Publié le 9 février 2026

Qu’il s’agisse de services infonuagiques, de logiciels, de cybersécurité ou encore de ressources spécialisées, le recours à des tiers permet aux institutions financières de demeurer concurrentielles tout en réduisant certains coûts. La transformation numérique et le développement rapide des nouvelles technologies, dont l’intelligence artificielle, ont pour effet d’accroître la dépendance à l’égard de ces derniers.

Bien que l’externalisation offre de nombreux avantages, elle expose également les institutions financières à divers risques en raison de l’absence de contrôle direct sur certaines activités. Ces risques peuvent prendre diverses formes. Certains sont classiques tels que les risques opérationnels, financiers ou stratégiques, ou être spécifiques au recours aux tiers, notamment en matière de concentration et de sous-traitance.

Un incident survenant chez un tiers peut entraîner des conséquences majeures pour l’institution financière, ses clients et, plus largement, pour la stabilité financière. Une saine gestion des risques liés aux tiers nécessite la mise en place d’un processus continu et intégré, s’appliquant à l’ensemble du cycle de vie de la relation.

Des tendances qui accentuent le risque

Plusieurs tendances viennent exacerber les risques découlant du recours aux tiers et posent des défis importants quant à la mise en place d’un programme efficace de gestion des risques.

L’omniprésence de la donnée

La numérisation massive signifie que des quantités colossales de données sont désormais traitées, stockées ou transmises par des systèmes tiers, ce qui accentue les risques.

La complexification de la chaîne d’approvisionnement

Les tiers s’appuient eux-mêmes sur des sous-traitants pour réaliser leurs activités, ce qui complexifie et opacifie la chaîne d’approvisionnement (risque de « n-ième » partie). Une institution financière peut ainsi être affectée par un incident survenant chez un sous-traitant d’un tiers, sans avoir de lien direct avec celui-ci.

La concentration des tiers

La concentration des tiers est un phénomène qui prend une importance croissante. Certains fournisseurs dominent un marché, un service ou une technologie critique, rendant les institutions financières fortement dépendantes à leur égard. Ce phénomène est particulièrement observable dans les domaines de l’infonuagique, des logiciels et des systèmes de paiement.

La sophistication des cybermenaces

Les acteurs malveillants disposent d’outils leur permettant de lancer des cyberattaques de plus en plus sophistiquées. Ils ciblent souvent les maillons faibles de la chaîne d’approvisionnement, et les tiers constituent fréquemment des vecteurs d’attaques privilégiés.

L’impact des tiers sur la résilience opérationnelle

Les concepts de résilience et de gestion du risque lié aux tiers sont étroitement liés. En effet, les tiers constituent l’un des piliers de la résilience opérationnelle d’une institution financière, soit sa capacité à anticiper, à se préparer, à répondre et à s’adapter aux perturbations dans un environnement changeant.

Un incident chez un tiers peut affecter les activités critiques d’une institution financière, en particulier les services commerciaux importants, c’est-à-dire ceux offerts aux clients. Lorsqu’ils sont perturbés, ces services peuvent causer un préjudice important aux clients, menacer la viabilité, la solidité ou la sécurité de l’institution financière, ou encore porter atteinte à l’intégrité des marchés. Une saine gestion du risque lié aux tiers s’avère donc incontournable pour assurer la résilience des institutions financières.

Actions de l’AMF

Afin de dresser un portrait des pratiques de l’industrie, l’AMF a mené un sondage auprès des institutions financières à charte du Québec au cours de la deuxième moitié de 2024. Des données sur le sujet ont également été recueillies dans le cadre d’un sondage sur la résilience opérationnelle des institutions financières, réalisé en 2023, dont les résultats ont été publiés en décembre 2024. Un colloque virtuel portant sur ce sujet a également été organisé par l’AMF.

Soucieuse de s’adapter à l’évolution du paysage des risques, l’AMF élabore actuellement une ligne directrice sur la gestion du risque lié aux tiers, qui visera à soutenir et à orienter les institutions financières dans la mise en œuvre de leur cadre de gestion. Cette ligne directrice remplacera celle portant sur l’impartition, publiée en 2009.