L'entrée en vigueur récente de l’IA Act, DORA et NIS2, impose aux acteurs financiers et à leurs prestataires des exigences strictes en matière de cybersécurité, de résilience opérationnelle et de gestion des risques tiers. Alors que le cadre réglementaire se fait plus contraignant, l'externalisation de la relation clients peut, à condition d’intégrer des points de vigilance, devenir un facteur de transformation stratégique.
Deux règlements, une directive, toujours plus d’exigences… Entré en vigueur depuis janvier 2025, DORA (Digital Operational Resilience Act) impose aux institutions financières – et à leurs prestataires critiques – une gouvernance robuste des risques IT, des tests de résilience réguliers et une supervision renforcée des fournisseurs. Pour un responsable sécurité des systèmes d'information (RSSI), cela induit une refonte des processus de sécurité, une traçabilité accrue, et une obligation de transparence contractuelle. NIS2 (Network and Information Security Directive 2), quant à elle, élargit le périmètre des entités soumises à des obligations de cybersécurité, notamment dans la finance. Elle impose des mécanismes de détection et de réponse aux incidents, ainsi qu'une coopération renforcée entre États membres.
À cela s’ajoute désormais le règlement sur l’intelligence artificielle (IA Act), qui encadre l’usage des systèmes d’IA selon leur niveau de risque. Dans les services financiers, les solutions à « haut risque » (comme les systèmes d’évaluation de solvabilité ou de détection de fraude) doivent faire l’objet d’une documentation technique rigoureuse, d’audits de conformité et de garanties en matière de robustesse et de cybersécurité. À partir de 2027, même les IA à « risque limité » (comme les chatbots) devront être conformes aux exigences dudit règlement.
Selon l’étude SP2C x EY 2025, 72 % des donneurs d’ordre du secteur financier considèrent la capacité à répondre aux...
