions financières ont de plus en plus externalisé leurs activités pour réduire les coûts et d'améliorer leur flexibilité et leur efficacité. L’utilisation des services de Cloud par le secteur bancaire s’est ainsi intensifiée. Les lignes directrices de l’EBA précisent les critères d’externalisation et d’identification des fonctions critiques ou importantes ayant un impact élevé sur le profil de risque de l'institution financière ou sur son cadre de contrôle interne. Les lignes directrices donnent un cadre pour maitrise le risque lié à la sous-traitance de fonctions critiques ou importantes. En dehors du secteur bancaire, d’autres bonnes pratiques sont disponibles pour traiter les risques de sous-traitance, notamment sur les aspects de cybersécurité SCRM comme l’ISO 27036 ou le NISTIR 8276.
Définitions
Les lignes directrices définissent l’externalisation comme un accord entre un établissement de paiement, de crédit ou de monnaie électronique et un prestataire de service qui effectue un processus, un service ou une activité pour le compte de l’établissement financier.
Certaines activités ne rentrent pas dans le cadre de l’externalisation au sens des lignes directrices de l’EBA comme :
- Les audits (commissaires au compte par exemple).
- Les services d’information sur les marchés financiers (Bloomberg par exemple).
- Les infrastructures réseaux comme Mastercard ou Visa.
- Les fournisseurs d’électricité ou de téléphonie.
Une fonction externalisée est considérée comme critique ou importante si une défaillance dans son exécution compromettrait de manière significative un des éléments suivants :
- Conformité à une réglementation bancaire.
- Performance financière.
- Continuité des activités bancaires.
- Efficacité du contrôle interne.
- Nécessité d’obtenir une autorisation d’une autorité.
Exigences
Quelques exemples d’exigences issues des lignes directrices sont récapitulés ci-dessous :
- Mettre en place et tester un plan de continuité pour chacune des prestations critiques et importantes.
- Inclure dans le plan d’audit interne les prestations externalisées.
- Maintenir à jour le registre des prestations (date du contrat, descriptif des activités, localisation des données, type de service Cloud le cas échéant, date de la dernière évaluation de la criticité, date de la dernière analyse des risques pour les prestation critiques et importante).
Processus d’externalisation
Les étapes suivantes doivent être documentées :
- Phase de sélection: évaluer les critères de criticité et d’importance, identifier et analyser les risques, réaliser une « due diligence», identifier les potentiels conflits d’intérêt.
- Phase contractuelle : formaliser les rôles et responsabilités, les conditions d’assurance, les modalités de continuité des activités, les conditions de sous-traitance de fonctions critiques et importantes par le prestataire, les exigences de sécurité, les contrôle des accès et les audits, les conditions de sortie.
- Phase de suivi: revue de l’analyse de risques, supervision des risques, tests des plans de continuité, reporting des prestataires.
- Stratégies de sorties: documentation des stratégies de sortie pour les prestations critiques et importantes, solutions alternatives.