Affaire Société Générale : 3 décideurs informatiques réagissent

L'affaire SG peut se reproduire ailleurs. La sophistication des fraudes financières fait que ce genre de problème est toujours plus compliqué à détecter. Et le risque zéro n'existe pas. Ici, en plus, la fraude est liée à l'humain et c'est typiquement le genre de fraude qui est la plus difficile à détecter.

Il est même probable que d'autres acteurs ont été touchés par ce type de fraudes internes, heureusement pas avec la même ampleur et n'en ont pas fait de publicité. Mais un travail important a été fait depuis quelques années pour réduire les risques dans les secteurs financiers.

Avec Bale 2, il a été demandé aux banques de quantifier les risques opérationnels et d'allouer les fonds propres suffisants en cas de matérialisation de ces risques. C'est la capacité de la banque à pouvoir faire face à la crise. Les banques ont mis en place des mécanismes de financement et de contrôle de ces risques. Cela date de 2 ou 3 ans. Elles sont aujourd'hui plus à même de faire face à ce type de crise.

Cependant, il n'y a pas encore de maturité forte sur les systèmes de gestion des risques et de mesure du contrôle interne. J'entends par là que les banques ont bien sûr des outils internes sophistiqués, mais les mécanismes sont encore en cours d'industrialisation. Aujourd'hui, il existe ainsi des dispositifs transactionnels où, en fonction de la nature des transactions, le logiciel est capable de déclencher des actions, et des dispositifs de contrôle du respect des procédures dans l'entreprise, pour contrôler les risques pris par les organismes financiers.

Face aux risques opérationnels, il faut placer des référentiels de contrôle, vérifier leur application et demander des preuves. Ce qui est indispensable dans ce processus de contrôle, ce n'est donc pas seulement de demander un "oui" ou un "non", mais bien des preuves informatiques.

Cela signifie qu'il faut être capable de demander aux managers de rendre compte du bon fonctionnement des dispositifs de contrôle, puis de demander au niveau N+2 un deuxième contrôle, et à des fonctions d'audit un 3e niveau de contrôle. L'outil informatique va permettre d'automatiser ces contrôles, par l'envoi de formulaires, par leur validation, par des relances ou des alertes et de documenter les éléments de preuve.

Face à ces risques, il faut placer des référentiels de contrôle et demander des preuves. Cela signifie qu'il faut être capable de demander aux managers de rendre compte du bon fonctionnement des dispositifs de contrôle, puis de demander au niveau N+2 un deuxième contrôle, et à des fonctions d'audit un 3e niveau de contrôle.

C'est en multipliant les processus de contrôle humain que l'on peut endiguer la fraude. Ce qui est intéressant dans ce processus de contrôle, ce n'est pas seulement de demander un "oui" ou un "non", mais bien des preuves informatiques.

Au-delà des frontières internes de l'entreprise, une des pistes que l'on peut aussi envisager est celle d'une meilleure coordination entre les autorités de régulation des marchés financiers, qui ont leurs propres procédures de contrôle, et les établissements financiers qui ont leurs propres dispositifs de contrôle.

L'utilisation de ce genre de progiciel, qui allient référentiels de risques et évaluation des contrôles avec tests aléatoires et utilisation de la notion de preuve, cela fait globalement 3 ans que cela prend dans le secteur bancaire. Il s'agit d'une remise en question assez récente, mais qui va dans le bon sens, celui de banques de mieux en mieux protégées.

François Paget, porte-parole de l'éditeur d'antivirus McAfee

En informatique, nous évoquons souvent le hacker, c'est-à-dire la fraude qui vient de l'extérieur. Ici, nous avons a priori affaire à une fraude de l'intérieur qui vient d'un collaborateur interne. A priori, ce collaborateur a dû usurper des comptes et ne pas suivre un certain nombre de règles pour arriver à faire ce qu'il à fait. Mais il faut rester prudent car personne ne sait de quelle manière il s'y est pris.

Ce qu'il faut en retenir, par contre, est intéressant. D'abord, la sécurité est un tout, et il faut aussi bien regarder ce qu'il se passe à l'intérieur de son entreprise qu'à l'extérieur. Cela implique de mettre en place des processus pour garantir la confidentialité de ses données, mais aussi la tracabilité des attaques, en plus de mécanismes de protection.

Dans beaucoup de sociétés, il faut cependant laisser des libertés à ses employés, surtout à partir du moment où ils ont des responsabilités. Aujourd'hui, dans le monde bancaire comme dans d'autres entreprises, il existe des outils et des moyens pour assurer un contrôle régulier.

Cela passe par la réalisation d'audits techniques, avec des méthodes comme Meari (du Clusif) ou eBios, qui permettent de vérifier si l'utilisateur autorisé n'a accès qu'aux données qui le concernent. Si toutes les procédures d'authentification fonctionnent correctement, la direction informatique est à même de vérifier son identité. Il existe un certain nombre de méthodes d'audit qui peuvent le faire.

Il faut également vérifier que l'information de l'entreprise est correctement classifiée. Par exemple, en termes de sensibilité de l'information. Enfin, il faut placer des journaux d'audit et les contrôler. Ce n'est pas le tout de mettre en place des reporting, il faut aussi s'y pencher.

Enfin, il faut mettre en place des procédures de contrôle d'accès et d'authentification des personnes. Quelque chose qui est fréquemment omis en entreprise : lorsqu'un salarié passe d'un service à un autre, il ne faut pas oublier de modifier ses droits d'accès. Enfin, même en interne, certaines informations méritent d'être cryptées ou signées électroniquement.

Évidemment, il faut changer régulièrement les mots de passe. Mais même avec ces procédures, il est impossible de se dire à 100% sécurisé. La problématique de la malveillance interne, c'est quand même quelque chose que les dirigeants de grandes banques entendent très souvent. Ils ont même des séminaires avec des personnes du ministère de l'Intérieur ou de l'administration qui les mettent en garde là dessus.

Matthieu Poujol, consultant pour le cabinet Pierre Audoin Consultants

C'est une banque très active au niveau de la sécurité. Dans leur système de recrutement, il ont des profilers qui regardent s'il y a des gens qui ont un potentiel criminel ou non. Mais il peut toujours y avoir des gens qui passent au travers des mailles du filet.

Il y a cependant très certainement des failles au niveau de l'informatique, mais il est très dur de tout prévoir, et le risque zéro n'existe pas. Il faut voir aussi que les gens du secteur financier sont certainement ceux qui ont le plus investi dans la sécurité informatique, après peut-être la Défense nationale.

Ce qu'il faut a priori retenir de cet exemple, en matière de sécurité, c'est que le mécanisme d'escalade n'était semble-t-il pas au point. Mais il faut aussi garder à l'esprit que le reporting informatique, ce sont avant tout des règles et donc des processus humains que l'on décrit.

Or, dans le cas présent, l'employé était issu du back-office, et était donc - avant - chargé de surveiller les traders. Il connaissait les failles du système. De plus en plus, d'ailleurs, les traders sont des personnes très douées en mathématiques, et donc souvent en informatique, parce qu'ils ont à créer des modèles algorithmiques.

Sur des organisations aussi grosses que celles de la Société Générale, et alors que des traders en viennent à manipuler des fonds de 50 milliards d'euros, il faut plus que le contrôle informatique. Nous avons tendance à trop nous reposer sur l'informatique et à négliger le côté humain.

Les législations de type Sarbanes-Oxley ou Bale 2, viennent le prouver. Même avec des mécanismes remis à jour, et des outils pour se protéger des fraudes, il y a toujours de nouvelles menaces. Il faut donc aussi placer des contrôles humains rigoureux.

Copyright 2009 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE