Risques tiers: ce que la nouvelle règle Bâle change

Le chiffre qui devrait vous faire lever un sourcil: pour beaucoup de banques, une partie croissante de l’expérience client (ouverture de compte, paiement, scoring, support, anti-fraude) dépend désormais d’entreprises externes. Cloud, fintechs, centres d’appels, prestataires KYC, outils d’IA… le “banquier” derrière l’application n’est plus seul aux commandes.

Le 10 décembre 2025, le Comité de Bâle a publié de nouveaux principes de gestion du risque lié aux tiers pour le secteur bancaire. Ce n’est pas une simple mise à jour de conformité: c’est une réponse directe au fait que la digitalisation a multiplié les dépendances et donc les points de rupture possibles. Et quand une banque a un incident chez un prestataire critique, ce n’est pas qu’un sujet IT: ça peut se traduire par des paiements bloqués, des fraudes, un service client indisponible… et, à grande échelle, un risque pour la stabilité financière.

Dans cette série « Intelligence artificielle dans la cybersécurité », ce texte est une pièce importante: l’IA améliore la détection de fraude et la sécurité, mais elle augmente aussi l’exposition aux prestataires (modèles hébergés, fournisseurs de données, plateformes MLOps). Comprendre le risque tiers, c’est comprendre une partie très concrète de la sécurité de votre argent.

Les principes de Bâle: une “ligne de base” mondiale

Réponse directe: les principes de Bâle fixent une base commune pour que banques et superviseurs gèrent mieux les risques introduits par les fournisseurs externes.

Le Comité de Bâle n’écrit pas des lois applicables automatiquement partout. En revanche, il fixe des standards prudentiels que beaucoup de régulateurs reprennent ensuite dans leurs règles nationales. Le message de 2025 est clair: l’écosystème a changé. Les banques externalisent aujourd’hui des fonctions qui étaient “internes” il y a 10–15 ans, et le vieux cadre (notamment le texte de 2005 sur l’outsourcing) ne colle plus à la réalité.

Ce nouveau socle vise deux objectifs qui peuvent sembler contradictoires mais sont complémentaires:

• Harmoniser: avoir un langage commun sur ce qu’est un tiers critique, ce qu’on doit contrôler, et comment.
• Rester flexible: permettre des approches adaptées selon les pays, la taille des banques et l’évolution rapide des technologies.

Pourquoi ça arrive maintenant (et pas avant)

Réponse directe: parce que la digitalisation a transformé le risque opérationnel en risque systémique potentiel.

Le risque tiers n’est pas nouveau. Ce qui est nouveau, c’est l’ampleur et la concentration:

• Beaucoup de banques s’appuient sur un petit nombre de fournisseurs cloud.
• Les fonctions critiques (paiement, identité, anti-fraude) sont souvent portées par des API et des plateformes partagées.
• L’IA en cybersécurité pousse à consommer des services externes (détection d’anomalies, scoring fraude, analyse comportementale) qui nécessitent données, intégrations et mises à jour continues.

Le résultat: un incident chez un prestataire peut toucher plusieurs institutions en même temps. Pour un superviseur, c’est un cauchemar… donc il cadre.

Le risque tiers, concrètement: ce que ça change pour vos services bancaires

Réponse directe: la qualité de votre banque dépend désormais aussi de la robustesse de ses fournisseurs (et de sa capacité à les piloter).

Quand on parle de “risque tiers”, on imagine souvent un sujet abstrait. Dans la vraie vie, ça se matérialise de façon très tangible.

Scénario 1: interruption chez un prestataire critique

Un prestataire de messagerie sécurisée, un opérateur d’authentification, un outil anti-fraude ou une couche cloud tombe. Conséquences possibles:

• virements et paiements retardés
• authentification impossible (application inutilisable)
• support client saturé
• gel préventif de certaines opérations (par prudence)

Même si votre banque est “solide”, l’expérience client peut se dégrader brutalement.

Scénario 2: faille de sécurité chez un tiers

Une fuite de données peut venir d’un prestataire KYC, d’un centre d’appels, d’un outil d’analyse marketing, ou d’un fournisseur d’IA qui héberge des logs. Là, on touche au cœur de la série IA et cybersécurité: plus vous avez d’intégrations, plus vous avez de surfaces d’attaque.

Ce que les principes de Bâle poussent implicitement: cartographier ces dépendances, évaluer la criticité, et imposer des exigences de sécurité et de résilience.

Scénario 3: modèles d’IA et dépendances invisibles

Les banques utilisent de plus en plus l’IA pour:

• détecter la fraude carte et virement
• repérer des comportements anormaux (account takeover)
• automatiser le tri des alertes (SOC)
• accélérer KYC/AML

Mais un modèle d’IA “efficace” dépend souvent de:

• données fournies par des tiers
• pipelines gérés par un prestataire
• mises à jour de modèles et de signatures

Le risque: une dégradation du service (ou une attaque sur la chaîne d’approvisionnement) peut affaiblir la détection au moment où vous en avez le plus besoin.

Ce que Bâle attend des banques (sans jargon inutile)

Réponse directe: gouvernance, contrôle de bout en bout, et plan B crédible.

Même si le texte complet des principes est plus détaillé, on peut résumer l’esprit en quelques exigences très concrètes.

1) Savoir qui fait quoi (inventaire et criticité)

Une banque sérieuse doit être capable de répondre rapidement à:

• quels tiers participent à un service donné (ex: paiement mobile)?
• lequel est critique (sans lequel le service s’arrête)?
• où sont stockées et traitées les données?
• quels sous-traitants sont dans la chaîne (quatrième partie, etc.)?

C’est basique. Et pourtant, dans la pratique, beaucoup d’organisations découvrent leurs dépendances pendant un incident.

2) Contractualiser la sécurité et la résilience (pas seulement le prix)

Les contrats doivent couvrir des points qui font la différence le jour où ça casse:

• exigences de sécurité (contrôles, chiffrement, séparation des environnements)
• notifications d’incident et délais de réponse
• audits et droits de contrôle
• objectifs de disponibilité et de reprise (RTO/RPO)
• gestion des sous-traitants

Opinion assumée: une banque qui “externalise” sans obtenir de vrais droits d’audit et de transparence prend un risque qu’elle finit par faire porter au client.

3) Surveiller en continu (et pas à la signature)

Le risque tiers n’est pas statique. Un prestataire peut:

• changer d’architecture
• racheter une société et intégrer des systèmes fragiles
• déplacer des opérations
• modifier ses pratiques de journalisation

C’est là que l’IA en cybersécurité devient un allié: analyse d’anomalies sur les flux, détection de comportements inhabituels, corrélation d’événements multi-systèmes. Mais l’IA n’excuse pas l’absence de gouvernance: elle complète.

4) Avoir une sortie réaliste (exit plan)

Quand un tiers est critique, la question difficile est: peut-on le remplacer sans tout arrêter?

Un bon “plan de sortie” ressemble à:

1. des données exportables dans un format exploitable
2. une architecture qui limite le verrouillage fournisseur
3. des tests de bascule (au moins partiels)
4. des alternatives identifiées (même si non activées)

Les superviseurs insistent de plus en plus sur ce point parce que c’est la différence entre un incident gérable et une crise prolongée.

Ce que ça implique pour la stabilité bancaire… et pour les taux

Réponse directe: une meilleure gestion du risque tiers réduit les chocs opérationnels, et ça peut influencer le coût du risque—donc, indirectement, les conditions de crédit.

Le lien avec les taux d’intérêt n’est pas “magique”, mais il est réel via des mécanismes simples.

• Quand une banque subit des incidents répétés (pannes, fraudes, sanctions, coûts de remédiation), son coût opérationnel monte.
• Quand les superviseurs estiment sa gestion des risques insuffisante, ils peuvent exiger plus de capital, plus de contrôles, et limiter certaines activités.
• Plus le profil de risque augmente, plus le coût de financement peut augmenter, et la banque répercute une partie dans ses prix (crédit conso, hypothèques, frais).

Fin 2025, avec des clients très sensibles au prix (et des comparateurs partout), les banques ont un intérêt direct à réduire les incidents liés aux tiers. La conformité devient un sujet business.

Guide pratique: comment un client peut “tester” le sérieux d’une banque

Réponse directe: vous ne verrez pas les contrats fournisseurs, mais vous pouvez repérer des signaux forts de maturité.

Vous cherchez une banque pour votre épargne, un prêt immobilier, ou une activité pro? Voici des indicateurs utiles, sans tomber dans la parano.

Signaux de confiance

• Authentification forte bien implémentée (et pas contournable par un simple SMS)
• Communication claire lors d’incidents (statuts, délais, transparence)
• Paramètres de sécurité accessibles (gestion des appareils, limites de virement, alertes)
• Historique: peu d’interruptions majeures, ou remédiations visibles après incident

Questions simples à poser (pro ou patrimonial)

Si vous avez un conseiller (pro, premium), posez:

1. “Quels mécanismes avez-vous pour prévenir la fraude sur virement?”
2. “Que se passe-t-il si l’appli est indisponible: quelles alternatives?”
3. “Avez-vous un canal d’urgence pour blocage de carte et virement?”

Vous n’obtiendrez pas une fiche technique, mais la qualité des réponses (et la cohérence) en dit long.

Phrase à retenir: Une banque fiable, ce n’est pas celle qui promet zéro incident. C’est celle qui encaisse un incident sans mettre votre argent en apnée.

L’IA en cybersécurité: puissante, mais pas une excuse

Réponse directe: l’IA réduit le temps de détection, mais elle n’efface pas le risque fournisseur—elle le déplace et le rend parfois moins visible.

Dans la cybersécurité bancaire, l’IA est très efficace pour:

• repérer des schémas de fraude à grande échelle
• réduire le bruit des alertes (priorisation)
• détecter des comportements anormaux (transactions, sessions, appareils)

Le piège, c’est de croire qu’un outil “intelligent” remplace la discipline de base: inventaire, segmentation, contrôle d’accès, audits, plan de reprise, et gouvernance des données.

Les principes de Bâle arrivent comme un rappel adulte: l’innovation est bienvenue, mais la responsabilité reste dans la banque. Même si la techno est externalisée.

Ce que vous pouvez faire dès maintenant (épargne, crédit, investissement)

Réponse directe: diversifiez vos dépendances, augmentez votre résilience personnelle, et privilégiez les institutions qui gèrent bien l’opérationnel.

Actions simples, utiles en 2025:

• Gardez au moins deux moyens de paiement (ex: carte + carte secondaire ou carte + portefeuille mobile).
• Activez des alertes de transaction et des limites de virement quand c’est possible.
• Pour une entreprise: séparez les accès, imposez une validation à deux personnes sur les gros virements.
• Pour un prêt immobilier: anticipez les jours “sensibles” (signature, appels de fonds) et évitez de dépendre d’un seul canal à la dernière minute.

Si vous gérez un patrimoine ou une trésorerie, je suis partisan d’une règle simple: un prestataire bancaire qui subit des incidents opérationnels fréquents finit par coûter plus cher qu’il ne paraît (temps, stress, opportunités ratées).

Le Comité de Bâle continuera à surveiller la digitalisation et la fintech “d’un point de vue prudentiel”. Traduction: les exigences vont continuer à monter, et les banques qui ont industrialisé la gestion du risque tiers auront une longueur d’avance.

La question intéressante pour 2026 n’est pas “qui adopte l’IA en cybersécurité?”, mais plutôt: qui maîtrise vraiment sa chaîne de fournisseurs quand l’IA, le cloud et les API deviennent le système nerveux de la banque?