Du service client bon marché aux vulnérabilités de plusieurs millions d'euros : le double visage des usines d'externalisation en Inde

Auteur : Cookie

Titre original : Inde, l’usine d’externalisation du monde crypto

27 décembre 2025, le PDG de Coinbase Brian Armstrong a tweeté pour annoncer que la police de Hyderabad, en Inde, avait arrêté un ancien employé du service client de Coinbase, et que d’autres suspects étaient toujours en fuite.

Cela concerne une affaire de fuite de données estimée à 400 millions de dollars de pertes. Le 2 juin de l’année dernière, selon Reuters, six sources proches du dossier ont révélé que Coinbase était au courant dès janvier de l’année dernière qu’une fuite de données utilisateur s’était produite chez TaskUs, leur prestataire d’externalisation du service client. Un employé du centre de support à Indore, en Inde, aurait été surpris en train de filmer son ordinateur de travail avec son téléphone personnel, et aurait été impliqué avec un complice dans la vente de données utilisateur Coinbase à un hacker. Ce dernier aurait utilisé ces informations pour se faire passer pour un employé de Coinbase, voler des cryptomonnaies aux victimes, et réclamer une rançon de 20 millions de dollars pour les données utilisateur.

Mais après un incident de sécurité aussi grave, Coinbase, bien qu’ayant progressé dans la poursuite des suspects, n’a pas publié d’informations claires indiquant qu’ils allaient embaucher dans d’autres pays ou régions, ou même aux États-Unis. Ce mouvement a suscité de nombreuses critiques sur X, certains estimant que les services externalisés en Inde ne sont pas fiables, et que Coinbase ne prend pas la sécurité des données utilisateur au sérieux.

Bien que TaskUs ne soit pas une société indienne, le problème s’est effectivement produit dans sa filiale en Inde. Et ce ne sont pas seulement Coinbase qui ont subi des pertes à cause d’employés externalisés malveillants en Inde.

L’un des cas d’« insider » les plus célèbres dans le secteur du commerce en ligne est celui d’Amazon, qui a externalisé le support vendeur et la vérification anti-fraude à des prestataires tiers situés à Hyderabad et Bangalore. Certains employés indiens, en communication avec des vendeurs via Telegram, ont été achetés pour supprimer des avis négatifs, rétablir des comptes suspendus ou divulguer des données internes de concurrents. En échange, ils recevaient des récompenses en argent allant de quelques centaines à plusieurs milliers de dollars, alors que leur salaire mensuel n’était que d’environ 300 à 500 dollars.

Microsoft a également externalisé son support technique de base à des prestataires indiens, où des employés insatisfaits de leur maigre salaire vendaient des informations à des groupes de fraude, ou incitaient volontairement les clients à cliquer sur des sites de phishing ou à acheter de faux services pendant leur service.

Ces modes d’externalisation des services client, support, vérification, etc., sont appelés « BPO (Business Process Outsourcing) ». Pour réduire les coûts, augmenter l’efficacité et se concentrer sur leur cœur de métier, ces processus répétitifs et non créatifs sont confiés à des tiers.

Malgré ces nombreux problèmes, l’Inde reste le leader mondial de l’externalisation. Selon un rapport d’Astute Analytica, en 2024, le marché indien du BPO représentait environ 50 milliards de dollars, et devrait atteindre 1393,5 milliards de dollars d’ici 2033. Les processus basés sur la voix représentent 35 % du secteur, et ceux non vocaux (email, chat en ligne, etc.) 45 %, tous gérés par des Indiens.

Une telle envergure, combinée à des problèmes structurels, crée un chaos. Elle peut résoudre certains problèmes, mais en engendre d’autres. Quelle est la réalité de l’externalisation en Inde ?

Le prix bas, c’est irrésistible, impossible à refuser

Tout le monde dit que l’un des grands avantages de l’externalisation indienne est « le prix ». Ce n’est pas faux, et cela explique même pourquoi Coinbase a connu une fuite de données estimée à 400 millions de dollars.

Lorsque TaskUs a finalement découvert la fuite, le principal instigateur, Ashita Mishra, avait dans son téléphone les données de plus de 10 000 utilisateurs Coinbase. Chaque photo de données de compte utilisateur prise par cet employé ou ses complices leur rapportait 200 dollars. Parfois, Ashita Mishra pouvait prendre jusqu’à 200 photos par jour.

Selon 6figr.com, le salaire annuel pour un poste de support client chez TaskUs est de 330 000 à 400 000 roupies, soit environ 3700 à 4440 dollars. En salaire journalier, cela ne dépasse pas 15 dollars.

Autrement dit, le revenu d’Ashita Mishra en une journée de « prise de photos » peut atteindre plus de 2600 fois le salaire journalier, ce qui explique pourquoi les hackers ont choisi de soudoyer les employés externalisés de TaskUs, et comment ils ont pu corrompre avec succès.

En comparaison, le salaire prévu pour le poste de « Customer Support Agent » sur web3.career est de 69 000 à 77 000 dollars.

Il existe une énorme différence de salaire entre « emploi en CDI » et « externalisation », mais en matière de contrôle des accès aux données, aucune mesure plus stricte n’a été prise pour les employés externalisés, ce qui est la cause de cette faille de sécurité chez Coinbase.

Tant que le coût humain économisé par l’externalisation dépasse le montant des indemnités en cas d’accident, ces entreprises continueront, et on ne peut pas dire qu’elles soient à court de vision à court terme ou qu’elles sacrifient leur intérêt à long terme. Après coup, elles ont toutes pris des mesures pour éviter que cela ne se reproduise. Par exemple, le centre de support client de Coinbase, embauchant directement en Inde après l’incident, est passé de l’externalisation à l’embauche directe. Aujourd’hui, le centre de support Amazon en Inde applique une gestion physique extrême : les employés doivent remettre leur téléphone et leur montre connectée avant d’entrer, et il est interdit d’avoir du papier ou un stylo sur leur bureau.

« Le prix bas » reste un avantage énorme, mais si l’on regarde du côté des employés ordinaires, ceux qui effectuent concrètement le travail, « le prix bas » n’est en réalité qu’un secteur de l’arbitrage de la main-d’œuvre. Transférer le travail ou la production vers des endroits où la main-d’œuvre coûte moins cher, en passant par plusieurs niveaux de sous-traitance, est une pratique difficile à éviter. Un contrat d’externalisation d’une grande entreprise peut même être sous-traité 2 à 4 fois, chaque étape déduisant commissions, frais de gestion et marges.

Bien qu’aucune donnée publique ne permette de connaître le montant exact payé par Coinbase à TaskUs, une étude d’Astute Analytica de l’année dernière indique qu’en Inde, dans les grandes villes, le salaire mensuel pour un poste est d’environ 15 000 à 20 000 roupies (soit 165 à 220 dollars), et dans les villes secondaires, de 8 000 à 12 000 roupies (88 à 132 dollars). Quant aux tarifs facturés par les prestataires, ils sont de 12 à 15 dollars par heure pour la voix, et de 18 à 22 dollars pour les processus non vocaux.

Cela équivaut à travailler 24 heures non-stop pendant un mois, en étant payé comme si on ne travaillait qu’une journée. Ce travail est tellement pénible que le taux de rotation du personnel peut atteindre 30 %, même après optimisation, alors qu’il était initialement de 50 %.

Vous pourriez penser : « Juste répondre au téléphone, c’est pas si dur, pourquoi vouloir un gros salaire ? » En réalité, le support client externalisé en Inde, surtout pour le marché mondial, est d’un tout autre niveau. En 2024, 55 à 60 % des revenus de l’industrie indienne du support client proviennent des États-Unis. Avec un décalage horaire d’environ 12 heures, il est possible de travailler sans interruption, en restant devant un téléphone ou un écran d’ordinateur, dans un environnement de travail sans fin. Les agents indiens doivent communiquer avec des utilisateurs européens ou américains, ce qui exige non seulement une maîtrise parfaite des connaissances métier, mais aussi une réduction de leur accent pour être compris, ainsi qu’une familiarité avec leurs dialectes, expressions et cultures pour une communication plus efficace.

Le prix bas est vraiment irrésistible, mais il repose aussi sur le dur labeur et la sueur des travailleurs indiens de base.

La revanche de la « main-d’œuvre bon marché », l’histoire de l’externalisation indienne

Au début des années 1990, le salaire moyen en Inde était inférieur à un dixième de celui des États-Unis. Mieux encore, l’Inde disposait d’une main-d’œuvre nombreuse, hautement éduquée, parlant anglais et capable de travailler dans cette langue. Cela a permis aux gestionnaires américains de réaliser qu’il valait mieux confier leurs tâches à l’Inde plutôt que de recruter des programmeurs coûteux sur place, car la communication par documents et conférences téléphoniques était presque sans obstacle.

Non seulement il n’y avait pas de « barrière linguistique » dans la communication, mais en plus, le décalage horaire d’environ 12 heures entre l’Inde et les États-Unis permettait de faire avancer les projets en continu : quand les Américains finissaient leur journée, les Indiens commençaient la leur, et le travail était déjà fait le lendemain matin. Ce mode de développement « sans coucher de soleil » a considérablement raccourci les délais de projet.

Ça donne presque envie de dire : « C’est comme une progression automatique dans un jeu mobile, on laisse tourner en mode hors ligne, et ça monte tout seul » ? C’est ce qu’on appelle aussi « le bonus du décalage horaire ».

Et comme dit le proverbe : « Le bon moment, la bonne terre, et l’harmonie des hommes », lorsque, il y a plus de 20 ans, la crise du « bug de l’an 2000 » a frappé, cela a été une aubaine pour l’industrie informatique indienne. Face aux problèmes complexes de stockage d’informations et de données dus à cette crise, et à la pénurie de talents IT en Europe et en Amérique, les entreprises occidentales ont externalisé leurs traitements de données vers des sociétés indiennes, qui avaient l’avantage du coût et de la langue. Ces sociétés ont ainsi accumulé expérience et clientèle dans la résolution du « bug de l’an 2000 », et leur réputation a décollé, propulsant l’industrie indienne dans une nouvelle ère.

Pour sortir de l’étiquette « main-d’œuvre bon marché », l’Inde a aussi pensé à une autre stratégie universelle : la certification. À la fin des années 1990, près de 75 % des entreprises mondiales certifiées CMM (capacité de production logicielle) au niveau 5 (le plus élevé) étaient indiennes. Avec un certificat en main, cela donnait une image de professionnalisme et de processus maîtrisé, que l’Inde a compris il y a presque 30 ans.

Progressivement, le gouvernement indien a aussi vu dans cette industrie une opportunité : pas besoin de construire physiquement des ponts ou des routes, il suffit d’avoir une bonne connexion internet et des talents pour faire décoller la machine. Dès lors, l’Inde a créé de nombreux Software Technology Parks (STPI), offrant des liaisons satellites (pour pallier le retard dans l’infrastructure et les coupures d’électricité) et des exonérations fiscales. Les meilleures universités indiennes forment aussi en continu des talents de haut niveau pour l’industrie.

Ainsi, l’Inde a élaboré une formule complète pour conquérir le marché mondial de l’externalisation : main-d’œuvre anglophone bon marché + saisir l’opportunité historique (le bug de l’an 2000) + certification pour assurer la professionnalisation + soutien gouvernemental + formation continue. Avec cette recette, ils ont réussi.

Mais aujourd’hui, cette formule commence à montrer ses limites.

L’externalisation haut de gamme, la lutte pour le bas

L’Inde ne veut pas se limiter à l’externalisation de tâches répétitives et peu qualifiées, elle continue de se développer. Ces dernières années, de plus en plus de grandes entreprises ont créé des GCC (Global Capability Centers) en Inde. Aujourd’hui, il en existe plus de 1900, dont environ 35 % des entreprises du Fortune 500 ont une telle base de R&D en propriété exclusive en Inde.

Ces centres incluent des géants de tous secteurs : banques comme JP Morgan, Goldman Sachs, HSBC, Wells Fargo ; tech comme Microsoft, Amazon, Google ; retail comme Walmart, Target.

Ces GCC ne traitent plus uniquement le support client ou la maintenance de code de base, mais relèvent directement de la maison mère, responsables des activités globales et stratégiques. La recherche et l’innovation dans ces centres indiens peuvent représenter plus de 50 % des revenus du secteur, et environ 45 % d’entre eux gèrent désormais tout le cycle de vie d’un produit mondial, de la conception à la sortie. Autrement dit, les Indiens ne sont pas seulement bon marché, ils ont aussi du savoir-faire.

Les GCC, c’est comme si ces grandes entreprises mondiales délocalisaient une partie de leur « offshore » en Inde.

Il est même difficile d’imaginer que, l’année dernière, des entreprises japonaises ont aussi commencé à fuir leur marché domestique pour ouvrir des GCC en Inde. Honda et Hitachi ont étendu leurs centres de R&D en 2025. La raison ? La transformation numérique au Japon est trop lente, le déficit de talents est criant, et en Inde, elles peuvent accéder à des technologies de pointe en IA et véhicules connectés (SDV) à un coût inférieur d’un tiers par rapport au Japon.

En Inde, si vous souhaitez recruter 500 ingénieurs maîtrisant une technologie cloud spécifique en un mois, le marché de Bangalore ou Hyderabad répondra rapidement. L’Inde détient aujourd’hui environ 20 % des talents mondiaux en compétences numériques. Dans l’IA générative, la cybersécurité ou le cloud, ses réserves sont incomparables avec d’autres régions (Europe de l’Est ou Amérique latine).

Les jeunes diplômés indiens aiment aussi rejoindre ces GCC, car ils n’ont pas à quitter leur pays, tout en bénéficiant des mêmes avantages et perspectives de carrière que les employés des grandes multinationales. La machine tourne à plein régime.

Quant aux tâches répétitives comme le support ou la vérification, même si quelques pays comme le Vietnam ou les Philippines tentent de rivaliser sur le prix, la menace la plus sérieuse pour l’Inde reste l’évolution rapide de l’intelligence artificielle.

Conclusion

Ainsi, la stratégie de Coinbase est pragmatique, une décision commerciale logique, mais l’incident a aussi révélé de graves lacunes dans leur gestion interne.

Une faille ? Pas de problème, Coinbase va s’en occuper, réparer, et continuer à avancer.

La raison pour laquelle l’externalisation indienne reste imbattable est claire : là où c’est moins cher, il y a moins de talents ; là où il y a plus d’anglais, c’est plus cher ; et là où c’est moins cher, il y a moins de talents. La boucle est bouclée.

Mais cette supériorité, qui permet aux grandes entreprises de négocier et de travailler en toute confiance, n’est-elle pas aussi source de fatigue et de souffrance pour les employés ?